Cloud-Richtlinie

Der lange Weg zum EU-weiten Cloud-Recht

Deutschland schreitet mit Trusted Cloud voran

Zumindest auf nationaler Ebene ist man hier ein Stück weiter. Im Rahmen des Trusted Cloud-Projekts des Bundeswirtschaftsministeriums arbeitet die Arbeitsgruppe Rechtsrahmen daran, die rechtlichen Tretminen im Cloud Computing im deutschen Recht zu entschärfen. Unter dem Vorsitz von Prof. Borges beschäftigt sich die AG Rechtsrahmen schwerpunktmäßig mit den Themen Datenschutz, Geheimnisschutz und Vertragsgestaltung.

"Die AG Rechtsrahmen spricht sich für ein Zertifizierungsmodell der Provider aus", sagt Jan Geert Meents, der auch in diesem Gremium mitmischt. "Über das Zertifikat hätten Unternehmen, die personenbezogene Daten in die Cloud verlagern, die Möglichkeit, die engen Voraussetzungen des Paragraf 11 des Bundesdatenschutzgesetzes zu erfüllen. Die Vergabe der Zertifikate würde durch eine private beziehungsweise öffentliche Instanz erfolgen und wäre zeitlich begrenzt." Firmen wie Microsoft, doch auch kleinere lokale Anbieter wären demnach verpflichtet, alle paar Jahre ein Audit über sich ergehen zu lassen, um weiterhin als Cloud-Provider arbeiten zu dürfen - und die Anwenderfirmen könnten sich im Falle eines Schadens darauf berufen und wären den schwarzen Peter los.

Zum Thema Zertifizierung hat die AG Rechtsrahmen im Februar dieses Jahres ein Arbeitspapier zum Thema "Modulare Zertifizierung von Cloud-Diensten" veröffentlicht. Prof. Borges rechnet damit, dass nächstes Frühjahr die Eckpunkte für die Zertifizierung fertig sind. Sie würden die Prüfanforderungen auf Basis von ISO definieren, anhand derer die herausgebenden Instanzen (beispielsweise der TÜV) die Zertifikate für Cloud-Provider ausstellen würden. In die Praxis umsetzbar soll das Konzept dann in zwei bis der Jahren sein.

Unterstützt wird diese Arbeit seit letzten Dezember durch das Pilotprojekt "Datenschutz-Zertifizierung für Cloud Computing", das ebenfalls im Trusted_Cloud-Projekt eingebettet ist. Daran beteiligt sind sieben Datenschutzbehörden, außerdem Anbieter und Anwender von Cloud-Diensten sowie Firmen aus den Bereichen der IT-Prüfung und IT-Rechtsberatung.

Sowohl der Zertifizierungsprozess der Cloud-Dienstleister als auch die Vertragsgestaltung, die die AG Rechtsrahmen erarbeitet, könnten Blaupausen für die EU-weite Regelung sein, die momentan in den entsprechenden EU-Gremien diskutiert wird. "Das ist unser Ziel", bestätigt auch Borges, und die Idee scheint auch die EU-Kommission nicht unsympathisch zu sein. Bei den Arbeitssitzungen der AG Rechtsrahmen ist immer auch ein Vertreter der EU-Kommission anwesend. Letztere hat immerhin im Februar eine Liste von Kriterien für die Zertifizierung von Cloud-Dienstleistern veröffentlicht, an der sich künftige europäische Zertifizierungsstellen orientieren sollen. (jha)