Der Bundesrat hat in seiner 903. Sitzung am 23. November 2012 gemäß §§ 3 und 5 EUZBLG die folgende Stellungnahme beschlossen:
- 1. Der Bundesrat bittet, bei den weiteren Schritten zur Förderung von Cloud-Computing
- - Angeboten folgende Fragestellungen einzubeziehen, auf die die Mitteilung bislang nur unzureichend eingeht:
- 2. Die als Eckpunkt der Cloud-Computing-Strategie bestimmten Vorschläge der Kommission für eine Datenschutz-Grundverordnung (BR-Drucksache 052/12 (PDF) ) erfordern unter mehreren Gesichtspunkten Nachbesserungen, um die angestrebten Verbesserungen der rechtlichen Rahmenbedingung für Anbieter und Nutzer zu erreichen:
- - Anforderungen wie die weitreichende Verpflichtung zur Dokumentation auch für den Auftragsdatenverarbeiter, verbindliche Zustimmungserfordernisse für Unterauftragsverhältnisse oder andere unklare Abgrenzungen der datenschutzrechtlichen Pflichten von Verantwortlichen und Auftragsdatenverarbeitern werden den Besonderheiten von Cloud-Computing-Diensten nicht gerecht.
- - Wie der Bundesrat bereits in seiner Stellungnahme vom 30. März 2012 (BR-Drucksache 052/12(B)
) festgestellt hat, fehlen im Vorschlag der Datenschutz-Grundverordnung klare Anforderungen an Zertifizierungsverfahren, insbesondere an das Verfahren der Standardsetzung und die mit Zertifizierungen verbundenen Rechtsfolgen, obwohl diese Zertifizierungsverfahren in der Mitteilung zur Cloud-Computing-Strategie eine Schlüsselstellung einnehmen. - - Der Bundesrat bittet, bei dem angestrebten internationalen Dialog über Cloud-Computing mit Nachdruck Lösungen für diese bestehenden Datenschutz-Konflikte voranzutreiben und in der Zwischenzeit im Einvernehmen mit den Datenschutzaufsichtsbehörden tragfähige Übergangslösungen zu entwickeln. Die Gewährleistung eines angemessenen Datenschutzniveaus für Verarbeitungsprozesse in Drittstaaten ist derzeit einer der zentralen Problempunkte bei der datenschutzrechtlichen Beurteilung von Cloud-Computing-Angeboten. Der Vorschlag der Datenschutz-Grundverordnung enthält zwar Instrumente zur Flexibilisierung des außereuropäischen Datenverkehrs, aber keine tragfähigen Lösungsansätze für Konflikte zwischen europäischen Datenschutzanforderungen und öffentlichrechtlichen Verpflichtungen der Diensteanbieter in Drittstaaten etwa im Bereich des Sicherheits- oder Strafverfolgungsrechts. Der Abschluss völkerrechtlicher Verträge, die verbindliche Garantien für die im Rahmen von Cloud-Computing-Diensten verarbeiteten Daten schaffen, ist Aufgabe der EU.
- - Der Bundesrat bittet, bei der angestrebten Entwicklung technologischer Standards für Cloud-Computing-Dienste der Bereitstellung von Verschlüsselungsverfahren besonderen Stellenwert einzuräumen, die nicht nur für den Bedarf von Unternehmen und öffentlichen Stellen, sondern auch für die Verbraucherinnen und Verbraucher im Alltag handhabbar sind. Gerade unter den komplexen Verarbeitungsbedingungen von Cloud-Computing-Diensten haben wirksame technische Schutzmaßnahmen, insbesondere durchgängig eingesetzte Verschlüsselungsverfahren für Datenübermittlung und -speicherung, eine zentrale Bedeutung. Mit der zunehmenden Nutzung von Cloud-Diensten auch im privaten Kontext müssen Verfahren zur Datenverschlüsselung für jedermann als selbstverständliches Basiswerkzeug einsetzbar sein und von vornherein in Cloud-Computing-Dienste integriert sein.
- - Anknüpfend an seine oben genannte Stellungnahme vom 30. März 2012 bittet der Bundesrat außerdem, bei den in der Mitteilung angekündigten und auch im Vorschlag der Datenschutz-Grundverordnung vorgesehenen Verfahren der unionsweiten Festlegung technischer und organisatorischer Datenschutzmaßnahmen national etablierte Standards und nationale Akteure einzubeziehen.
- 3. Der Bundesrat stellt klar, dass die in der Mitteilung angestrebten europäischen Cloud-Partnerschaften zur Bündelung der Nachfrage nach Cloud-Diensten im öffentlichen Sektor nur eine in jeder Hinsicht freiwillige und offene Kooperation der verantwortlichen Stellen zu begründen vermag, deren Ziel nur die Koordination allgemeiner Anforderungen des öffentlichen Sektors sein sollte. Die Entscheidung öffentlicher Stellen über die Organisation ihrer IT-Systeme folgt aufgabenbezogenen Anforderungen. Die Beauftragung Dritter, wie im Rahmen sogenannter öffentlicher Clouds (siehe Abschnitt 3 der Mitteilung), exklusiver Strukturen unter Beauftragung Externer im Rahmen "privater Clouds" oder für den Aufbau von IT-Systemen durch die öffentliche Stelle selbst bzw. in Kooperation mit anderen öffentlichen Stellen des staatlichen oder kommunalen Bereichs, sind zunächst gleichwertige Optionen. Die Entscheidung über diese unterschiedlichen Modelle unterliegt nicht Kriterien des Wettbewerbsrechts, sondern spezifischen Anforderungen der Mitgliedstaaten, z.B. im Bereich des Haushalts-, Organisations- oder Datenschutzrechts.
- 4. Der Bundesrat hält es für erforderlich, die Umsetzung der Cloud-Computing-Strategie durch ein begleitendes Verfahren der Datenschutz- und Technologie-Folgen-Abschätzung zu ergänzen. Trotz aller vorgesehenen Maßnahmen zur Gewährleistung des Datenschutzes, der Sicherheit von IT-Systemen und der Bekämpfung von Cyberkriminalität ergeben sich durch die umfassende Verlagerung von Datenverarbeitungsprozessen auf Externe wie bei jeder Bündelung großer Datenbestände strukturelle Risiken, deren Entwicklung sorgfältig evaluiert werden sollte.
- 5. Der Bundesrat übermittelt diese Stellungnahme direkt an die Kommission.