Der ständig zunehmende Trend zur Auslagerung “in die Cloud” führt da und dort zu Reaktionen von Behörden. So führte eine Informationsfreiheitsanfrage in Deutschland vor Kurzem zur Veröffentlichung der sogenannten “roten Linien” des BSI aus dem Jahr 2022, in denen festgelegt ist, welche Anforderungen Cloud-Angebote für eine souveräne Verwaltungscloud (”Requirements for Cloud Platforms in the Federal Administration“, pdf) erfüllen müssen. In bestimmten Sektoren existieren zudem (”unverbindliche”) Empfehlungen, die teilweise strengere Anforderungen enthalten, so z.B. die Aufsichtsmitteilung der deutschen BaFin zu Auslagerungen an Cloud-Anbieter, die als Aufsatzthema einiges an Stoff bietet (Thalhofer/Monschke, CR 2024, 366-373).
DIe CNIL übt Kritik an dem European certification scheme for cloud services (EUCS draft), da dieses (dereit) nicht mehr die Möglichkeit enthält, bei “sehr sensiblen” Verarbeitungen sicherzustellen, dass der Cloud-Anbieter nicht unter außereuropäische Rechtsvorschriften fällt. Ein höheres Schutzniveau sei für bestimmte “kritische” Datenverarbeitungen erforderlich (z.B. große Gesundheitsdatenbanken, strafrechtliche Daten oder Daten über Minderjährige), bei denen die in der Europäischen Union gehosteten Daten nicht dem Risiko eines unbefugten Zugriffs durch Behörden in Drittländern ausgesetzt werden sollten: In diesen Fällen empfiehlt die CNIL, dass der Dienstleister ausschließlich europäischem Recht unterliegen (on-shoring) und ein angemessenes Schutzniveau bieten soll. In Frankreich beinhalte die Zertifizierung SecNumCloud der Agence nationale de la sécurité des systèmes d'information (ANSSI) für Cloud-Dienste dieses Kriterium und schützt die Daten vor dem Zugriff ausländischer Behörden, so die CNIL.
Damit den Datenschutz- und IT-Recht-affinen Jurist:innen nicht langweilig wird, sorgt die EU u.a. mit Cloud Switching in Art 1 Abs. 1 lit d und Abs 3 lit f Data Act - es bleibt viel zu lesen und zu tun, IT-Compliance wird nicht leichter. Froh muss derjenige sein, der einen leistungsfähigen Anbieter findet, welcher all diese Anforderungen erfüllen kann und will …