Bundesrat: EU-Kommission soll bei Datenschutz nachbessern
Nach Auffassung des Bundesrats bezieht die EU-Kommission datenschutzrechtliche Fragen in ihrer Cloud-Strategie nicht ausreichend ein. Peter Friedrich (SPD), Baden-Würrtembergs Minister für den Bundesrat und dort Vorsitzender des Europa-Ausschusses, erläuterte eine entsprechende Stellungnahme der Länder (November 2012) am Donnerstag gegenüber iRights Cloud.
Speziell die geplante Datenschutz-Grundverordnung der EU sollte „noch besser auf die Eigenheiten des Cloud-Computing zugeschnitten werden“, meint Friedrich. Der EU-Verordnung fehlten zum Beispiel klare Anforderungen für Verfahren der Zertifizierung von Cloud-Diensten. „Mithilfe von Zertifikaten sollte ein Nutzer im Idealfall auf einen Blick die Datenschutzfreundlichkeit eines Cloud-Angebots erkennen können.“
Datenschutz: Kommission lässt Cloud-Anbietern noch Zeit
Die EU-Kommission steht bei der Frage der Zertifizierung vertrauenswürdiger Cloud-Anbieter noch am Anfang. Mit Hilfe der EU-Behörde für IT-Sicherheit (ENISA) und anderer einschlägiger Stellen werde man die Entwicklung freiwilliger Zertifizierungsprogramme unterstützen, heißt es in ihrer Cloud-Strategie (September 2012). Ein Verzeichnis derartiger Programme soll aber erst bis 2014 erstellt werden. Welche Datenschutzstandards konkret definiert werden, bleibt offen. Von verbindlichen Zertifizierungen ist ebenfalls noch keine Rede.
Zugleich hat die Kommission eine Expertengruppe aus Branchenvertretern beauftragt, bis Ende 2013 „sichere und faire“ Muster-Vertragsbedingungen für Verbraucher auszuarbeiten. Bisher seien Verträge mit Cloud-Anbietern in Punkto Sicherheit häufig unpräzise und unausgewogen, so die Analyse aus Brüssel. Die Verträge würden oft keinerlei Haftung für die Unversehrtheit und Vertraulichkeit der Daten vorsehen. Zusammengefasst scheinen freiwillige Zertifikate und Musterverträge bislang die Antwort der Kommission auf die Verunsicherung der Verbraucher zu sein, was die Datensicherheit und den Datenschutz in der Cloud angeht.
Verträge mit Drittstaaten gestalten sich schwierig
Der Bundesrat drängt außerdem auf mehr Rechtssicherheit beim grenzüberschreitenden Cloud Computing. „Datenschutzkonflikte machen gerade beim Cloud Computing an den EU-Grenzen keinen Halt“, so Minister Friedrich. „Datenschutzstandards, die hierzulande oder in der EU noch selbstverständlich sein mögen, müssen in anderen Staaten noch lange nicht geläufig sein.“ Die EU sei daher gefragt, auch internationale Lösungen zu finden, indem Verträge mit Drittstaaten abgeschlossen werden. „Es muss garantiert sein, dass der Datenschutz von allen Cloud-Beteiligten beachtet wird.“
Wie schwer Verträge mit Drittländern allerdings vorankommen, zeigt sich am Beispiel des geplanten Datenschutzrahmenabkommens zwischen der EU und den USA. Die 2010 begonnen Verhandlungen stocken. Jan Philipp Albrecht (Grüne), zuständiger Berichterstatter im EU-Parlament, sieht auf Seiten der USA kaum noch Interesse an einem echten Vertrag, wie er im Interview mit iRights Cloud erläutert. Das Abkommen sollte insbesondere den Zugriff von US-Behörden auf europäische Daten regeln.
Derweil setzt die Kommission im Entwurf zur neuen Datenschutzgrundverordnung auf ein neues Prinzip. Unternehmen aus Drittstaaten sollen sich in jedem Fall an EU-Datenschutzstandards halten müssen, wenn sie ihre Cloud-Dienste EU-Bürgern anbieten. Der Bundestag begrüßte dieses Prinzip in einem Beschluss (Drucksache 17/11325, 6.November 2012). Mit deutschen Bestimmungen allein könne kein wirksamer Schutz vor global aus Drittstaaten heraus agierenden Unternehmen bewirkt werden.