27.11.2022

Guidelines zu Cloud Computing: Eine Übersicht

Cloud Computing bleibt ein aktuelles Thema - dies zeigt sich auch an der zunehmenden Anzahl unterschiedlicher Cloud Guidelines. Diese beleuchten die Cloud aus jeweils verschiedenen Perspektiven und gehen z.B. auf technische, rechtliche, politische und/oder Business-Aspekte ein. Damit tragen sie zwar dem stark arbeitsteiligen Querschnittscharakter des Phänomens Cloud Rechnung; die Navigation durch den Cloud-Dschungel wird aufgrund der grossen Anzahl der Guidelines nicht einfacher.

Ausserdem fehlt eine Legaldefinition der Cloud. Ferner kann aus den technischen Definitionen der Cloud nur eingeschränkt ein Rückschluss auf den rechtserheblichen Sachverhalt und damit die anwendbaren (daten)rechtlichen Voraussetzungen gewonnen werden. Gleichwohl kann mit einer gewissen Unschärfe gesagt werden, dass es sich aus (daten)rechtlicher Sicht beim Phänomen Cloud oftmals um Service Provider Management handelt. Dies zieht immerhin die Anwendung gewisser Rechtsnormen nach sich. Diese variieren je nach Branche stark. Hinzu kommt die praxisgemässe Unterscheidung zwischen rechtlichen Voraussetzungen (Vorgaben) und deren eigenständige Übersetzung in nicht-rechtliche Vorgaben für technisch/organisatorische Massnahmen (TOM-Vorgaben)

Die nachfolgende Übersicht soll einen Kompass durch den Cloud-Dschungel bieten. Selbstverständlich ohne Anspruch auf Vollständigkeit, Richtigkeit oder Relevanz für das jeweilige Cloud-Projekt:

Cloud Guidelines Schweiz
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Link
PRIVATIM: Link
Bundesverwaltung/Bundeskanzlei: Link
Schweizerische Bankiervereinigung (SBVg): Link
Verein Unternehmens-Datenschutz (VUD): Link
Kantonsverwaltung ZH/Regierungsratsbeschluss: Link

Cloud Guidelines EU
European Banking Authority (EBA): Link
European Securities and Markets Authority (ESMA): Link
Information Commissioner's Office UK (ICO): Link
National Cyber Security Centre UK (NCSC): Link
Commission Nationale de l'Informatique et des Libertés FR (CNIL): Link
Datenschutzkonferenz Deutschlands (DSK): Link
Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI): Link, Link und Link
European Data Protection Supervisor (EDPS): Link
European Data Protection Board (EDPB): Link

Cloud Guidelines restliche Welt

U.S. Department of Justice (DOJ): Link
U.S. National Institute of Standards and Technology (NIST): Link und Link
Hong Kong Monetary Authority (HKMA): Link
Canadian Centre for Cyber Security (CCCS): Link

Michal Cichocki

© LawBlogSwitzerland.ch
Maira Gall