Orientierungshilfe für richtigen Datenschutz beim Cloud Computing

Die Datenschutz-Aufsichtsbehörden haben kürzlich eine Entschließung zur Gestaltung und Nutzung von Cloud-Computing verabschiedet. Rechtsanwalt Sebastian Kraska und Diplom-Jurist Michael Stolze fassen sie für ZDNet zusammen.

Cloud Computing hat organisatorische und wirtschaftliche Vorteile. Dazu zählen insbesondere die Skalierbarkeit und die verbrauchsabhängige Bezahlung von Rechenkapazitäten nach Bedarf. Dies bietet großes Einsparpotenzial in den Bereichen Anschaffung, Betrieb und Wartung von IT-Systemen. Nicht zuletzt ermöglicht Cloud Computing eine optimierte Verfügbarkeit von Geschäftsanwendungen unabhängig von geographischen Standorten.

Die Datenschutz-Aufsichtsbehörden wollen den datenschutzgerechten Einsatz von Cloud Computing unterstützend und aktiv fördern. Zu diesem Zweck haben die Arbeitskreise Technik und Medien der Konferenz eine Orientierungshilfe (PDF) erarbeitet. Diese richtet sich an Entscheidungsträger, betriebliche und behördliche Datenschutzbeauftragte sowie an IT-Verantwortliche.

Die Orientierungshilfe bietet einen Katalog von Definitionen rund um Cloud-Computing, sensibilisiert für die datenschutzrechtlichen Schwerpunkte und enthält insbesondere eine Auflistung von vertraglichen und technisch-organisatorischen Mindestforderungen für die Gestaltung und Anwendung dieser Technologie. Cloud-Anwender, also die datenschutzrechtlich verantwortlichen Stellen, dürften Cloud-Services nur dann in Anspruch nehmen wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stellen in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutz- und Informationssicherheitsanforderungen geprüft haben oder haben prüfen lassen.

Besondere datenschutzrechtliche Risiken

Sebastian Kraska ist Rechtsanwalt im IITR Institut für IT-Recht und einer der Autoren dieses ZDNet-Gastbeitrags (Bild: IITR).
Sebastian Kraska ist Rechtsanwalt im IITR Institut für IT-Recht und Mitautor dieses ZDNet-Gastbeitrags (Bild: IITR).

In der Orientierungshilfe werden den Vorteilen von Cloud-Computing entsprechend die datenschutzrechtlichen Schwerpunkte gelegt. Diese „cloud-spezifischen“ Risiken stehen freilich neben den klassischen, zum Beispiel durch Schadsoftware oder Angriffe Dritter. Der datenschutzrechtliche Ausgangspunkt ist, dass Cloud-Anwender verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes sind und damit die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu gewährleisten haben.

Gemäß Paragraf 3, Absatz 7 des Bundesdatenschutzgesetzes (BDSG) ist eine verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nimmt ein Cloud-Anwender von einem entsprechenden Anbieter nun Cloud-Services in Anspruch, so wird Letzterer als Auftragnehmer nach Paragraf 11, Absatz 2 des BDSG tätig. Die Verantwortung für die Rechtmäßigkeit bleibt lat Absatz 1 desselben Paragrafen jedoch beim Anwender.

Die datenschutzrechtlichen Schwerpunkte knüpfen beim möglichen Kontrollverlust des Anwenders über die Daten an, wenn sich die Datenverarbeitung nicht mehr vor Ort sondern ausgelagert in der Cloud vollzieht und der Anwender selbst keinen konkreten Zugriff mehr auf die Daten hat. Ab dann kann es nur noch schwer nachvollziehbar sein, wo und auf welchen Systemen die Speicherung, Ausführung und Verarbeitung von Daten erfolgt. Die Unsicherheiten erhöhen sich, wenn der Cloud-Anbieter seine Dienstleistungen und Services selbst bei anderen Anbietern einkauft und damit die Transparenz verloren geht.

Mit der IT wird nicht die Verantwortung ausgelagert

Die Orientierungshilfe legt besonderen Schwerpunkt auf die Gefahr der verantwortlichen Stelle, ihrer datenschutzrechtlichen Verantwortung durch die Auslagerung der IT nicht mehr gerecht werden zu können. Die Stichworte lauten hier: Transparenz, Beeinflussung und Kontrolle der Datenverarbeitung.

Die Dokumentation und Protokollierung der Datenverarbeitungsprozesse erfolgt beim Cloud-Anbieter und ist daher für den Anwender meist intransparent. Eine wirksame Kontrolle der Einhaltung der datenschutzrechtlichen Pflichten ist daher schwierig: Könnten Daten, die am Standort X auf Wunsch des Anwenders durch den Anbieter berichtigt, gelöscht oder gesperrt wurden sind am Standort Y noch unverändert weiter existieren? Auch können vermeintlich als anonymisiert angesehene Daten wieder re-identifizierbar werden, wenn bei der Verarbeitung in der Cloud weitere Beteiligte hinzutreten, die über Zusatzwissen verfügen und eine Re-Identifizierung möglich machen.

Die verantwortliche Stelle läuft Gefahr, die Rechtmäßigkeit der gesamten Datenverarbeitung nicht mehr gewährleisten zu können. Dazu ist sie aber gesetzlich verpflichtet. Die Orientierungshilfe erinnert an eventuelle haftungsrechtliche Konsequenzen durch Schadensersatzforderungen der Betroffenen und mögliche Maßnahmen der Aufsichtsbehörden, wie Bußgelder und Anordnungen (etwa Paragraf 38, Absatz 5 des BDSG), sollten Datenschutzbestimmungen nicht eingehalten werden.

Datentransfers ins außereuropäische Ausland

Finden im Rahmen der Auslagerung von IT-Lösungen Datenverarbeitungen im außereuropäischen Ausland statt, dann gelten grundsätzlich die besonderen Anforderungen der Paragrafen 4b und 4c des BDSG. Cloud-Computing macht hier keine Ausnahme: Besteht in einem solchen „Drittland“ kein von der EU-Kommission anerkannt angemessenes Datenschutzniveau, muss die verantwortliche Stelle (also der Cloud-Anwender) das ausreichende Datenschutzniveau garantieren und belegen. Dies kann beispielsweise durch EU-Standardvertragsklauseln oder durch Binding Corporate Rules erfolgen. Der Cloud-Anbieter hat sich dabei zur Einhaltung des EU-Datenschutzniveaus zu verpflichten.

Seit langem gilt in Bezug auf die USA die Besonderheit des Safe-Harbor-Agreement. Hier hat die Konferenz der Datenschutzbeauftragten nun erstmals konkrete Anforderungen zum Umgang mit US-Cloud-Anbietern festgelegt. Das Safe-Harbor-Agreement privilegiert datenverarbeitende Unternehmen mit Sitz in den USA, wenn diese sich auf freiwilliger Basis gegenüber dem US-Handelsministerium zur Einhaltung der Safe-Harbor-Grundsätze durch eine Beitragserklärung verpflichten („Selbstzertifizierung“). Abschließend muss eine Datenschutzerklärung veröffentlicht werden. Dies reicht aus, um ein „angemessenes Schutzniveau“ zu erlangen. Darüber hinaus muss sich der US-Cloud-Anbieter zur Kooperation mit den europäischen Datenschutzbehörden verpflichten.

Die Orientierungshilfe der Datenschutzbeauftragten verlangt bzw. empfiehlt (je nach Auslegung), dass Cloud-Anbieter und Cloud-Anwender nun eine vertragliche Vereinbarung treffen, die einer Auftragsdatenverarbeitung nach Paragraf 11, Absatz 2 des BDSG entspricht und so die dort normierten Garantien Gegenstand des Vertrages werden. Hintergrund ist unter anderem, dass keine flächendeckende Kontrolle der Selbstzertifizierungen in den USA gewährleistet ist.

Sowieso enthebt die Zertifizierung nicht von der Pflicht der eigenen Kontrolle. Deutsche Cloud-Anwender müssen vor der ersten Datenübermittlung an ein solches US-Unternehmen prüfen, ob bestimmte Mindestkriterien erfüllt sind. Dies fängt bei der Gültigkeit des Zertifikats an und verpflichtet den Cloud-Anwender sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Hervorzuheben ist, dass die oben genannten Anforderungen für alle Verträge zwischen US-Cloud-Anbietern und deutschen Cloud-Anwendern ohne Ausnahme gelten, also auch für schon bestehende Verträge. Da dies noch nicht eindeutig geregelt war, kann die Entschließung der Datenschutz-Aufsichtsbehörden die Anpassung einiger Verträge erforderlich machen.

Technische und organisatorische Aspekte

Ein weiterer Schwerpunkt der Orientierungshilfe ist die technisch-organisatorische Infrastruktur. Die Entschließung der Datenschutz-Aufsichtsbehörden legt hier einige Mindeststandards fest:

  • Verfügbarkeit: Personenbezogene Daten stehen zeitgerecht zur Verfügung und können ordnungsgemäß von autorisierten Benutzern verarbeitet werden.
  • Vertraulichkeit: Nur Befugte können personenbezogene Daten zur Kenntnis nehmen.
  • Integrität: Personenbezogene Daten bleiben während der Verarbeitung unversehrt, vollständig und aktuell. Die Funktionsweise der Systeme ist vollständig gegeben.
  • Revisionssicherheit: Es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.
  • Transparenz: Die Verfahrensweise bei der Verarbeitung personenbezogener Daten ist vollständig, aktuell und in einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden kann.
  • In der Presseerklärung sowie dem Fazit der Entschließung der Konferenz der Datenschutz-Aufsichtsbehörden wurden nochmals die Mindestforderungen bei der Nutzung von Cloud-Computing-Dienstleistungen zusammengefasst. Zu verlangen sind danach mindestens:

  • offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt und andererseits Aussagen haben, um zwischen den Cloud- Anbietern wählen zu können.
  • transparente, detaillierte und eindeutige vertragliche Regelungen der cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass zum Beispiel wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter umziehen kann;.
  • die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;.
  • aktuelle und aussagekräftige Nachweise (beispielsweise Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen..
  • Datenzugriff von US-Ermittlungsbehörden

    Wenngleich die Konkretisierungen der datenschutzrechtlichen Anforderungen durch die Aufsichtsbehörden im Sinne der Rechtssicherheit zu begrüßen sind, wird gerade der Aspekt der datenschutzrechtlich in der Regel unzulässigen Nutzung von US-Cloud-Anbietern aufgrund des potenziellen Datenzugriffs von US-Ermittlungsbehörden nicht thematisiert. Danach behalten sich US-Behörden vor, jederzeit auf die Daten von amerikanischen Unternehmen zurückgreifen zu dürfen -auch wenn diese sich auf Servern in Europa befinden. Wie dies in den Vorgang der datenschutzrechtlich zulässigen Gestaltung von US-Cloud-Angeboten eingebunden werden kann, wurde nicht behandelt.

    AUTOR

    Sebastian Kraska ...

    ... ist Rechtsanwalt und externer Datenschutzbeauftragter am IITR Institut für IT-Recht - IITR GmbH. Das Institut berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird es von einem wissenschaftlichen Beirat begleitet. Michael Stolze ist Diplom-Jurist (univ.). Er unterstützt das IITR als freier Mitarbeiter.

Themenseiten: Cloud-Computing, Compliance, Gastbeiträge, IT-Business

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Orientierungshilfe für richtigen Datenschutz beim Cloud Computing

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *