Die Artikel 29-Datenschutzgruppe hat ein Arbeitsdokument zum Thema Cloud Computing veröffentlicht. Darin präzisiert sie den geltenden Rechtsrahmen für Anbieter solcher Dienste und ihre Kunden. Außerdem hat sie Fragen analysiert im Zusammenhang mit dem Datenschutz und den Pflichten der für die Datenverarbeitung Verantwortlichen, die im Europäischen Wirtschaftsraums (EWR) aktiv sind.
Cloud Computing bezeichnet das Nutzen von IT-Dienstleistungen über ein Netzwerk, die vorher auf einem lokalen Computer oder Server von Firmen, Organisationen oder Privatpersonen gespeichert waren. Die Anwendungen und Daten befinden sich dann nicht mehr auf dem lokalen Rechner, sondern in der Wolke ("Cloud"). Viele Dienstleistungen werden heute über die sogenannte Cloud zur Verfügung gestellt. Diese ermöglichen es Unternehmen ihre IT- und Unterkunftskosten zu bündeln und Leistungen zu nutzen auf die sie vorher aus finanziellen Gründenvorher keinen Zugang hatten.
Datenschutz und Cloud Computing
Trotz seiner wirtschaftlichen und praktischen Vorteilen, wirft der immer häufigere Einsatz von Cloud Computing zur Verarbeitung personenbezogener Daten einige Probleme auf. Die Arbeitsgruppe wies insbesondere auf den Mangel an Kontrolle über die persönlichen Daten hin. So ist es beim Cloud Computing schwieriger für einen Kunden angemessene technische und organisatorische Maßnahmen bereitzustellen um die Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Isolation und Portabilität der Daten zu gewährleisten.
Unzureichende Informationen über die Details der Datenverarbeitung stellen ebenfalls ein erhebliches Risiko dar. So kann es ohne die nötige Transparenz schwierig für den Kunden werden seine Verpflichtungen als für die Datenverarbeitung Verantwortlichen zu erfüllen. Es könnte, zum Beispiel, möglich sein daß er nicht darüber Bescheid weiß, daß die Datenverarbeitung von mehreren für die Verarbeitung Verantwortliche und Auftragsverarbeiter durchgeführt wird oder daß die Daten außerhalb des EWR in ein Land übermittelt werden, das kein angemessenes Schutzniveau gewährleistet.
Generell sollte der Kunde einer Cloud-Dienstleistung immer darüber informiert werden, von wem und aus welchem Grund seine Daten verarbeitet werden. In seiner Stellungnahme hat die Arbeitsgruppe die Anbieter ebenfalls dazu aufgefordert ihren Kunden Informationen über ihre Auftragsverarbeiter und über die Orte an denen die Datenverarbeitung stattfindet zu übermitteln.
Empfehlungen der europäischen Datenschutzgruppe
Einer der wichtigsten Empfehlungen der Arbeitsgruppe an Unternehmen und Behörden ist eine Risikoanalyse durchzuführen bevor man sich für einen Cloud-Anbieter entschiedet und sicherzustellen daß die Sicherheit, Transparenz und Rechtmäßigkeit gewährleistet sind.
Außerdem hat die Gruppe den Kunden empfohlen einen Anbieter auszuwählen der sich an die europäische Gesetzgebung zum Datenschutz hällt, insbesondere im Bezug auf Datentransfers in Drittländer.