Brüssel, den 29. 5. 2013
C(2013) 3132 final
Herrn Winfried KRETSCHMANN
Präsident des Bundesrates
Leipziger Straße 3 - 4
D- 10117 Berlin
Sehr geehrter Herr Bundesratspräsident,
die Kommission dankt dem Bundesrat für seine Stellungnahme zur Mitteilung "Freisetzung des Cloud-Computing-Potenzials in Europa" (COM (2012) 529 final) und bedauert die verspätete Antwort.
Die Kommission möchte zunächst auf Ihre Bedenken hinsichtlich der Verschlüsselung, der Standards und der Europäischen Cloud-Partnerschaften eingehen.
Hinsichtlich der Entwicklung von Verschlüsselungsverfahren hält die Kommission die Verschlüsselung nicht nur für Daten auf dem Übermittlungsweg und bei der Speicherung für notwendig, sondern auch bei der Verarbeitung Sollte es daran fehlen, liegt ein entscheidender Schwachpunkt bzw. ein potenzielles Hemmnis für die Nutzung von Cloud-Diensten vor. Der Kommission sind die jüngsten Fortschritte der europäischen Forschung bei der Verarbeitung verschlüsselter Daten bekannt. Verschlüsselungsstandards sind Gegenstand der Erarbeitung von Sicherheitsstandards im Rahmen der in der Mitteilung angekündigten Aufstellung eines Plans der erforderlichen Normen unter Federführung des Europäischen Instituts für Telekommunikationsnormen (ETSI).
Was "nationale Standards" betrifft, so gibt es nach Kenntnis der Kommission keine "etablierten" nationalen Standards für Cloud-Dienste in Europa. Allerdings gibt es viele Standards, die für die Bereitstellung von Cloud-Diensten von Belang sind. Daher ist eine Bestandsaufnahme notwendig Die nationalen Gremien wurden unter anderem durch die Multi-Stakeholder-Partnerschaft im Bereich Normen um ihre Beteiligung gebeten, und viele werden diesem Wunsch nachkommen.
Hinsichtlich der Europäischen Cloud-Partnerschaft (ECP) kann die Kommission dem Bundesrat versichern, dass die ECP eine offene und freiwillige Kooperation darstellen soll, die Lernzeiten verringert und für eine effizientere Zusammenarbeit der öffentlichen Verwaltungen bei der Festlegung bewährter Verfahren in diesem aufstrebenden Bereich sorgt. Darüber hinaus heißt es in der Mitteilung, dass die Behörden ihren regulatorischen Verpflichtungen im Interesse des bestmöglichen Kosten-Nutzen-Verhältnisses nachkommen müssen. Die Kommission ist der Auffassung, dass kommerzielle Dienste eher das Preis-Leistungs-Kriterium erfüllen als maßgeschneiderte Lösungen auf Einzelbestellung und, wie die Erfahrungen in mehreren Mitgliedstaaten zeigen, auch für Behörden in Betracht kommen können, wenn sie den Sorgfaltspflichten von Unternehmen gerecht werden.
Hinsichtlich Ihrer Bedenken in Bezug auf den Datenschutz, insbesondere im Zusammenhang mit der vorgeschlagenen Datenschutz-Grundverordnung (nachstehend " die vorgeschlagene Verordnungl, bezieht sich die Kommission auf ihre Antwort vom 10. Januar 2013 auf Ihre Stellungnahme vom 30. März 2012. Die Kommission ist nach wie vor überzeugt, dass die von ihr vorgeschlagene Neufassung der Datenschutzvorschriften einen Rechtsrahmen bietet, der den Herausforderungen der neuen Technologien, einschließlich Cloud-Computing, vollkommen gerecht werden kann. Die Neufassung wurde insbesondere im Hinblick auf das Cloud-Computing vorgeschlagen. In der Mitteilung wird bereits darauf hingewiesen, dass die Kommission die notwendigen zusätzlichen Orientierungshilfen für Cloud-Dienste geben wird.
Im Hinblick auf Cloud-Anbieter, die als Auftragsverarbeiter tätig sind, enthält die vorgeschlagene Verordnung Vorschriften für Auftragsverarbeiter personenbezogener Daten in Bezug auf die Datensicherheit, die Dokumentation, die Information des für die Verarbeitung Verantwortlichen bei Verstößen gegen den Schutz personenbezogener Daten sowie die Datenübermittlung ins Ausland Ferner erläutert Artikel 26 der vorgeschlagenen Verordnung die Anforderungen an die Verträge zwischen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern. Dies verbessert die Vertrauenswürdigkeit der Beziehungen zwischen Cloud-Anbietern, die als Auftragsverarbeiter handeln, sowie ihren Kunden, die als für die Verarbeitung Verantwortlichen fungieren.
Darüber hinaus heißt es in der Mitteilung ausdrücklich, dass Standard-Vertragsklauseln für die Übertragung personenbezogener Daten in Drittländer überprüft und gegebenenfalls auf Cloud-Dienste angepasst werden sollen. Die Kommission ist darüber hinaus der Auffassung, dass Standardvertragsklauseln für Unterauftragsverarbeiter gelten sollten. Ferner beabsichtigt die Kommission, die Teilhabe Europas am weltweiten Wachstum des Cloud-Computing zu fördern, indem sie die nationalen Datenschutzbehörden auffordert, verbindliche unternehmensinterne Vorschriften für Cloud-Anbieter zu billigen. Verbindliche unternehmensinterne Vorschriften ermöglichen die Entwicklung eines umfassenden Konzepts für die Übertragung in Drittländer, das für Rechtssicherheit sorgt. Die europäischen Datenschutz-Aufsichtsbehörden haben am 21. Dezember 2012 verbindliche unternehmensinterne Vorschriften für Auftragsverarbeiter erlassen.
Hinsichtlich der Notwendigkeit, die datenschutzrechtlichen Rechte und Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter für Anbieter von Cloud-Diensten bzw. der Akteure in der Cloud-Computing-Wertschöpfungskette zu ermitteln und zu differenzieren, teilt die Kommission die Auffassung, dass in diesem Bereich weitere Orientierungshilfe über die Anwendung der bestehenden EU-Datenschutzrichtlinie notwendig ist.
Hinsichtlich der gemeinsamen Verantwortung für die Verarbeitung beabsichtigt die vorgeschlagene Verordnung, mit Hilfe von Artikel 24 den verschiedenen möglichen Vereinbarungen über die Aufgabenverteilung zwischen Cloud-Anbietern und ihren Kunden besser Rechnung zu tragen.
Was die Zertifizierungsverfahren betrifft, so fördert Artikel 39 der vorgeschlagenen Verordnung die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -zeichen für die Datenschutzaspekte. Im Hinblick auf das Cloud-Computing hält es die Kommission für verfrüht, bestimmte Zertifizierungsanforderungen für Cloud-Dienste festzulegen, da zurzeit in diesem Bereich Zertifizierungssysteme entwickelt werden. Der Vorschlag in der Mitteilung, ein Verzeichnis der Zertifizierungsprogramme zu I COM (2012) 11 find erstellen, dient der Vorbereitung " eindeutiger Anforderungen an die Zertifizierungsverfahren".
Im Hinblick auf den internationalen Dialog beabsichtigt die Kommission die Ausweitung ihrer laufenden internationalen Gespräche mit verschiedenen Ländern, um ein gemeinsames Vorgehen bei wichtigen Themen im Zusammenhang mit Cloud-Diensten wie Datenschutz, Datenzugang für Strafverfolgungsbehörden, Anwendung von Amtshilfevereinbarungen und Cyber-Sicherheit zu entwickeln.
Im Hinblick auf die Anwendung des Rechts von Drittstaaten und mögliche Konflikte achtet die Kommission besonders aufmerksam auf in Drittländern geltende Rechtsvorschriften, durch deren etwaige extraterritoriale Anwendung das Grundrecht der Bürger auf Schutz ihrer personenbezogenen Daten möglicherweise untergraben werden könnte. Nach den Regeln des Völkerrechts kann ein ausländischer Rechtsakt als solcher das einschlägige EU-Recht oder die Gesetze der Mitgliedstaaten nicht außer Kraft setzen, auch nicht im Bereich des Datenschutzes. Diese Frage wird in Erwägungsgrund 90 der vorgeschlagenen Verordnung angesprochen: Datenübermittlungen sollten daher nur zulässig sein, wenn die in dieser Verordnung festgelegten Bedingungen für Datenübermittlungen in Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Weitergabe aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt ist. Folglich sollten die internationalen Kooperationsmechanismen wie Rechtshilfeabkommen auch künftig die geeigneten Kanäle für die Übermittlung personenbezogener Daten zu Strafverfolgungszwecken sein.
Die Kommission wird die Bedrohungslage sorgfältig analysieren und geeignete politische Maßnahmen vorschlagen, unter anderem im Rahmen der neuen " Cyber-Sicherheitsstrategie der Europäischen Union".
Die Kommission hofft, mit ihren Antworten den Bedenken des Bundesrates Rechnung getragen zu haben, und sieht der Fortsetzung unseres politischen Dialogs erwartungsvoll entgegen.
Mit freundlichen Grüßen
Siehe Drucksache 573/12(B)