ULD: Hinweise zum datenschutzkonformen Cloud Computing
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat – auf einer Empfehlung der Artikel-29-Datenschutzgruppe vom 1. Juli 2012 beruhende – Hinweise zur datenschutzgerechten Erbringung und Nutzung von Cloud-Dienstleistungen nach deutschem und europäischem Recht veröffentlicht. Dort wird u.a. betont, dass der Vertrag zwischen Cloud-Anbieterin und -Anwenderin inhaltlich den Anforderungen des § 11 Abs. 2 S. 2 Bundesdatenschutzgesetz genügen müsse. Aus Gründen der Rechtssicherheit sei es ferner von Nöten, dass dieser Vertrag zusätzlich regelt, dass die Cloud-Anbieterin dazu verpflichtet ist, die Cloud-Anwenderin über alle Unterauftrags- verhältnisse und über alle Orte, an denen personenbezogene Daten gespeichert oder verarbeitet werden können, zu informieren. Bei der gesetzlich geforderten sorgfältigen Auswahl der Dienstleister, reiche des Weiteren ein Blick auf die Datensicherheit nicht aus. Neben Verfügbarkeit, Vertraulichkeit und Integrität sei es erforderlich, die Datenschutz-Schutzziele Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit umzusetzen. Ferner sei bei einer Übermittlung personenbezogener Daten in die USA seitens der verantwortlichen Stelle – auch nach Auffassung der Art. 29–Gruppe – ein schlichtes Verlassen auf eine Selbstzertifizierung nach den Safe Harbor Prinzipien nicht hinreichend. Vielmehr müsse die Zertifizierung und die Einhaltung der Prinzipien selbst überprüft werden.