4. Nationale Sonderregeln und unverbindliche Leitlinien
Zusätzlich zum europäischen Rechtsrahmen können Sektor- oder mitgliedstaatsspezifische Vorgaben relevant werden, etwa im Steuer-, Sozial- oder Gesundheitsrecht. Diese sehen teilweise konkrete Speicher- oder Verarbeitungsorte vor. Diese müssen von den entsprechenden Unternehmen geprüft werden.
Daneben existieren unverbindliche Leitlinien, etwa der Datenschutzkonferenz (DSK) zu sogenannten „souveränen Clouds“. Diese gehen teilweise deutlich über die gesetzlichen Mindestanforderungen hinaus, entfalten jedoch keine unmittelbare Rechtswirkung. Sie überzeugen darüber hinaus inhaltlich nicht. Für Unternehmen stellen sie daher eher Orientierungs- als verbindliche Entscheidungsmaßstäbe dar.
5. Cybersicherheitsrecht
Zunächst zur NIS-2-RL (EU 2022/2555). Diese RL soll im Kern verhindern, dass Cyberkriminelle Sicherheitsschwachstellen ausnutzen können, die durch Unterschiede in den mitgliedstaatlichen Regelungen entstehen. Nach Anhang I Nr. 8 NIS-2-RL sind u.a. auch Anbieter von Cloud-Computing-Diensten und Nutzer solcher Dienste erfasst, sofern sie selbst Teil eines kritischen Sektors nach dem Anhang der RL sind.
Ist ein Unternehmen also erfasst, sind insbesondere die Pflichten nach Art. 21 Abs. 1 der RL von Bedeutung. Danach müssen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergriffen werden, um Risiken für die Sicherheit der Netz- und Informationssysteme zu schaffen und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Dabei sind die Risikomanagementmaßnahmen überwiegend in das Ermessen des Unternehmens gestellt. Dennoch wurden bestimmte Mindeststandards festgelegt.
Die Agentur der EU für Cybersicherheit (ENISA) rät Unternehmen in ihren technischen Umsetzungshinweisen dazu, bei Vertragsschluss verbindliche Vereinbarungen bezüglich der Standorte zu treffen, in denen die ICT-Dienstleistungen erbracht werden sollen sowie die Daten verarbeitet und gespeichert werden sollen. Dies führt zu mehr Kontrolle über die Modalitäten der Dienstleistungserbringung sowie zur Eindämmung etwaiger Risiken für die Cybersicherheit.
Die DORA-VO (EU 2022/2554) greift für den Finanzsektor als Spezialgesetz. Nach Art. 2 Abs. 1 findet sie auf Finanzunternehmen und IKT-Drittdienstleister (Unternehmen, die digitale Dienste und Datendienste erbringen, die über Informations- und Kommunikationssysteme einem Nutzer dauerhaft bereitgestellt werden) Anwendung.
Unkritische IKT-Dienstleister werden nur mittelbar geregelt, indem sie vertraglichen Anforderungen nach Art. 30 DORA-VO unterworfen werden.
Finanzunternehmen hingegen müssen hiernach bei der Auswahl von Cloud-Computing-Dienstanbietern angemessene IKT-Risikomanagementrahmen bereithalten. Ferner müssen sie, um Cybersicherheitsrisiken vorzubeugen, vertragliche Zusicherungen bei den IKT-Drittdienstleistern einholen.
Eine Lokalisierungspflicht innerhalb Europas besteht nach der DORA nur für kritisch designierte Dienstanbieter.
Insgesamt sind auch nach der NIS-2-RL sowie der DORA-VO keine zwingenden Standort- oder Lokalisierungsanforderungen vorgesehen. Der Einsatz außereuropäischer Cloud-Lösungen ist damit weiterhin möglich.
