Schlagwort-Archive: Aufsichtsbehörde

Orientierungshilfe – Cloud Computing

Die Datenschutz-Aufsichtsbehörden haben eine aktualisierte Orientierungshilfe zum Thema “Cloud Computing” verabschiedet.
In der nun vorliegenden zweiten Fassung gehen die Aufsichtsbehörden vertieft auf die Zulässigkeit der Datenübermittlung an Stellen außerhalb der europäischen Union im Licht etwaiger geheimdienstlicher Tätigkeiten ein. Auch die Ausführungen zu den technischen und organisatorischen Anforderungen wurden vertieft.

Die Orientierungshilfe schließt mit folgendem Fazit:

„(…) Die wirtschaftlichen Vorteile des Cloud Computing für die Anwender sind nicht zu übersehen. Die starke Reduktion der selbst noch vorzuhaltenden Infrastruktur, die Verringerung des Bedarfs an eigenem IT-Fachpersonal, die Vermeidung von Risiken der Über- und Unterkapazitäten und die bessere Übersichtlichkeit der Kosten der Datenverarbeitung sind für Unternehmen und Behörden gute Gründe, die Beauftragung von Cloud-Computing-Anbietern in Erwägung zu ziehen.
Problematisch ist es jedoch, die Compliance-Anforderungen an die Datenverarbeitung der Unternehmen und Behörden, zu denen Datenschutz und Informationssicherheit, aber auch die Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehören, unter den Rahmenbedingungen des Cloud Computing, insbesondere in der Public Cloud, zu erfüllen. Es muss verhindert werden, dass die Fähigkeit der Organisationen, allen voran ihrer Leitungen, die Verantwortung für die eigene Datenverarbeitung noch tragen zu können, durch das Cloud Computing untergraben wird.
Zu verlangen sind also mindestens
– offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Anwender klare Entscheidungskriterien bei der Wahl zwischen den Anbietern haben, aber auch, ob Cloud Computing überhaupt in Frage kommt;
– transparente, detaillierte und eindeutige vertragliche Regelungen der Cloudgestützten Auftragsdatenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass z. B. wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter „umziehen“ kann;
– die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;
– die Vorlage aktueller Zertifikate, die die Infrastruktur betreffen, die bei der Auftragserfüllung in Anspruch genommen wird, zur Gewährleistung der Informationssicherheit und der o. g. Portabilität und Interoperabilität durch anerkannte und unabhängige Prüfungsorganisationen. (…)

Quelle: oh_cloud.pdf

OVG Sachsen: Auskunftsanspruch der Aufsichtsbehörde

OVG Sachsen: Auskunftsanspruch der Aufsichtsbehörde

1. Soweit die Verpflichtung zur Auskunfterteilung in die Be­rufsfreiheit und in das Recht am eingerichteten und ausge­übten Gewerbebetrieb eingreift, ist dieser Eingriff durch § 38 Abs. 3 S. 1 BDSG gedeckt.

2. Die Verpflichtung zu einer vollständigen Auskunft ist ver­hältnismäßig, wenn ein hinreichender Anlass für eine das gesamte Verarbeitungshandeln umfassende Auskunft vor­liegt.

(Orientierungssätze)

Sächsisches Oberverwaltungsgericht, Beschluss vom 17. Juli 2013, Az.: 3 B 470/12.