◯ 9월 29일, 독일 「연방및주데이터보호국(DPA)」은 클라우드컴퓨팅 및 데이터보호법 준수에 관한 「Orientierungshilfe – Cloud Computing」 가이드를 발간함

◯ DPA는 클라우드서비스 제공자에게 데이터보호법을 준수할 것을 요청함
  - 또한 클라우드서비스 이용자에게는 클라우드서비스 제공자가 데이터컨트롤러(data controller)로서의 의무를 충실히 이행할 경우에만 서비스를 이용할 것과 적절한 데이터보호 및 보안 관련 필수사항들을 갖추고 있는지 확인할 것을 요청함

◯ 데이터컨트롤러는 이러한 정보의 기밀성 및 데이터 보전과는 별도로, 데이터의 통제, 투명성, 데이터처리의 영향 등의 사항을 이행하기가 어렵다는 것을 고려해야 함
  - 왜냐하면 데이터컨트롤러는 데이터처리 과정, 관리, 작동 등에 책임이 있기 때문에 컴퓨팅솔루션을 설치했다는 사실만으로 안심하면 안 됨

◯ DPA의 최소 요구사항은 다음과 같음
  - 클라우드서비스 제공자는 이용자가 서비스를 이용할지 여부를 결정할 수 있도록 데이터 보안 관련 정보, 기술적ㆍ조직적 법적 요구조건에 관한 개방적이고 투명한 상세정보를 제공함
  - 특히 데이터처리의 위치, 그리고 클라우드 데이터처리 위치가 변경될 수 있다는 통지 등 클라우드에서의 데이터처리와 관련한 투명하고 상세한 계약조항을 제공함
  - 서비스제공자와 이용자 간의 데이터 보안 및 보호조치에 관한 합의사항을 이행함

◯ 「Orientierungshilfe – Cloud Computing」의 구성은 다음과 같음
  - IaaS, PaaS, Saas와 같은 클라우드서비스 형태에 대한 정의
  - 데이터컨트롤러의 책임
  - 클라우드서비스 제공자의 통제
  - 데이터에 대한 권리
  - 유럽연합(EU) 표준계약서 및 면책사항(Safe Harbor)을 포함한 유럽 내 및 국제적인 데이터 전송 시 요구사항
  - 기술적 범위 및 기관의 범위
  - 클라우드서비스 형태 관련 일반적인 위험 및 클라우드에 특정된 위험 등

* Orientierungshilfe–Cloud Computing
http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf