Richtlinien für den Einsatz von Cloud-Computing-Diensten erarbeitet »Euro Cloud Deutschland_eco«, der Verband der Cloud-Computing-Industrie in Deutschland. Das Ziel: ein höheres Maß an Rechtssicherheit für Anwender und Anbieter von Software-as-a-Service- und Cloud-Computing-Angeboten.
»Die rechtssichere Gestaltung von Software as a Service und Cloud Computing ist kein Ding der Unmöglichkeit«, sagte Bernd Becker, Vorstandsvorsitzender von Euro Cloud Deutschland_eco und Vice President von Euro Cloud Europe, bei der Pressekonferenz des Vereins auf der CeBIT. »Euro Cloud Deutschland_eco kümmert sich in Kooperation mit den europäischen Partnern darum, die gesetzlichen Regelungen für alle Beteiligten handhabbar zu machen.«
Neben einer »sauberen« Vertragsgestaltung, welche die Anforderungen des Bundesdatenschutzgesetzes (§ 11 Abs. 2 Satz 2 Nr. 1 bis 10 BDSG) berücksichtigt, wird es nach Ansicht des Verbandes vor allem erforderlich sein, Klärung in Bezug auf drei Punkte zu erreichen:
Zu diesen Themen wird Euro Cloud Deutschland_eco in Abstimmung mit den Datenschutzbehörden »rechtssichere und belastbare Lösungen« erarbeiten.
Zum Hintergrund: Da im Rahmen von SaaS-Dienstleistungen regelmäßig auch personenbezogene Daten des Kunden verarbeitet werden, liegt eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vor. Die Novelle des Bundesdatenschutzgesetzes, die im 1. September 2009 in Kraft getreten ist, sieht hierfür besonders hohe Anforderungen vor.
Kein Wunder, häuften sich doch in den vergangenen Jahren die Fälle, in denen es zum Missbrauch von Kundendaten kam. Ein Beispiel ist der Mobilfunk-Carrier T-Mobile, dem Millionen von Kundendaten »abhanden« kamen, ein anderes der Finanzdienstleister AWD. Journalisten des Radiosenders NDR Info wurden Ende letzten und Anfang dieses Jahres insgesamt 49.000 Datensätze von AWD-Kunden zum Kauf angeboten.
Unter anderem fordert das BSDG, dass Anbieter und Nutzer von SaaS-Services und Cloud-Computing-Diensten detailliert vereinbaren müssen, welche technischen und organisatorischen Maßnahmen der Dienstleister zu treffen hat, um die Sicherheit der Daten zu gewähren. Dasselbe gilt für die Kontrollrechte und Mitwirkungspflichten des Nutzers und die Weisungsbefugnisse des Kunden.
Ein weitere Anforderung: Der Kunde muss Dienstleister regelmäßig kontrollieren. Dies gilt auch für alle vom Dienstleister eingeschalteten Subunternehmer, unabhängig davon, wo diese die Daten verarbeiten. Zudem gelten verschärfte Anforderungen, wenn die Daten außerhalb der EU verarbeitet werden. In diesem Fall ist sicherzustellen, dass beim Empfänger der Daten ein angemessenes Datenschutzniveau herrscht.
Zusätzlich können sich Besonderheiten ergeben, etwa aus dem Aufsichtsrecht (wenn beispielsweise Banken beteiligt sind) oder aus dem Steuerrecht, falls steuerrechtliche Daten betroffen sind.