Cloud Computing und Datenschutz
Es ist gut zwei Jahre her, dass ich zum ersten Mal einen Vortrag über Cloud Computing gehalten habe. Bei der Recherche zur Vorbereitung fand ich weit überwiegend Literatur aus den USA, europäische Quellen gab es wenige. Dies hat sich seither geändet. Trotzdem blieb es schwierig, aus den Veröffentlichungen für die Beratungspraxis praktikable Kriterien für eine datenschutzkonforme Nutzung von Cloud Lösungen heraus zu filtern.
„Sopot Memorandum“
Nunmehr hat die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation (auch bekannt als „Berlin Group“) bei ihrer Sitzung im polnischen Sopot Ende April ein Memorandum beschlossen, das Datenschutz-Anforderungen an das Cloud Computing enthält. Das Papier wurde von Vertretern der Datenschutzbehörden aus 21 Ländern verabschiedet, und damit liegt zum ersten Mal ein international abgestimmter Kriterienkatalog zu Cloud Computing und Datenschutz vor.
Datenschutzkonformes Cloud Computing
Das Papier der Internationalen Arbeitsgruppe hat den großen Vorteil, dass es eine verständliche und gut begründete Übersicht über Datenschutz-Anforderungen an die Nutzung von Cloud-Diensten enthält. Mehr als alles andere, was ich zu diesem Thema bisher gelesen habe, bietet es die Möglichkeit der Orientierung in der Praxis. Umfragen zufolge sehen noch immer mehr als die Hälfte der Unternehmen, die Cloud-Lösungen nutzen könnten, davon ab, weil ihnen die damit verbundenen Datenschutzfragen als zu riskant erscheinen. Diese haben mit dem Memorandum nunmehr eine Orientierungshilfe.
Eine Chance für europäische Anbieter
Die Lektüre des Dokuments bestätigt eine These, die ich schon länger vertrete: Eine datenschutzkonforme Nutzung von Cloud-Lösungen ist in der Regel nur mit kleineren, innereuropäischen Anbietern zu machen, mit denen auch individuelle Vereinbarungen und nachprüfbare Absprachen zu Datenschutzstandards möglich sind.
Das Dokument ist über die Seiten des Berliner Datenschutzbeauftragten, der auch den Vorsitz der Internationalen Arbeitsgruppe inne hatte, hier abrufbar (pdf in englischer Sprache):
http://www.datenschutz-berlin.de/content/nachrichten/datenschutznachrichten/27-april-2012