Positionspapier der DSK „Kriterien für Souveräne Clouds“

Die Datenschutzkonferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK) bringt mit dem Positionspapier „Kriterien für Souveräne Clouds“ ihre Expertise und Erfahrungen in die politische Diskussion ein.

Politische Strategien zur Digitalisierung der Europäischen Union sehen „Digitale Souveränität“ als erstrebenswertes politisches Entwicklungsziel an und souveräne Clouds als ein wichtiges Mittel dafür. Dazu hat der deutsche IT-Planungsrat die AG Cloud Computing und Digitale Souveränität gegründet. Der Begriff „Digitale Souveränität“ wird dabei in der öffentlichen Debatte mit unterschiedlichen Bedeutungen verwendet. Je nach Sichtweise – etwa aus dem Blickwinkel der Ökonomie, der Forschung, der Innovationskraft, der inneren und äußeren Sicherheit sowie der IT-Sicherheit – werden unterschiedliche Schwerpunkte der technologischen Unabhängigkeit betont. Nach der relativ neutralen Definition des Kompetenzzentrums Öffentliche IT ist „Digitale Souveränität“ in einem umfassenden Sinne „die Summe aller Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rollen in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.“ Die DSK bringt mit dem vorliegenden Positionspapier ihre Expertise und ihre Erfahrungen in die politische Diskussion ein.

Dies ist insbesondere deshalb wichtig, weil es am Markt bereits einige Angebote gibt, die sich als „Souveräne Clouds“ bezeichnen. Ein einheitliches Verständnis dieses Begriffs gibt es aber bisher nicht. Weder „Digitale Souveränität“ noch „Souveräne Cloud“ sind Rechtsbegriffe. Sie werden in der DSGVO nicht genannt. Sie sprechen jedoch ein Problem an, mit dem datenschutzrechtliche Aufsichtsbehörden täglich konfrontiert sind: Beispielsweise bereiten Clouds, die aus Ländern ohne gleichwertiges Datenschutzniveau oder von Unternehmen, die der Rechtsordnung solcher Länder unterworfen sind, angeboten werden, in der Umsetzung von Datenschutz besondere Schwierigkeiten. Verantwortliche, die solche Clouds nutzen, können vielfach ihren datenschutzrechtlichen Pflichten nicht nachkommen. Sie sind insbesondere nicht in der Lage nachzuweisen, dass sie unter Nutzung dieser Clouds die Anforderungen der DSGVO erfüllen. Eine „Souveräne Cloud“ verdient diesen Namen aber nur, wenn sie es dem Verantwortlichen ermöglicht, seinen datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft nachzukommen.

Das Positionspapier zielt nicht auf eine abschließende datenschutzrechtliche Bewertung eines Cloud-Angebots und einer Cloud-Nutzung im Einzelfall. Es enthält vielmehr die Kriterien, die nach Meinung der DSK erfüllt sein sollten oder müssen, um von einer „Souveränen Cloud“ sprechen zu können. Im Mittelpunkt des Datenschutzes stehen dabei die Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung ihrer personenbezogenen Daten.

Die im Rahmen des Positionspapiers erarbeiteten Kriterien zielen auf die digitale Souveränität der Cloud‐Anbietenden und Cloud‐Anwendenden ab, um die Einhaltung der Rechte und Freiheiten der betroffenen Personen zu unterstützen. Souveräne Clouds müssen es den Verantwortlichen ermöglichen, die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen. Die Kriterien umfassen die Punkte „Nachvollziehbarkeit durch Transparenz“, „Datenhoheit und Kontrollierbarkeit“, „Offenheit“, „Vorhersehbarkeit und Verlässlichkeit“ sowie „Regelmäßige Prüfung der aufgestellten Kriterien“.

Fundstelle: Stellungnahme „Kriterien für Souveräne Clouds“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023 – abrufbar im Internet unter https://datenschutzkonferenz-online.de/media/weitere_dokumente/2023-05-11_DSK-Positionspapier_Kritierien-Souv-Clouds.pdf