[IITR - 17.10.14] Die Datenschutz-Aufsichtsbehörden haben am 9. Oktober 2014 eine aktualisierte Orientierungshilfe zum Thema “Cloud Computing” verabschiedet. In der Vorbemerkung heißt es: “Der Schwerpunkt [der vorliegenden Veröffentlichung] liegt (…) auf Hinweisen bei der Nutzung von Cloud-Computing-Diensten durch datenverarbeitende Stellen. Anbieter von Cloud-Computing-Dienstleistungen können aus dieser Orientierungshilfe diejenigen Anforderungen entnehmen, die ihre Kunden aus datenschutzrechtlicher Sicht stellen.”
Die von den Arbeitskreisen Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises verfasste Orientierungshilfe ersetzt damit die erste Fassung aus dem Jahr 2011 (vgl. vertiefend zur alten Fassung hier).
In der nun vorliegenden zweiten Fassung gehen die Aufsichtsbehörden vertieft auf die Zulässigkeit der Datenübermittlung an Stellen außerhalb der europäischen Union im Licht etwaiger geheimdienstlicher Tätigkeiten ein. Auch die Ausführungen zu den technischen und organisatorischen Anforderungen wurden vertieft.
Die Orientierungshilfe schließt mit folgendem Fazit:
“(…) Die wirtschaftlichen Vorteile des Cloud Computing für die Anwender sind nicht zu übersehen. Die starke Reduktion der selbst noch vorzuhaltenden Infrastruktur, die Verringerung des Bedarfs an eigenem IT-Fachpersonal, die Vermeidung von Risiken der Über- und Unterkapazitäten und die bessere Übersichtlichkeit der Kosten der Datenverarbeitung sind für Unternehmen und Behörden gute Gründe, die Beauftragung von Cloud-Computing-Anbietern in Erwägung zu ziehen. (…)
Zur Gewährleistung einer rechtmäßigen Weitergabe personenbezogener Daten an einen Cloud-Anbieter, der außerhalb der EU/des EWR seinen Sitz hat, bedarf es in erster Linie der Verwendung von Standardvertragsklauseln oder BCR`s, wobei der Beschreibung und Umsetzung technisch-organisatorischer Sicherheitsmaßnahmen eine besondere Bedeutung zukommt. Rechtsgrundlage für die Datenweitergabe an einen Cloud-Anbieter kann in diesem Zusammenhang § 28 Abs. 1 Satz 1 Nr. 2 BDSG sein. Eine Rechtsgrundlage für die Weitergabe besonderer personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG wird dabei regelmäßig nicht bestehen, da die Anforderungen nach § 28 Abs. 6 bis 9 BDSG nicht erfüllt sind. (…)
Da insbesondere außereuropäische Behörden nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden, muss eine Neubewertung vorgenommen werden. Bevor nicht der unbeschränkte Zugriff ausländischer Nachrichtendienste auf personenbezogene Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird, behalten sich die Aufsichtsbehörden für den Datenschutz vor, keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten zur Nutzung von Cloud-Diensten zu erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.”
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.