Der eco - Verband der Internetwirtschaft e.V. und der ihm angegliederte Verband EuroCloud Deutschland kritisieren die Rechtsunsicherheit bei der Nutzung von Cloud-Angeboten. Noch immer gebe es keine von Aufsichtsbehörden anerkannte DSGVO-Zertifizierung für Cloud-Angebote. Unternehmen könnten sich nicht sicher sein, ob die bezogenen Services den Vorgaben der europäischen Datenschutzgrundverordnung (GDPR/DSGVO) entsprächen. Laut eco fehlt ein Kriterienkatalog zur Überprüfung von Cloud-Services - obwohl der Deutschen Akkreditierungsstelle (DAkkS) alle dafür nötigen Unterlagen vorlägen. Unklar sei immer noch, wie lange die Prüfung dieser Unterlagen dauern und bis wann eine Freigabe erfolgen werde.
Die verantwortlichen nationalen und europäischen Behörden hätten fast vier Jahre Zeit gehabt, entsprechende Abläufe zur Anerkennung und Akkreditierung solcher Verfahren auf nationaler und europäischer Ebene zu spezifizieren und die notwendigen Ressourcen bereitzustellen. Warum dies nicht gelang, ist für Andreas Weiss, Direktor von EuroCloud, nicht nachvollziehbar. Er forderte die verantwortlichen Behörden in Deutschland auf, alle Anstrengungen zu unternehmen, um die Anwendbarkeit einer Datenschutzzertifizierung von Cloud-Diensten bis Mitte 2020 zu ermöglichen.
Im Forschungsprojekt AUDITOR arbeite seit mehr als zwei Jahren ein interdisziplinäres Team aus Wissenschaftlern und Unternehmen an einer DSGVO-Zertifizierung für Cloud-Dienste und binde dabei auch die Datenschutz-Aufsichtsbehörden ein. Noch immer lägen keine Ergebnisse vor. Erstes Etappenziel des Forschungsprojekts ist den Verbänden zufolge eine nationale Datenschutzzertifizierung für Deutschland. Sie soll die Grundlage für die Entwicklung eines EU-weit anerkannten Datenschutz-Zertifizierungsschemas bilden. Diese EU-weite Regelung wäre laut EuroCloud wichtig für die Umsetzung der von der Europäischen Kommission am 19. Februar 2020 angekündigten EU-Datenstrategie (PDF).
Auch GAIA-X hängt an der Cloud-Zertifizierung
So könnte der einheitliche, europäische Rechtsrahmen der DSGVO auf den Weltmärkten zu einem Wettbewerbsvorteil werden. Auch in der neuen Initiative GAIA-X für föderierte Infrastruktur- und Daten-Ecosysteme sei das Thema Datenschutz von höchster Relevanz und müsse auf verlässlichen Vorgaben aufbauen. Es sei wichtig, so Weiss, dass die Prozesse zur europaweiten Anerkennung von Datenschutzzertifizierungen über die verantwortlichen nationalen und europäischen Institutionen besser verzahnt und klarere Terminvorgaben gesetzt würden.
Henrik Hasenkamp, CEO und Gründer des Kölner IaaS- und PaaS-Spezialisten Gridscale, unterstützt die Forderungen der Verbände mit Nachdruck. "Die Unsicherheit hinsichtlich der DSGVO ist weiterhin sehr hoch", sagt Hasenkamp, der zusammen mit der Wirtschaftskanzlei Heuking ein kostenloses Kompendium zu den Rechtsrisiken bei der Nutzung internationaler Cloud-Dienste veröffentlicht hat. Gerade im Mittelstand sei der Wunsch nach Aufklärung und praxisnaher Hilfestellung groß. "Eine Datenschutzzertifizierung von Cloud-Diensten gemäß den DSGVO-Vorgaben wäre hier ein ganz wichtiger Schritt." Gridscale unterstütze die Euro-Cloud-Initiative ausdrücklich. "Eine EU-weite Datenschutzzertifizierung würde für erheblich mehr Sicherheit und Transparenz bei den Unternehmen sorgen und den Aufbau föderierter Ökosysteme wie GAIA-X deutlich vorantreiben." (hv)