Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52013XX0903(01)

    Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zur Mitteilung der Kommission „Freisetzung des Cloud-Computing-Potenzials in Europa“

    ABl. C 253 vom 3.9.2013, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
    ABl. C 253 vom 3.9.2013, p. 3–3 (HR)

    3.9.2013   

    DE

    Amtsblatt der Europäischen Union

    C 253/3

    Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zur Mitteilung der Kommission „Freisetzung des Cloud-Computing-Potenzials in Europa“

    (Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter http://www.edps.europa.eu erhältlich)

    2013/C 253/03

    I.   Einleitung

    I.1   Ziel der Stellungnahme

    1.

    In Anbetracht der Bedeutung des Cloud Computing in der sich entwickelnden Informationsgesellschaft sowie der bereits stattfindenden politischen Debatte innerhalb der EU über das Cloud Computing hat der EDSB beschlossen, die vorliegende Stellungnahme auf eigene Initiative herauszugeben.

    2.

    Diese Stellungnahme ist als Reaktion auf die Mitteilung der Kommission „Freisetzung des Cloud-Computing-Potenzials in Europa“ vom 27. September 2012 (nachstehend „die Mitteilung“) (1), zu verstehen, in der Schlüsselaktionen und politische Schritte dargelegt werden, mit denen sich die Nutzung von Cloud-Computing-Diensten in Europa beschleunigen lässt. Der EDSB wurde vor der Annahme der Mitteilung informell konsultiert und gab informelle Kommentare ab. Er begrüßt, dass einige seiner Kommentare in die Mitteilung eingeflossen sind.

    3.

    In Anbetracht des Umfangs und der Bedeutung der derzeitigen Debatte über die Beziehung zwischen Cloud Computing und Datenschutzrechtsrahmen beschränkt sich die vorliegende Stellungnahme allerdings nicht auf die in der Mitteilung behandelten Themen.

    4.

    Im Mittelpunkt der Stellungnahme stehen die Herausforderungen, die das Cloud Computing für den Datenschutz bedeutet, sowie die Art und Weise, in der die vorgeschlagene Datenschutzverordnung („vorgeschlagene Verordnung“) (2) damit umgeht. Des Weiteren äußert sie sich zu den Bereichen, in denen laut Mitteilung ein weiteres Tätigwerden erforderlich ist.

    I.2   Hintergrund

    5.

    Vor dem Hintergrund der allgemeinen politischen Debatte in der EU über Cloud Computing kommt folgenden Tätigkeiten und Dokumenten besondere Bedeutung zu:

    Im Anschluss an ihre Mitteilung von 2010 über die digitale Agenda für Europa (3) führte die Kommission vom 16. Mai bis 31. August 2011 eine öffentliche Konsultation über Cloud Computing durch, deren Ergebnisse am 5. Dezember 2011 veröffentlicht wurden (4);

    am 1. Juli 2012 nahm die Artikel-29-Datenschutzgruppe (5) eine Stellungnahme zum Cloud Computing an („Stellungnahme der Artikel 29-Datenschutzgruppe“) (6), in der die Anwendung der derzeitigen Datenschutzvorschriften in der Richtlinie 95/46/EG auf im Europäischen Wirtschaftsraum (EWR) tätige Anbieter von Cloud-Computing-Diensten und ihre Kunden analysiert werden (7);

    am 26. Oktober 2012 verabschiedeten die Datenschutzbeauftragten auf ihrer 34. Internationalen Konferenz eine Entschließung zum Thema Cloud Computing (8).

    I.3   Mitteilung über Cloud Computing

    6.

    Der EDSB begrüßt die Mitteilung. Sie nennt drei konkrete Schlüsselaktionen, die auf EU-Ebene erforderlich sind, um die Nutzung des Cloud Computing in Europa zu begleiten und zu fördern, und zwar

    Schlüsselaktion 1: Lichten des Normendschungels

    Schlüsselaktion 2: Sichere und faire Vertragsbedingungen

    Schlüsselaktion 3: Aufbau einer Europäischen Cloud-Partnerschaft zur Förderung der Innovation und des Wachstums durch den öffentlichen Sektor.

    7.

    Darüber hinaus sind weitere politische Maßnahmen vorgesehen, so z. B. die Förderung der Nutzung des Cloud Computing durch Unterstützung von Forschung und Entwicklung oder Sensibilisierung sowie die erforderliche Behandlung zentraler Fragen im Zusammenhang mit Cloud-Diensten — dazu gehören Datenschutz, Zugang für Strafverfolgungsbehörden, Sicherheit, Verantwortlichkeit der Vermittler (Dienstleister) — in einem intensiveren internationalen Dialog.

    8.

    Der Datenschutz wird in der Mitteilung als wesentliches Element erwähnt, das den Erfolg der Einführung des Cloud Computing in Europa gewährleistet. In der Mitteilung heißt es (9), dass der Verordnungsvorschlag viele Bedenken aufgreift, die von Anbietern von Cloud-Diensten und von Cloud-Anwendern (10) geäußert worden sind.

    I.4   Schwerpunkt und Struktur der Stellungnahme

    9.

    Die vorliegende Stellungnahme verfolgt drei Ziele.

    10.

    Erstens möchte sie die Relevanz des Schutzes der Privatsphäre und des Datenschutzes in den aktuellen Diskussionen über Cloud Computing unterstreichen. So weist sie insbesondere darauf hin, dass das Datenschutzniveau in einer Cloud-Computing-Umgebung nicht niedriger sein darf als in jedem anderen Datenverarbeitungsumfeld. Cloud Computing kann nur weiterentwickelt und rechtmäßig angewandt werden, wenn es gewährleistet, dass dieses Datenschutzniveau gewahrt wird (siehe Kapitel III.3). Die Stellungnahme berücksichtigt hier die Orientierungshilfen in der Stellungnahme der Artikel-29-Datenschutzgruppe.

    11.

    Zweitens sollen die größten Herausforderungen näher analysiert werden, die das Cloud Computing vor dem Hintergrund der vorgeschlagenen Datenschutzverordnung mit sich bringt, insbesondere die Schwierigkeit, eindeutig die Verantwortlichkeiten der einzelnen Beteiligten und die Begriffe des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters festzulegen. Die Stellungnahme untersucht (im Wesentlichen in Kapitel IV), wie der Verordnungsvorschlag in seiner jetzigen Fassung (11), dazu beitragen könnte, bei Cloud-Computing-Diensten ein hohes Datenschutzniveau zu gewährleisten. Sie stützt sich daher auf die Ansichten, die der EDSB in seiner Stellungnahme zum Datenschutzreformpaket dargelegt hat (nachstehend „Stellungnahme des EDSB zum Datenschutzreformpaket“) (12), und ergänzt diese durch besonderes Eingehen auf die Cloud-Computing-Umgebung. Der EDSB weist nachdrücklich darauf hin, dass seine Stellungnahme zum Datenschutzreformpaket in vollem Umfang auch auf Cloud-Computing-Dienste Anwendung findet und als Grundlage der vorliegenden Stellungnahme zu betrachten ist. Einige der dort behandelten Fragen — wie die neuen Bestimmungen über die Rechte betroffener Personen (13) — sind außerdem hinreichend klar und werden daher in dieser Stellungnahme nicht weiter erörtert.

    12.

    Drittens sollen die Bereiche ermittelt werden, in denen aus der Sicht des Schutzes der Privatsphäre und des Datenschutzes mit Blick auf die von der Kommission in der Mitteilung dargelegte Cloud-Strategie ein weiteres Tätigwerden auf EU-Ebene erforderlich ist. Dazu gehören unter anderem weitere Orientierungshilfen, Normungsbemühungen, die Durchführung weiterer Risikobewertungen für bestimmte Sektoren (wie den öffentlichen Sektor), die Ausarbeitung von Standardvertragsklauseln, die Aufnahme eines internationalen Dialogs über Fragen im Zusammenhang mit dem Cloud Computing und die Gewährleistung wirksamer Mittel der internationalen Zusammenarbeit (dargestellt in Kapitel V).

    13.

    Die Stellungnahme ist folgendermaßen aufgebaut: Kapitel II bietet einen Überblick über die Hauptmerkmale des Cloud Computing und die damit zusammenhängenden Datenschutzprobleme. Kapitel III enthält eine Übersicht über die relevantesten Elemente des EU-Rechtsrahmens und des Verordnungsvorschlags. In Kapitel IV wird der Frage nachgegangen, wie die vorgeschlagene Verordnung bei der Bewältigung der Herausforderungen helfen kann, die die Nutzung von Cloud-Computing-Diensten mit sich bringt. Kapitel V analysiert die Vorschläge der Kommission für weitere politische Entwicklungen und benennt die Bereiche, in denen weitere Arbeiten erforderlich sein könnten. Kapitel VI enthält die Schlussfolgerungen.

    14.

    Zwar gelten viele der in dieser Stellungnahme angestellten Überlegungen für alle Umgebungen, in denen Cloud Computing zum Einsatz kommt, doch befasst sich diese Stellungnahme nicht mit der Nutzung von Cloud-Computing-Diensten durch Organe und Einrichtungen der EU, die gemäß der Verordnung (EG) Nr. 45/2001 der Aufsicht durch den EDSB unterliegen. Für diese Organe und Einrichtungen wird der EDSB zu diesem Thema eigene Leitlinien herausgeben.

    VI.   Schlussfolgerungen

    121.

    Wie es in der Mitteilung heißt, eröffnet das Cloud Computing Unternehmen, Verbrauchern und dem öffentlichen Sektor viele neue Möglichkeiten für die Verwaltung von Daten durch Nutzung entfernter externer IT-Ressourcen. Gleichzeitig bringt es viele Probleme mit sich, insbesondere bezüglich des angemessenen Datenschutzniveaus für die so verarbeiteten Daten.

    122.

    Bei der Nutzung von Cloud-Computing-Diensten besteht die große Gefahr, dass die Verantwortung für von Cloud-Diensteanbietern vorgenommene Verarbeitungen nicht mehr zuzuordnen ist, wenn die Kriterien für die Anwendbarkeit des EU-Datenschutzrechts nicht hinreichend klar definiert sind und wenn die Verantwortung von Cloud-Diensteanbietern zu eng definiert oder interpretiert oder nicht wirksam umgesetzt wird. Der EDSB weist nachdrücklich darauf hin, dass die Nutzung von Cloud-Computing-Diensten keine Senkung von Datenschutzstandards unter die für herkömmliche Datenverarbeitungsvorgänge rechtfertigt.

    123.

    Diesbezüglich enthält die vorgeschlagene Datenschutzverordnung in ihrer ursprünglichen Fassung viele Klarstellungen und Instrumente, mit denen gewährleistet werden könnte, dass Cloud-Diensteanbieter, die ihre Dienste Kunden mit Sitz in Europa anbieten, ein zufrieden stellendes Datenschutzniveau bieten; zu erwähnen ist insbesondere Folgendes:

    In Artikel 3 würde der räumliche Anwendungsbereich der EU-Datenschutzvorschriften klargestellt und würde ihr Anwendungsbereich auf Cloud-Computing-Dienste ausgedehnt;

    In Artikel 4 Absatz 5 würde ein neues Element für die Verantwortung eingeführt, nämlich „Bedingungen“. Dies entspräche dem sich abzeichnenden Trend, dem zufolge es in Anbetracht der der Erbringung von Cloud-Computing-Diensten zugrunde liegenden technischen IT-Komplexität erforderlich ist, den Bereich der Fälle zu erweitern, in denen ein Cloud-Diensteanbieter als für die Verarbeitung Verantwortlicher eingestuft werden kann. Dies würde das tatsächliche Ausmaß des Einflusses auf die Verarbeitungsvorgänge besser wiedergeben;

    Der Verordnungsvorschlag würde Verantwortung und Rechenschaftspflicht von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern stärken, und zwar durch konkrete Verpflichtungen wie Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Artikel 23), Meldungen von Datenschutzverletzungen (Artikel 31 und 32) und Datenschutz-Folgenabschätzungen (Artikel 33). Darüber hinaus würde er von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern den Einsatz von Verfahren verlangen, mit denen die Wirksamkeit der durchgeführten Datenschutzmaßnahmen überprüft wird (Artikel 22);

    Artikel 42 und 43 der vorgeschlagenen Verordnung würden eine flexiblere Nutzung von Verfahren für internationale Datenübermittlungen erlauben, damit Cloud-Anwender und Cloud-Diensteanbieter geeignete Datenschutzgarantien für die Übermittlung personenbezogener Daten an Datenzentren oder Server in Drittländern bereitstellen könnten;

    Artikel 30, 31 und 32 der vorgeschlagenen Verordnung würden die Verpflichtungen von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern bezüglich der Sicherheit der Verarbeitung sowie Informationspflichten bei Datenschutzverletzungen regeln und damit die Grundlage für einen umfassenden und kooperativen Ansatz für das Sicherheitsmanagement zwischen den verschiedenen Beteiligten in einer Cloud-Umgebung schaffen;

    Artikel 55 bis 63 der vorgeschlagenen Verordnung würden die Zusammenarbeit zwischen Aufsichtsbehörden und ihre koordinierte Aufsicht über grenzüberschreitende Verarbeitungsvorgänge stärken, was in einer Umgebung wie dem Cloud Computing von besonderer Bedeutung ist.

    124.

    Dessen ungeachtet schlägt der EDSB unter Berücksichtigung der Besonderheiten von Cloud-Computing-Diensten vor, in der vorgeschlagenen Verordnung folgende Aspekte zu klären:

    Bezüglich des räumlichen Anwendungsbereichs der vorgeschlagenen Verordnung sollte Artikel 3 Absatz 2 Buchstabe a folgendermaßen geändert werden: „…dazu dient, diesen Personen in der Union Waren oder Dienstleistungen einschließlich der Verarbeitung personenbezogener Daten anzubieten…“, oder sollte alternativ ein neuer Erwägungsgrund hinzugefügt werden, der besagt, dass die Verarbeitung personenbezogener Daten von betroffenen Personen in der Union durch nicht in der EU ansässige für die Verarbeitung Verantwortliche, die ihre Dienste juristischen Personen mit Sitz in der EU anbieten, in den Anwendungsbereich der vorgeschlagenen Verordnung fällt;

    Wie schon in seiner Stellungnahme zum Datenschutzreformpaket ausgeführt, sollte eine klare Definition des Begriffs „Übermittlung“ hinzugefügt werden;

    Es sollte eine Bestimmung hinzugefügt werden, in der die Bedingungen klargestellt werden, unter denen ein Zugang von Strafverfolgungsbehörden in Nicht-EWR-Ländern zu in Cloud-Computing-Diensten gespeicherten Daten zulässig wäre. Eine solche Bestimmung könnte auch die Verpflichtung für den Empfänger des Ersuchens enthalten, in bestimmten Fällen die zuständige Aufsichtsbehörde in der EU zu informieren und zu konsultieren.

    125.

    Der EDSB weist ferner darauf hin, dass von Seiten der Kommission und/oder der Aufsichtsbehörden (insbesondere des künftigen Europäischen Datenschutzausschusses) zu folgenden Aspekten noch weitere Orientierungshilfen benötigt werden:

    Klarstellung der Verfahren, die zur Überprüfung der Wirksamkeit der Datenschutzmaßnahmen in der Praxis eingerichtet werden sollten;

    Unterstützung von Auftragsverarbeitern bei der Verwendung von BCR und der Einhaltung der entsprechenden Anforderungen;

    Bereitstellung bewährter Vorgehensweisen bei Themen wie Verantwortung des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters, angemessene Speicherung von Daten in der Cloud-Umgebung, Datenübertragbarkeit und Wahrnehmung der Rechte betroffener Personen.

    126.

    Der EDSB räumt ein, dass von der Branche abgefasste und von den zuständigen Aufsichtsbehörden genehmigte Verhaltensregeln einen sinnvollen Beitrag zur Einhaltung der Vorschriften und zu einem Klima des Vertrauens zwischen den verschiedenen Beteiligten leisten könnten.

    127.

    Der EDSB unterstützt, dass die Kommission in enger Absprache mit Aufsichtsbehörden Standardvertragsklauseln für die Erbringung von Cloud-Computing-Diensten ausarbeitet, die den Datenschutzanforderungen Genüge tun, und zwar vor allem

    die Ausarbeitung von Mustervertragsbedingungen, die in die kommerziellen Angebote für Cloud-Computing-Dienste aufgenommen werden;

    die Entwicklung gemeinsamer Bedingungen und Anforderungen für die Auftragsvergabe im öffentlichen Sektor unter Berücksichtigung der Sensibilität der verarbeiteten Daten;

    den weiteren Zuschnitt der Verfahren für internationale Datenübermittlungen auf die Cloud-Computing-Umgebung, insbesondere durch Aktualisierung der derzeitigen Standardvertragsklauseln und durch Vorlage von Standardvertragsklauseln für die Übermittlung von Daten von in der EU ansässigen Auftragsverarbeitern an Auftragsverarbeiter mit Sitz außerhalb der EU.

    128.

    Der EDSB weist darauf hin, dass bei der Entwicklung von Normen und Zertifizierungsregelungen den Datenschutzanforderungen angemessen Rechnung zu tragen ist; es geht insbesondere um Folgendes:

    Anwendung der Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen bei der Entwicklung von Normen;

    Integration von Datenschutzanforderungen wie Zweckbegrenzung und befristete Speicherung in den Entwurf von Normen;

    Verpflichtung der Anbieter, ihren Kunden die für eine solide Risikobewertung erforderlichen Informationen zu geben und über die von ihnen ergriffenen Sicherheitsvorkehrungen sowie über Alarme nach Sicherheitszwischenfällen zu informieren.

    129.

    Schließlich unterstreicht der EDSB die Notwendigkeit einer Behandlung der durch das Cloud Computing aufgeworfenen Probleme auf internationaler Ebene. Er fordert die Kommission auf, sich am internationalen Dialog über Probleme im Bereich des Cloud Computing einschließlich Rechtssystem und Zugang durch Strafverfolgungsbehörden zu beteiligen und regt an, einen Großteil dieser Fragen in verschiedenen internationalen oder bilateralen Abkommen wie Amtshilfeabkommen oder auch Handelsabkommen anzusprechen. Auf internationaler Ebene könnten weltweite Normen ausgearbeitet werden, in denen Mindestbedingungen und Grundsätze für den Datenzugang durch Strafverfolgungsbehörden festgelegt werden. Er unterstützt ferner die Entwicklung wirksamer Verfahren der internationalen Zusammenarbeit durch die Aufsichtsbehörden, insbesondere im Hinblick auf Probleme beim Cloud Computing.

    Brüssel, den 16. November 2012

    Peter HUSTINX

    Europäischer Datenschutzbeauftragter

    (1)  COM(2012) 529 final.

    (2)  COM(2012) 11 final.

    (3)  KOM(2010) 245 endgültig.

    (4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

    (5)  Die Artikel-29-Datenschutzgruppe ist ein gemäß Artikel 29 der Richtlinie 95/46/EG eingerichtetes beratendes Gremium. Sie besteht aus Vertretern der nationalen Aufsichtsbehörden und des EDSB sowie einem Vertreter der Kommission.

    (6)  Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012 zum Cloud Computing, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_de.pdf

    (7)  Außerdem haben nationale Datenschutzbehörden in mehreren Mitgliedstaaten eigene Leitfäden zum Thema Cloud Computing herausgegeben; dazu gehören Italien, Schweden, Dänemark, Deutschland, Frankreich und das Vereinigte Königreich.

    (8)  Entschließung zum Thema Cloud Computing, angenommen auf der 34. Internationalen Konferenz der Datenschutzbeauftragten, Uruguay, 26. Oktober 2012.

    (9)  Siehe S. 8 der Mitteilung, Abschnitt „Vertrauensbildung im digitalen Umfeld“.

    (10)  Der Begriff „Cloud-Anwender“ wird in dieser Stellungnahme im Allgemeinen als Bezeichnung für Kunden verwendet, die in ihrer Eigenschaft als Unternehmen handeln, und für Verbraucher, die in ihrer Eigenschaft als individuelle Endbenutzer handeln.

    (11)  Es sollte berücksichtigt werden, dass der Verordnungsentwurf derzeit im ordentlichen Gesetzgebungsverfahren im Rat und im Europäischen Parlament erörtert wird.

    (12)  Die Stellungnahme kann abgerufen werden unter http://www.edps.europa.eu

    (13)  Siehe Stellungnahme des EDSB, insbesondere Punkte 140 bis 158.

    Top