Neuer Begriff, alter Hut: Datenschutz in der Cloud anlässlich der Internationalen Datenschutzkonferenz gefordert

Cloud Computing war ein zentrales Thema der 34. Internationalen Datenschutzkonferenz, die in diesem Jahr in Uruguay stattfand. Ein gemeinsam mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit eingebrachter Entschließungsentwurf zum Cloud Computing wurde von den versammelten Vertretern der Datenschutzbehörden aus aller Welt einstimmig angenommen.

Hierzu der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar: Wir waren uns einig, dass Cloud-Computing nicht zu Lasten des Datenschutzes gehen darf. Die Internationale Datenschutzkonferenz fordert Anbieter und alle anderen Beteiligten auf, ein hohes Datenschutzniveau für Cloud Computing-Dienste zu gewährleisten. Die Nutzer derartiger Dienste, insbesondere Unternehmen und öffentliche Stellen müssen sich vergewissern, dass die Cloud-Dienste ein ausreichendes Datenschutzniveau garantieren, sofern personenbezogene Daten verarbeitet werden sollen. Anbieter müssen für mehr Transparenz sorgen. Zudem müssen datenschutzrechtliche und -technische Anforderungen frühzeitig berücksichtigt werden (privacy by design). Eine grenzüberschreitende Datenverarbeitung setzt internationale Datenschutzstandards voraus. Die Datenschutzbehörden haben bereits entsprechende Entwürfe vorgelegt. Wir sind bereit, an deren Erarbeitung weiterhin mitzuwirken.

“Neuer Begriff, alter Hut: Datenschutz in der Cloud anlässlich der Internationalen Datenschutzkonferenz gefordert” weiterlesen

Datenschutzrechtliche Aspekte des Cloud Computing (Orientierungshilfe Cloud Computing)

Orientierungshilfe Cloud Computing

Für das Cloud Computing ergeben sich dabei sowohl aus Sicht
des Datenschutzes als auch der Datensicherheit folgende Besonderheiten:

· Vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG) können
durch ihre Verarbeitung in der Cloud reidentifizierbar werden, weil verschiedene
Beteiligte über Zusatzwissen verfügen, mit dem eine Reidentifizierung möglich
ist.7 Für die verantwortliche Stelle (§ 3 Abs. 7 BDSG) muss daher deutlich werden,
in welchem Rahmen Datenschutzbestimmungen einzuhalten sind.

· Bei der Anwendung von Cloud-Services und der Bereitstellung von ITDienstleistungen
werden regelmäßig mehrere Beteiligte tätig. Hier ist von Bedeutung,
wie deren Beziehungen zueinander datenschutzrechtlich zu bewerten sind
und wie vor allem die verantwortliche Stelle ihren Verpflichtungen nachkommt.

· Die verantwortliche Stelle hat die Rechtmäßigkeit der gesamten Datenverarbeitung
zu gewährleisten, insbesondere muss sie ihren Löschpflichten nachkommen
(§ 35 Abs. 2 BDSG), unrichtige Daten berichtigen (§ 35 Abs. 1 BDSG), für eine
Sperrung von Daten sorgen (§ 35 Abs. 3 BDSG) und dem Betroffenen (§ 3 Abs. 1
BDSG) u. a. Auskünfte über die zu seiner Person gespeicherten Daten, auch soweit
sie sich auf die Herkunft dieser Daten beziehen, erteilen (§ 34 Abs. 1 BDSG).
Zur Erfüllung der entsprechenden gesetzlichen Bestimmungen muss die verantwortliche
Stelle besondere Vorkehrungen treffen.

· Zu untersuchen ist die Zulässigkeit grenzüberschreitender Datenverarbeitungen.
Bei Clouds, die international verteilt sind und sich auch über Staaten außerhalb
des EWR erstrecken, ist eine Rechtsgrundlage für die Übermittlung personenbezogener
Daten in Drittstaaten erforderlich.

· Aus technisch-organisatorischer Sicht müssen vor allem besondere Vorkehrungen
für die ordnungsgemäße Löschung und Trennung von Daten sowie für die
Sicherstellung von Transparenz, Integrität und Revisionsfähigkeit der Datenverarbeitung
getroffen werden.
“Datenschutzrechtliche Aspekte des Cloud Computing (Orientierungshilfe Cloud Computing)” weiterlesen