This document is an excerpt from the EUR-Lex website
Document 52013XX0903(01)
Executive summary of the Opinion of the European Data Protection Supervisor on the Commission's Communication on ‘Unleashing the potential of cloud computing in Europe’
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zur Mitteilung der Kommission „Freisetzung des Cloud-Computing-Potenzials in Europa“
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zur Mitteilung der Kommission „Freisetzung des Cloud-Computing-Potenzials in Europa“
ABl. C 253 vom 3.9.2013, p. 3–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
ABl. C 253 vom 3.9.2013, p. 3–3
(HR)
3.9.2013 |
DE |
Amtsblatt der Europäischen Union |
C 253/3 |
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zur Mitteilung der Kommission „Freisetzung des Cloud-Computing-Potenzials in Europa“
(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter http://www.edps.europa.eu erhältlich)
2013/C 253/03
I. Einleitung
I.1 Ziel der Stellungnahme
1. |
In Anbetracht der Bedeutung des Cloud Computing in der sich entwickelnden Informationsgesellschaft sowie der bereits stattfindenden politischen Debatte innerhalb der EU über das Cloud Computing hat der EDSB beschlossen, die vorliegende Stellungnahme auf eigene Initiative herauszugeben. |
2. |
Diese Stellungnahme ist als Reaktion auf die Mitteilung der Kommission „Freisetzung des Cloud-Computing-Potenzials in Europa“ vom 27. September 2012 (nachstehend „die Mitteilung“) (1), zu verstehen, in der Schlüsselaktionen und politische Schritte dargelegt werden, mit denen sich die Nutzung von Cloud-Computing-Diensten in Europa beschleunigen lässt. Der EDSB wurde vor der Annahme der Mitteilung informell konsultiert und gab informelle Kommentare ab. Er begrüßt, dass einige seiner Kommentare in die Mitteilung eingeflossen sind. |
3. |
In Anbetracht des Umfangs und der Bedeutung der derzeitigen Debatte über die Beziehung zwischen Cloud Computing und Datenschutzrechtsrahmen beschränkt sich die vorliegende Stellungnahme allerdings nicht auf die in der Mitteilung behandelten Themen. |
4. |
Im Mittelpunkt der Stellungnahme stehen die Herausforderungen, die das Cloud Computing für den Datenschutz bedeutet, sowie die Art und Weise, in der die vorgeschlagene Datenschutzverordnung („vorgeschlagene Verordnung“) (2) damit umgeht. Des Weiteren äußert sie sich zu den Bereichen, in denen laut Mitteilung ein weiteres Tätigwerden erforderlich ist. |
I.2 Hintergrund
5. |
Vor dem Hintergrund der allgemeinen politischen Debatte in der EU über Cloud Computing kommt folgenden Tätigkeiten und Dokumenten besondere Bedeutung zu:
|
I.3 Mitteilung über Cloud Computing
6. |
Der EDSB begrüßt die Mitteilung. Sie nennt drei konkrete Schlüsselaktionen, die auf EU-Ebene erforderlich sind, um die Nutzung des Cloud Computing in Europa zu begleiten und zu fördern, und zwar
|
7. |
Darüber hinaus sind weitere politische Maßnahmen vorgesehen, so z. B. die Förderung der Nutzung des Cloud Computing durch Unterstützung von Forschung und Entwicklung oder Sensibilisierung sowie die erforderliche Behandlung zentraler Fragen im Zusammenhang mit Cloud-Diensten — dazu gehören Datenschutz, Zugang für Strafverfolgungsbehörden, Sicherheit, Verantwortlichkeit der Vermittler (Dienstleister) — in einem intensiveren internationalen Dialog. |
8. |
Der Datenschutz wird in der Mitteilung als wesentliches Element erwähnt, das den Erfolg der Einführung des Cloud Computing in Europa gewährleistet. In der Mitteilung heißt es (9), dass der Verordnungsvorschlag viele Bedenken aufgreift, die von Anbietern von Cloud-Diensten und von Cloud-Anwendern (10) geäußert worden sind. |
I.4 Schwerpunkt und Struktur der Stellungnahme
9. |
Die vorliegende Stellungnahme verfolgt drei Ziele. |
10. |
Erstens möchte sie die Relevanz des Schutzes der Privatsphäre und des Datenschutzes in den aktuellen Diskussionen über Cloud Computing unterstreichen. So weist sie insbesondere darauf hin, dass das Datenschutzniveau in einer Cloud-Computing-Umgebung nicht niedriger sein darf als in jedem anderen Datenverarbeitungsumfeld. Cloud Computing kann nur weiterentwickelt und rechtmäßig angewandt werden, wenn es gewährleistet, dass dieses Datenschutzniveau gewahrt wird (siehe Kapitel III.3). Die Stellungnahme berücksichtigt hier die Orientierungshilfen in der Stellungnahme der Artikel-29-Datenschutzgruppe. |
11. |
Zweitens sollen die größten Herausforderungen näher analysiert werden, die das Cloud Computing vor dem Hintergrund der vorgeschlagenen Datenschutzverordnung mit sich bringt, insbesondere die Schwierigkeit, eindeutig die Verantwortlichkeiten der einzelnen Beteiligten und die Begriffe des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters festzulegen. Die Stellungnahme untersucht (im Wesentlichen in Kapitel IV), wie der Verordnungsvorschlag in seiner jetzigen Fassung (11), dazu beitragen könnte, bei Cloud-Computing-Diensten ein hohes Datenschutzniveau zu gewährleisten. Sie stützt sich daher auf die Ansichten, die der EDSB in seiner Stellungnahme zum Datenschutzreformpaket dargelegt hat (nachstehend „Stellungnahme des EDSB zum Datenschutzreformpaket“) (12), und ergänzt diese durch besonderes Eingehen auf die Cloud-Computing-Umgebung. Der EDSB weist nachdrücklich darauf hin, dass seine Stellungnahme zum Datenschutzreformpaket in vollem Umfang auch auf Cloud-Computing-Dienste Anwendung findet und als Grundlage der vorliegenden Stellungnahme zu betrachten ist. Einige der dort behandelten Fragen — wie die neuen Bestimmungen über die Rechte betroffener Personen (13) — sind außerdem hinreichend klar und werden daher in dieser Stellungnahme nicht weiter erörtert. |
12. |
Drittens sollen die Bereiche ermittelt werden, in denen aus der Sicht des Schutzes der Privatsphäre und des Datenschutzes mit Blick auf die von der Kommission in der Mitteilung dargelegte Cloud-Strategie ein weiteres Tätigwerden auf EU-Ebene erforderlich ist. Dazu gehören unter anderem weitere Orientierungshilfen, Normungsbemühungen, die Durchführung weiterer Risikobewertungen für bestimmte Sektoren (wie den öffentlichen Sektor), die Ausarbeitung von Standardvertragsklauseln, die Aufnahme eines internationalen Dialogs über Fragen im Zusammenhang mit dem Cloud Computing und die Gewährleistung wirksamer Mittel der internationalen Zusammenarbeit (dargestellt in Kapitel V). |
13. |
Die Stellungnahme ist folgendermaßen aufgebaut: Kapitel II bietet einen Überblick über die Hauptmerkmale des Cloud Computing und die damit zusammenhängenden Datenschutzprobleme. Kapitel III enthält eine Übersicht über die relevantesten Elemente des EU-Rechtsrahmens und des Verordnungsvorschlags. In Kapitel IV wird der Frage nachgegangen, wie die vorgeschlagene Verordnung bei der Bewältigung der Herausforderungen helfen kann, die die Nutzung von Cloud-Computing-Diensten mit sich bringt. Kapitel V analysiert die Vorschläge der Kommission für weitere politische Entwicklungen und benennt die Bereiche, in denen weitere Arbeiten erforderlich sein könnten. Kapitel VI enthält die Schlussfolgerungen. |
14. |
Zwar gelten viele der in dieser Stellungnahme angestellten Überlegungen für alle Umgebungen, in denen Cloud Computing zum Einsatz kommt, doch befasst sich diese Stellungnahme nicht mit der Nutzung von Cloud-Computing-Diensten durch Organe und Einrichtungen der EU, die gemäß der Verordnung (EG) Nr. 45/2001 der Aufsicht durch den EDSB unterliegen. Für diese Organe und Einrichtungen wird der EDSB zu diesem Thema eigene Leitlinien herausgeben. |
VI. Schlussfolgerungen
121. |
Wie es in der Mitteilung heißt, eröffnet das Cloud Computing Unternehmen, Verbrauchern und dem öffentlichen Sektor viele neue Möglichkeiten für die Verwaltung von Daten durch Nutzung entfernter externer IT-Ressourcen. Gleichzeitig bringt es viele Probleme mit sich, insbesondere bezüglich des angemessenen Datenschutzniveaus für die so verarbeiteten Daten. |
122. |
Bei der Nutzung von Cloud-Computing-Diensten besteht die große Gefahr, dass die Verantwortung für von Cloud-Diensteanbietern vorgenommene Verarbeitungen nicht mehr zuzuordnen ist, wenn die Kriterien für die Anwendbarkeit des EU-Datenschutzrechts nicht hinreichend klar definiert sind und wenn die Verantwortung von Cloud-Diensteanbietern zu eng definiert oder interpretiert oder nicht wirksam umgesetzt wird. Der EDSB weist nachdrücklich darauf hin, dass die Nutzung von Cloud-Computing-Diensten keine Senkung von Datenschutzstandards unter die für herkömmliche Datenverarbeitungsvorgänge rechtfertigt. |
123. |
Diesbezüglich enthält die vorgeschlagene Datenschutzverordnung in ihrer ursprünglichen Fassung viele Klarstellungen und Instrumente, mit denen gewährleistet werden könnte, dass Cloud-Diensteanbieter, die ihre Dienste Kunden mit Sitz in Europa anbieten, ein zufrieden stellendes Datenschutzniveau bieten; zu erwähnen ist insbesondere Folgendes:
|
124. |
Dessen ungeachtet schlägt der EDSB unter Berücksichtigung der Besonderheiten von Cloud-Computing-Diensten vor, in der vorgeschlagenen Verordnung folgende Aspekte zu klären:
|
125. |
Der EDSB weist ferner darauf hin, dass von Seiten der Kommission und/oder der Aufsichtsbehörden (insbesondere des künftigen Europäischen Datenschutzausschusses) zu folgenden Aspekten noch weitere Orientierungshilfen benötigt werden:
|
126. |
Der EDSB räumt ein, dass von der Branche abgefasste und von den zuständigen Aufsichtsbehörden genehmigte Verhaltensregeln einen sinnvollen Beitrag zur Einhaltung der Vorschriften und zu einem Klima des Vertrauens zwischen den verschiedenen Beteiligten leisten könnten. |
127. |
Der EDSB unterstützt, dass die Kommission in enger Absprache mit Aufsichtsbehörden Standardvertragsklauseln für die Erbringung von Cloud-Computing-Diensten ausarbeitet, die den Datenschutzanforderungen Genüge tun, und zwar vor allem
|
128. |
Der EDSB weist darauf hin, dass bei der Entwicklung von Normen und Zertifizierungsregelungen den Datenschutzanforderungen angemessen Rechnung zu tragen ist; es geht insbesondere um Folgendes:
|
129. |
Schließlich unterstreicht der EDSB die Notwendigkeit einer Behandlung der durch das Cloud Computing aufgeworfenen Probleme auf internationaler Ebene. Er fordert die Kommission auf, sich am internationalen Dialog über Probleme im Bereich des Cloud Computing einschließlich Rechtssystem und Zugang durch Strafverfolgungsbehörden zu beteiligen und regt an, einen Großteil dieser Fragen in verschiedenen internationalen oder bilateralen Abkommen wie Amtshilfeabkommen oder auch Handelsabkommen anzusprechen. Auf internationaler Ebene könnten weltweite Normen ausgearbeitet werden, in denen Mindestbedingungen und Grundsätze für den Datenzugang durch Strafverfolgungsbehörden festgelegt werden. Er unterstützt ferner die Entwicklung wirksamer Verfahren der internationalen Zusammenarbeit durch die Aufsichtsbehörden, insbesondere im Hinblick auf Probleme beim Cloud Computing. |
Brüssel, den 16. November 2012
Peter HUSTINX
Europäischer Datenschutzbeauftragter
(1) COM(2012) 529 final.
(2) COM(2012) 11 final.
(3) KOM(2010) 245 endgültig.
(4) http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf
(5) Die Artikel-29-Datenschutzgruppe ist ein gemäß Artikel 29 der Richtlinie 95/46/EG eingerichtetes beratendes Gremium. Sie besteht aus Vertretern der nationalen Aufsichtsbehörden und des EDSB sowie einem Vertreter der Kommission.
(6) Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012 zum Cloud Computing, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_de.pdf
(7) Außerdem haben nationale Datenschutzbehörden in mehreren Mitgliedstaaten eigene Leitfäden zum Thema Cloud Computing herausgegeben; dazu gehören Italien, Schweden, Dänemark, Deutschland, Frankreich und das Vereinigte Königreich.
(8) Entschließung zum Thema Cloud Computing, angenommen auf der 34. Internationalen Konferenz der Datenschutzbeauftragten, Uruguay, 26. Oktober 2012.
(9) Siehe S. 8 der Mitteilung, Abschnitt „Vertrauensbildung im digitalen Umfeld“.
(10) Der Begriff „Cloud-Anwender“ wird in dieser Stellungnahme im Allgemeinen als Bezeichnung für Kunden verwendet, die in ihrer Eigenschaft als Unternehmen handeln, und für Verbraucher, die in ihrer Eigenschaft als individuelle Endbenutzer handeln.
(11) Es sollte berücksichtigt werden, dass der Verordnungsentwurf derzeit im ordentlichen Gesetzgebungsverfahren im Rat und im Europäischen Parlament erörtert wird.
(12) Die Stellungnahme kann abgerufen werden unter http://www.edps.europa.eu
(13) Siehe Stellungnahme des EDSB, insbesondere Punkte 140 bis 158.