1. Sie sind ein Anbieter von Cloud-Diensten: Bitte beschreiben Sie Ihr Angebot.

Transkript

1

2 1. Sie sind ein Anbieter von Cloud-Diensten: Bitte beschreiben Sie Ihr Angebot. Ja. Unterschiedliche Mitglieder des BVDW bieten Cloud-basierte Lösungen. Hierunter fallen sowohl private Cloud -Lösungen wie auch public Cloud -Ansätze. Grundlage der Differenzierung ist die NIST-Definition. In der Regel werden private Clouds im Umfeld von Geschäftskunden resp. Großkunden genutzt. Kernelement von private Cloud -Ansätzen ist eine Realisierung in geschlossenen Netzen (wie z.b. Firmennetzen). Public Cloud -Ansätze finden sich insbesondere im Segment der privaten Endkunden sowie kleiner und mittelständischer Unternehmen. Der Serverzugriff erfolgt in diesem Fall über das Internet. Gerade in diesem Bereich liegt ein hohes Effizienzpotential für die Gesamtwirtschaft. Deshalb ist es wichtig, Cloud-Services nicht nur im Bereich der Individuallösungen, sondern gerade auch als Massenanwendung zu betrachten und hierfür den geeigneten Rahmen bereitzuhalten. Die Wertschöpfungskette des Cloud-Computing hat sich zu einem Ökosystem weiterentwickelt. So bieten unterschiedliche BVDW-Mitglieder auch Cloud Lösungen aus unterschiedlichen Wertschöpfungsstufen sowie Vorleistungen an. Die Cloud-Angebote umfassen sowohl infrastructure- als auch software-as-a-service-angebote. 2. Welche Hindernisse gibt es für Sie bei der Bereitstellung Ihrer Cloud Computing Dienste innerhalb der EU? Anderswo? Beim Angebot von cloudbasierten Diensten in mehreren europäischen Ländern sind daher von Land zu Land unterschiedliche Zuständigkeiten, datenschutzrechtliche Verfahren und Anwendungen materiellrechtlicher Vorgaben zu beachten. Im Rahmen der Auftragsverarbeitung sind spezielle Regelungen wünschenswert, die für Cloud Service Provider beim Nachweis bestimmter Sicherheits-Standards gegenüber dem Kunden bilaterale Überprüfungspflichten entbehrlich machen, da anderenfalls in der Praxis die Handhabung für Provider und Kunden prohibitiv wirken kann, gerade im Falle internationaler Cloud- Anwendungen mit möglicherweise widerstreitenden Pflichten zu Datenschutz und Datensicherheit.

3 Zudem gibt es unterschiedliche rechtliche Regelungen in den EU-Mitgliedstaaten, die ein Hindernis darstellen können. So gibt es z.b. Staaten, in denen im Falle von IT-Outsourcing-Modellen die Einbeziehung von Sub-Vertragspartnern erschwert wird (z.b. in Ungarn). Auch gibt es Einschränkungen, die die Verarbeitung von Daten in bestimmten Fällen nur in ausgewählten Regionen zulassen. So gibt es mitunter auch in Deutschland Regelungen, die die Datenverarbeitung z.b. in steuer-relevanten Fällen nur in Deutschland sowie in EU-Mitgliedstaaten erlaubt. 3. Haben Sie das Gefühl, dass in den Cloud-Diensten, die Sie derzeit anbieten, die Rechte und Pflichten der Benutzer und Anbieter eindeutig definiert sind? Grundsätzlich sind die Beziehungen zwischen Anbieter und Benutzer durch Verträge abgesichert. Knackpunkt sind jedoch die unklaren Verantwortlichkeits- und Haftungsregelungen. So ist momentan unklar, in welcher Weise Anbieter mit Blick auf die ecommerce-richtlinie als mere conduits oder als host provider in Verantwortung genommen werden können. Hier wäre es ratsam, wenn die Europäische Union grundsätzlich eine Empfehlung herausgeben könnte, die vorsieht, dass Cloud-Service-Anbieter als mere conduits angesehen werden. Hintergrund sind technische Besonderheiten: So werden in der Regel Daten verschlüsselt auch auf Webservern gespeichert. Oftmals haben dann Cloud-Provider keinerlei Zugriffsmöglichkeiten sowie Einflussmöglichkeiten auf die Daten, die gespeichert oder verarbeitet werden. 4. Haben Sie das Gefühl, dass die Frage der Haftung bei grenzüberschreitenden Sachverhalten für Cloud-Benutzer und Cloud-Anbieter klar ist? Ja. Insbesondere mit Blick auf die Datenverarbeitung und speicherung im außereuropäischen Ausland ist es jedoch unerlässlich, dass es zu internationalen Übereinkünften kommt. Wichtige Aspekte sind hierbei: I. Klare Sicherheits- und Datenschutzbestimmungen II. Transparenzregelungen, die den Kunden über die anwendbaren gesetzlichen Regelungen informieren III. Verschlüsselung 5. Glauben Sie, dass Verbesserungen der aktuellen EU-Datenschutzrichtlinie die Nutzung von Cloud-Computing bei gleichzeitiger Wahrung des Datenschutzes weiter erleichtern könnte? I. Regelung eines Konzernprivilegs zur Erleichterung der cloudbasierten (Auftrags-) Datenverarbeitung im Konzern II. Bestellung eines Konzerndatenschutzbeauftragten zur Vereinfachung der Abläufe und zur Stärkung der Rechtssicherheit III. Sicherstellung eines einheitlichen Datenschutzniveaus und einheitlicher Auslegungsregeln innerhalb der Europäischen Union, um Wettbewerbsgefälle infolge unterschiedlicher Datenschutzregelungen zu verhindern. IV. Stärkung eines vergleichbaren Datenschutzniveaus auch im Verhältnis zu Drittstaaten bei gleichzeitiger Rechtssicherheit für den internationalen Datentransfer: Erforderlich ist hierfür die Weiterentwicklung des bestehenden safe-harbor-ansatzes, der insbesondere eine tatsächliche Sicherstellung und vor allem auch Durchsetzung des geforderten Datenschutzniveaus in Drittländern erfordert, da es anderenfalls an der notwendigen Akzeptanz bei den Nutzern wie auch den nationalen Datenschutzbehörden fehlen wird.

4 6. Haben Sie Kenntnis von Besonderheiten in den datenschutzrechtlichen Bestimmungen eines Mitgliedsstaates oder anderer Rechtsvorschriften, die Sie daran hindern, Cloud-Dienste innerhalb der EU zu nutzen/ bereit zu stellen? Ja. Das ungarische sowie rumänische Datenschutzrecht erschwert die Zusammenarbeit mit Sub- Vertragsnehmern. 7. Aus Ihrer Sicht, wäre es sinnvoll, wenn Standardmodelle für Dienstleistungsvereinbarungen oder Endnutzervereinbarungen für Cloud-Dienste existieren würden, so dass bestimmte grundlegende Bedingungen leicht in die vertraglichen Vereinbarungen aufgenommen werden könnten? Und wenn ja: Haben Sie Ideen, wie diese funktionieren könnten/sollten. Ja. Folgende Elemente wären nützlich: I. Konsistente Perfomance-Klassen II. Einheitlichte Abrechnungsmodelle III. Einheitliche Transparenzvorschriften zu Gunsten des Kunden Angesichts der Vielzahl der denkbaren Anwendungsfälle von Cloud-Produkten muss jedoch davon ausgegangen werden, dass diese nur bestimmte Mindestfunktionalitäten sachgerecht umschreiben können. Es darf daher nicht der Anspruch von Standardmodellen sein, individualvertragliche Regelungen umfassend zu ersetzen. 8. Bitte beschreiben Sie die Interoperabilität oder die (Daten-) Portabilitätsprobleme, die Sie beid der Nutzung/ Bereitstellung von Cloud-Diensten festgestellt haben oder die Ihnen anderweitig bekannt sind. Der BVDW sieht umfassende Interoperabiltät als maßgebliches Erfolgskriterium für moderne Cloud Dienste an. Grundsätzlich helfen alle Arten von möglichst offenen Standards, die Interoperabilität zwischen Diensten oder auch ganzen Cloud-Umgebungen zu erhöhen. Bislang fehlen solche Standards sowohl auf nationaler als auch europäischer Ebene. Es gibt eine Reihe von klaren Standards im ICT-Bereich aber keine konkreten Cloud-Standardisierungen. 9. Weche bestehenden oder entstehenden Standards unterstützen Interoperabilität zwischen Clouds und Daten (von einer Cloud zur anderen)? Momentan evaluiert die Branche Standards, die für Cloud-Services relevant sein könnten. Dies erfolgt in Deutschland im Rahmen des IT-Gipfel-Prozesses und auf europäischer Ebene im Rahmen einer Initiative der Europäischen Kommission. 10. Welches sind die wichtigsten Standards, die derzeit fehlen aber die Ihrer Meinung nach erforderlich sind, um die Interoperabilität und Portabilität zu gewährleisten? Bitte beschreiben Sie genau die Aspekte, die diese abdecken sollen. I. Einheitliche Performance-Klassen II. Schnittstellen zwischen den Services III. Import- und Export-Prozesse von Daten in hohem Umfang

5 11. Welches sind die wichtigsten Cloud-Computing Probleme, die auf globaler Ebene diskutiert werden müssen? Bitte auflisten und erklären. Zunächst muss die innereuropäische Rechts-Harmonisierung, insbesondere im Datenschutz, einhergehen mit Bemühungen der EU-Kommission, auch international möglichst einheitliche Standards herzustellen. Der BVDW spricht sich daher dafür aus, im Rahmen der Konsultation insbesondere etwaige regulatorische Unterschiede zwischen Europa, Asien & Amerika zu analysieren, um zu verhindern, dass europäischen Unternehmen durch das regulatorische Umfeld ein Wettbewerbsnachteil entsteht. Sodann sehen wir weiteres Potential für eine globale Harmonisierung in den folgenden Bereichen: I. Maßnahmen zur Stärkung des Vertrauens des Cloud Nutzers in sicheres Cloud Computing (Datenschutz, IT-Sicherheit, IT-Compliance) ; Schaffung von Transparenzvorschriften gegenüber dem Nutzer II. Interoperabilität III. IV. Vertragsgestaltung Konkrete Informierung von KMU mit kleiner oder ohne IT-Abteilung über die Einsatzund Kostensparungsmöglickeiten bei der Nutzung von Cloud Computing V. Beschleunigung des Einholens von Genehmigungen der zuständigen Datenschutz- Aufsichtsbehörden bei internationalen Datentranfers sowie Abstimmung über die Nutzung von Binding Corporate Rules und Weiterentwicklung der gegenseitigen Anerkennung erteilter Genehmigungen innerhalb der EU VI. VII. VIII. Erhöhung des Datenschutzrechts; Aufklärung der Verbraucher mit Blick auf Datenschutz sowie den Zugriff staatlicher Stellen auf Daten, die im Zuge des Cloud-Computings gespeichert und verarbeitet werden. Awareness-Raising-Campaign insbesondere in Richtung Endverbraucher und KMUs Paradigmenwechsel in Auftragsvergabe: Sicherheitsfragen stärker in den Vordergrund rücken. Nicht immer Preisprimat richtig.