Popular Topics
Trending NowView All
©446670418 - stock.adobe.com

Souveräne Clouds
Kriterien der unabhängigen Datenschutzaufsichtsbehörden für Datensicherheit und Datenschutz
byCI Redaktion
6 minute read
Total
0
Shares
0
0
0
0
0

In einer zunehmend digitalisierten Welt wird der Schutz von Daten und die Wahrung der Privatsphäre immer wichtiger. Souveräne Clouds, die von nationalen oder europäischen Anbietern betrieben werden und unter der Hoheit des jeweiligen Landes stehen, rücken dabei als Lösung in den Fokus. Doch welche Kriterien müssen souveräne Clouds erfüllen, um den Anforderungen an Datensicherheit und Datenschutz gerecht zu werden? In diesem Artikel werfen wir einen Blick auf die Kriterien, die von den unabhängigen Datenschutzaufsichtsbehörden aufgestellt wurden und welche Rolle sie bei der Gewährleistung einer sicheren und datenschutzkonformen Cloud-Nutzung spielen.

Was sind Souveräne Clouds?

Der Begriff „Souveräne Clouds“ bezieht sich auf Cloud-Dienste, die von deutschen/europäischen staatlichen Stellen oder Unternehmen betrieben werden, die sich auf die Einhaltung europäischer Datenschutz- und Sicherheitsstandards spezialisiert haben, um eine unabhängige und sichere Datenverarbeitung zu gewährleisten.

Der Begriff „souverän“ bezieht sich dabei auf die Kontrolle und Verwaltung der Daten durch die betreffende Organisation oder den Staat, anstatt die Verarbeitung an externe Cloud-Anbieter zu delegieren. Dadurch soll dem Verantwortlich ermöglicht werden, seinen datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft nachzukommen.

Der Hauptzweck Souveräner Clouds besteht darin, die Datensicherheit und den Datenschutz zu erhöhen, insbesondere wenn es um sensible Informationen geht, die von staatlichen Stellen oder Unternehmen verarbeitet werden. Durch den Betrieb einer eigenen Cloud-Infrastruktur behalten die Organisationen die Kontrolle über ihre Daten und können sicherstellen, dass diese in Übereinstimmung mit den geltenden Datenschutzbestimmungen und Sicherheitsstandards verarbeitet werden.

Datenschutzkonferenz (DSK) und Souveräne Clouds: Standpunkt und Empfehlungen

Die Datenschutzkonferenz (DSK) ist eine unabhängige Organisation, die in Deutschland die Zusammenarbeit und Abstimmung der Datenschutzbehörden der Länder auf Bundesebene koordiniert. Sie besteht aus den Datenschutzbehörden der einzelnen Bundesländer sowie dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Die Aufgaben der Datenschutzkonferenz umfassen unter anderem die Erarbeitung von Leitlinien und Stellungnahmen zu aktuellen datenschutzrechtlichen Themen, die Koordinierung länderübergreifender Prüfungen und die Beratung von Unternehmen, Behörden und der Öffentlichkeit in datenschutzrechtlichen Angelegenheiten. Ihre Empfehlungen und Beschlüsse haben in der Regel eine große Bedeutung für die Datenschutzpraxis in Deutschland.

In einem aktuellen Positionspapier hat die DSK die Anforderungen an sogenannte „Souveräne Clouds“ ausführlich erläutert.

Nach Angaben der DSK sei das Ziel dieses Positionspapiers nicht, eine endgültige datenschutzrechtliche Bewertung eines spezifischen Cloud-Angebots oder dessen Nutzung im Einzelfall vorzunehmen. Es stellt vielmehr die Kriterien dar, die nach Ansicht der DSK erfüllt sein sollten oder müssen, um von einer „Souveränen Cloud“ sprechen zu können.

Die von der DSK gestellten Anforderungen

Das Positionspapier der DSK zur Souveränen Cloud enthält eine detaillierte Aufschlüsselung von fünf Themenbereichen, die als wesentliche Kriterien für eine Souveräne Cloud gelten. Diese Kriterien sind in „MUSS“ und „SOLL“ Vorgaben unterteilt. Die „MUSS“-Vorgaben stellen dabei die verbindlichen Anforderungen dar, die zwingend erfüllt werden müssen, um den Datenschutz und die Einhaltung der Datenschutzgrundverordnung (DSGVO) zu gewährleisten. Die „SOLL“-Vorgaben stellen hingegen Empfehlungen dar, die den Unternehmen als Leitfaden dienen sollen, um den Datenschutz in der Cloud optimal umzusetzen.

1. Nachvollziehbarkeit durch Transparenz

Gemäß Art. 5 Abs. 1 lit. a DSGVO muss die Verarbeitung personenbezogener Daten in einer für die Betroffenen nachvollziehbaren Weise erfolgen. Dieser Grundsatz wird insbesondere durch die Informations- und Auskunftspflichten gemäß den Art. 12 ff. der DSGVO konkretisiert.

Verantwortliche, die Cloud-Dienste nutzen, müssen gemäß Art. 5 Abs. 2 und Art. 24 Abs. 1 der DSGVO sicherstellen, dass die Verarbeitung personenbezogener Daten im Rahmen dieser Dienste gemäß den Vorgaben der DSGVO erfolgt und hierfür den Nachweis erbringen können.

Um eine datenschutzgerechte und selbstbestimmte Nutzung von Cloud-Diensten zu ermöglichen, können Anwender:innen daher nur auf Anbieter zurückgreifen, die die erforderlichen Informationen bereitstellen. Folgende Kriterien sind deshalb bei einer souveränen Cloud zu beachten:

  • Dokumentation vor Vertragsschluss (MUSS)
  • Schnittstellendokumentation (MUSS)
  • Transparenz hinsichtlich der Zukunftsfähigkeit (MUSS)
  • Transparenz durch Open Source (SOLL)
  • Transparenz durch offene Standards (SOLL)

2. Datenhoheit und Kontrollierbarkeit

Die Kontrollierbarkeit einer Souveränen Cloud, einschließlich ihrer Beherrschbarkeit und Nachprüfbarkeit, ist von entscheidender Bedeutung, um die Datenhoheit der Betroffenen zu gewährleisten. Bei einem souveränen Cloud-Angebot sind daher folgende Kriterien von Bedeutung:

  • Verarbeitung durch Anbietende nur auf Weisung (MUSS)
  • Trennung nach Verarbeitungen (MUSS)
  • Einbindung von Unterauftragsverarbeitern (SOLL)
  • Kein Drittlandszugriffsrisiko auf Anbietende (MUSS)
  • Wirksame Rechtsdurchsetzbarkeit (MUSS)
  • Anbietersitz und Verarbeitung im Europäischen Wirtschaftsraum (MUSS)

3. Offenheit

Digitale Souveränität erfordert Offenheit, was bedeutet, dass Anwender eine Vielzahl von Optionen zur Gestaltung ihrer Verarbeitungstätigkeiten haben sollten. Sie sollten in der Lage sein, verschiedene Cloud-Angebote in Kombination zu nutzen, um ihre Verarbeitungsaufgaben zu erfüllen. Es ist wichtig, Abhängigkeiten, wie beispielsweise Lock-In-Effekte, so gering wie möglich zu halten. Anwender sollten in der Lage sein, ihre Entscheidungen hinsichtlich der Nutzung eines bestimmten Angebots mit geringen Wechselbarrieren zu überdenken. Basierend darauf ergeben sich folgende Kriterien für eine souveräne Cloud-Lösung:

  • Austauschbarkeit (MUSS)
  • Kombinierbarkeit (SOLL)
  • Modularität (SOLL)
  • Unterstützung offener Standards (SOLL)
  • Offenheit durch Open Source (SOLL)

4. Vorhersehbarkeit und Verlässlichkeit

Die kontinuierliche Wahrung der Souveränität ist essenziell, da sie kein statischer Zustand ist, der einmal erreicht und dann beibehalten wird. Sowohl Anbieter als auch Anwender sind in diesen fortlaufenden Prozess involviert. Eine rechtzeitige Ankündigung relevanter Änderungen spielt hierbei eine entscheidende Rolle. Die Verlässlichkeit eines Cloud-Angebots, das den Prinzipien digitaler Souveränität gerecht werden möchte, gewinnt daher große Bedeutung. Vor diesem Hintergrund ergeben sich folgende Anforderungen für souveräne Cloud-Lösungen:

  • Unterrichtung bei Souveränitätsgefährdung (MUSS)
  • Einfluss- und Wahlmöglichkeiten auf die Angebotsausgestaltung (MUSS)
  • Transparenter Produktlebenszyklus (MUSS)
  • Prüffähige Qualität (MUSS)
  • Featureparität zu nicht souveränen Cloud-Angeboten (SOLL)
  • Transparentes Finanzierungsmodell des Angebots (SOLL)

5. Regelmäßige Prüfung der aufgestellten Kriterien

Die Erfüllung der oben genannten Kriterien für eine Souveräne Cloud durch Anbieter muss für Anwenderinnen und Anwender überprüfbar und nachvollziehbar sein. Dies ergibt sich unter anderem aus den Bestimmungen der Art. 5, 24 und 32 der DSGVO.
Die Überprüfung kann auf verschiedene Weise erfolgen, einschließlich:
  • Selbstprüfungen durch die Anwender:innen selbst
  • Externe Überprüfungen, die speziell von einzelnen oder Gruppen von Anwendenden beauftragt werden
  • Prüfnachweise seitens des Anbieters, wie Zertifikate, Siegel oder unabhängige Auditierungen durch vertrauenswürdige Dritte
Diese Maßnahmen tragen dazu bei, dass die Einhaltung der Kriterien für digitale Souveränität gewährleistet wird:
  • Überprüfung der eingesetzten Software (MUSS)
  • Unterstützung bei Überprüfungen (MUSS) 
  • Zertifizierung (SOLL)

Zusammenfassender Überblick

Das Positionspapier der DSK zur Souveränen Cloud stellt nicht nur bekannte Standards dar, sondern führt auch deutliche Verschärfungen hinsichtlich des Datenschutzes auf.

Gemäß den Empfehlungen der DSK müssen Anbieter von Cloud-Diensten Maßnahmen ergreifen, die sicherstellen, dass ausschließlich Zugriffe auf die personenbezogenen Daten nach EU-, EWR- bzw. nationalem Recht zulässig sind. Dies bedeutet, dass keine Offenlegungsverpflichtungen gegenüber Drittland-Behörden erlaubt sein dürfen. Die DSK betont, dass es nicht ausreichend ist, lediglich vertragliche Vereinbarungen mit den Cloud-Anbietern zu treffen. Stattdessen müssen konkrete technische und organisatorische Maßnahmen ergriffen werden, um sicherzustellen, dass kein Zugriff auf die personenbezogenen Daten durch Drittstaaten erfolgen kann. Dies kann beispielsweise durch Verschlüsselung, Datensparsamkeit und Kontrollmechanismen zur Überwachung des Datenzugriffs erreicht werden.

Mit dieser Forderung beabsichtigt die DSK, den Schutz personenbezogener Daten in der Cloud weiter zu stärken und sicherzustellen, dass keine unberechtigten Zugriffe auf die Daten erfolgen können. Durch die Ausschließung von Drittstaat-Zugriffen wird der Datenschutz auf ein höheres Niveau gehoben und das Risiko der Datenübermittlung an Behörden außerhalb des europäischen Rechtsraums minimiert.

Empfehlung für Unternehmen

Obwohl die DSK keine direkte Gesetzgebungskompetenz besitzt, hat sie dennoch einen maßgeblichen Einfluss auf den Datenschutz in Deutschland.

Ein zentrales Instrument der DSK sind Empfehlungen und Positionspapiere zu verschiedenen datenschutzrechtlichen Themen. Diese Empfehlungen dienen als Leitlinien und Orientierungshilfen für Unternehmen, staatliche Stellen und andere Organisationen. Sie sollen dazu beitragen, dass der Datenschutz eingehalten und die Vorgaben der Datenschutzgrundverordnung umgesetzt werden.

Das Positionspapier der DSK zur Souveränen Cloud ist ein Beispiel für solch eine Empfehlung. In diesem Papier werden konkrete Handlungsempfehlungen gegeben, wie Unternehmen und staatliche Stellen den Datenschutz in Bezug auf Cloud-Dienste gewährleisten können.

Unternehmen und staatliche Stellen, die eine Souveräne Cloud betreiben oder nutzen möchten, sollten daher das Positionspapier der DSK berücksichtigen und die darin genannten Empfehlungen beachten. Indem sie diese Empfehlungen umsetzen, können sie sicherstellen, dass der Datenschutz gewahrt bleibt und die Vorgaben der DSGVO erfüllt werden.

Unter c3 development bieten wir von valvisio gezielt Beratung zur sicheren Nutzung und Entwicklung von Clouds an. Neben rechtlichen Fragen wie dem Datenschutz, klären wir hier auch technische Aspekte, z. B. zur IT-Sicherheit.

Haben Sie Fragen zu Ihrer eigenen Cloud oder planen, in die Cloud zu migrieren, dann kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch.

Quellen:

www.datenschutzzentrum.de/uploads/dsk/2023-05-11_DSK-Positionspapier_Kritierien-Souv-Clouds.pdf

Total
0
Shares
Teilen 0
Mail 0
Tweet 0
Teilen 0
Share 0
Prev
Continental-Hack
© Foto von Compare Fibre auf unsplash.com

Continental-Hack

Compliance und Cyberangriffe
Next
LAG Schleswig-Holstein: Beschäftigte sind nicht verpflichtet, dienstliche SMS in ihrer Freizeit zu lesen | 27.09.2022 (Az. 1 Sa 39 öD/22)
Markenparfüm Discounter

LAG Schleswig-Holstein: Beschäftigte sind nicht verpflichtet, dienstliche SMS in ihrer Freizeit zu lesen | 27.09.2022 (Az. 1 Sa 39 öD/22)

Urteil der Woche
You May Also Like