Datenschutz und Zertifizierung

Herausforderung: Die Prüfpflichten des Cloud-Nutzers

Wer Cloud Computing nutzt, möchte sich darauf verlassen können, dass seine Daten geschützt sind und nicht von Unbefugten genutzt oder missbraucht werden können. Es ist deshalb besonders wichtig, dass die Anforderungen des Datenschutzrechts zum Schutz der Privatsphäre und zur Verhinderung von Datenmissbrauch beachtet werden. Mitunter machen neue Technologien wie Cloud Computing es jedoch schwierig die Anforderungen des deutschen Datenschutzrechts in der Praxis zu erfüllen.

Ein zentrales Problem des Datenschutzrechts im Cloud Computing ergibt sich durch die sogenannte Auftragsdatenverarbeitung. Dabei muss der Auftraggeber die Sicherheit der Datenverarbeitung beim Auftragnehmer überwachen. Diese Überprüfung soll gewährleisten, dass die Daten sicher verarbeitet werden und Unbefugte keinen Zugriff darauf erhalten. Daher muss auch die Sicherheit vor Ort überprüft werden, beispielsweise in den Serverräumen eines Rechenzentrums, auch wenn dies nicht notwendig durch den Auftraggeber persönlich erfolgen muss.

Beim Cloud Computing ist Auftraggeber der Cloud-Nutzer. Dies kann beispielsweise ein kleines Unternehmen oder ein Start-Up sein, das Kundendaten für die Rechnungsstellung in einer kostengünstigen Cloud-Lösung verarbeitet. Auftragnehmer ist der Cloud-Anbieter. Bei ihm könnte es sich um ein großes Unternehmen handeln, das tausende kleine Unternehmen mit Cloud-Diensten versorgt. Soll nun jedes dieser tausend kleinen Unternehmen die Serverräume des großen Cloud-Anbieters inspizieren? Hier ist eine Lösung gefragt, die den Schutz von Daten gewährleistet und zugleich praxistaugliche Überprüfungsmaßnahmen bietet.

Lösung: Zertifizierung von Cloud-Anbietern

Die Überprüfung könnte zukünftig durch eine Compliance-Zertifizierung erfolgen. Der Anbieter kann seinen Cloud-Dienst durch eine unabhängige Institution bzw. Sachverständige prüfen lassen und erhält ein Zertifikat – sofern er die gesetzlichen Anforderungen erfüllt. Der Cloud-Nutzer kann auf dieses Zertifikat vertrauen. Es ermöglicht ihm, den Cloud-Dienst zu nutzen ohne möglicherweise gegen Datenschutzrecht zu verstoßen.

Die Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ hat hierzu ein rechtspolitisches Thesenpapier „Datenschutzrechtliche Lösungen für Cloud Computing“ erarbeitet. Ziel ist es, in der künftigen Europäischen Datenschutz-Grundverordnung eine solche Möglichkeit der Datenschutz-Zertifizierung von Cloud-Diensten zu verankern. Die Bundesregierung hat wesentliche Aspekte aus dem Konzept aufgegriffen und einen Gesetzgebungsvorschlag in die europäischen Verhandlungen eingebracht. Der aktuelle Kompromissvorschlag wurde von der irischen Ratspräsidentschaft sowie von der Ratsarbeitsgruppe in seinen wesentlichen Grundgedanken positiv aufgenommen.

Unabhängig vom europäischen Gesetzgebungsverfahren gilt es nun, das Konzept der Datenschutz-Zertifizierung von Cloud-Diensten praktisch umzusetzen. Dies ist schwierig, da das deutsche Datenschutzrecht eine solche Zertifizierung zwar zulässt, sie aber nicht ausdrücklich nennt und erst recht nicht im Einzelnen regelt. Um eine solche Datenschutz-Zertifizierung voranzubringen, unterstützt das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) das Pilotprojekt Datenschutz-Zertifizierung von Cloud-Diensten. Mehr Informationen zu dem Projekt finden Sie im Abschnitt "Pilotprojekt: Datenschutz-Zertifizierung von Cloud-Diensten" sowie stets aktuell im Bereich "Förderprogramme". http://www.digitale-technologien.de/DT/Navigation/DE/Foerderprogramme/Trusted_Cloud/trusted_cloud.html