Datenschutzkonferenz (DSK) erhöht Anforderungen an "Souveräne Clouds"

In einem aktuellen Positionspapier hat die Datenschutzkonferenz (DSK) die Anforderungen an sogenannte "Souveräne Clouds" erläutert. Als Souveräne Clouds bezeichnet man Cloud-Dienste, die von staatlichen Stellen oder Unternehmen betrieben werden, um eine unabhängige und sichere Datenverarbeitung zu gewährleisten.

Neben bereits bekannten und etablierten Standards führt das Positionspapier auch deutliche Verschärfungen auf. So muss ein Drittlandszugriffsrisiko auf Anbietende ausgeschlossen sein. Anbietende müssen Zugriffe oder Offenlegungsverpflichtungen durch bzw. gegenüber Drittland-Behörden durch Maßnahmen ergreifen, die ausschließlich nach EU-, EWR- bzw. nationalem Recht zulässige Zugriffe auf die personenbezogenen Daten ermöglichen. Rein vertragliche Maßnahmen genügen danach nicht. Hier ist fraglich, welche Maßnahmen in Betracht kommen. In Betracht käme etwa eine Ende-zu-Ende-Verschlüsselung nach dem Stand der Technik als eine mögliche Maßnahme für eine sichere Übermittlung. Eine Maßnahme zur Sicherung der Daten in der Cloud vor unberechtigtem Zugriff könnte ferner die Verschlüsselung der Daten darstellen. Hierbei ist jedoch zu berücksichtigen, wer Zugriff auf den Verschlüsselungsschlüssel hat. Sollte der Auftragsverarbeiter in der Lage sein, auf diesen zuzugreifen, möglicherweise auch, ohne dass der Verantwortliche dies nachvollziehen kann, wäre diese Maßnahme wiederum nicht ausreichend. Abhilfe kann ein Programm schaffen, welches einen unautorisierten Zugriff meldet.

Die DSK hat keine Gesetzgebungskompetenz. Unternehmen und staatliche Stellen, die eine Souveräne Cloud betreiben bzw. nutzen möchten, sollten sich gleichwohl mit dem DSK-Positionspapier auseinandersetzen und die genannten Empfehlungen berücksichtigen, um den Datenschutz und die Einhaltung der Datenschutzgrundverordnung zu gewährleisten.