Cloud Computing hat organisatorische und wirtschaftliche Vorteile. Dazu zählen insbesondere die Skalierbarkeit und die verbrauchsabhängige Bezahlung von Rechenkapazitäten nach Bedarf. Dies bietet großes Einsparpotenzial in den Bereichen Anschaffung, Betrieb und Wartung von IT-Systemen. Nicht zuletzt ermöglicht Cloud Computing eine optimierte Verfügbarkeit von Geschäftsanwendungen unabhängig von geographischen Standorten.
Die Datenschutz-Aufsichtsbehörden wollen den datenschutzgerechten Einsatz von Cloud Computing unterstützend und aktiv fördern. Zu diesem Zweck haben die Arbeitskreise Technik und Medien der Konferenz eine Orientierungshilfe (PDF) erarbeitet. Diese richtet sich an Entscheidungsträger, betriebliche und behördliche Datenschutzbeauftragte sowie an IT-Verantwortliche.
Die Orientierungshilfe bietet einen Katalog von Definitionen rund um Cloud-Computing, sensibilisiert für die datenschutzrechtlichen Schwerpunkte und enthält insbesondere eine Auflistung von vertraglichen und technisch-organisatorischen Mindestforderungen für die Gestaltung und Anwendung dieser Technologie. Cloud-Anwender, also die datenschutzrechtlich verantwortlichen Stellen, dürften Cloud-Services nur dann in Anspruch nehmen wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stellen in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutz- und Informationssicherheitsanforderungen geprüft haben oder haben prüfen lassen.
Besondere datenschutzrechtliche Risiken
In der Orientierungshilfe werden den Vorteilen von Cloud-Computing entsprechend die datenschutzrechtlichen Schwerpunkte gelegt. Diese „cloud-spezifischen“ Risiken stehen freilich neben den klassischen, zum Beispiel durch Schadsoftware oder Angriffe Dritter. Der datenschutzrechtliche Ausgangspunkt ist, dass Cloud-Anwender verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes sind und damit die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu gewährleisten haben.
Gemäß Paragraf 3, Absatz 7 des Bundesdatenschutzgesetzes (BDSG) ist eine verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nimmt ein Cloud-Anwender von einem entsprechenden Anbieter nun Cloud-Services in Anspruch, so wird Letzterer als Auftragnehmer nach Paragraf 11, Absatz 2 des BDSG tätig. Die Verantwortung für die Rechtmäßigkeit bleibt lat Absatz 1 desselben Paragrafen jedoch beim Anwender.
Die datenschutzrechtlichen Schwerpunkte knüpfen beim möglichen Kontrollverlust des Anwenders über die Daten an, wenn sich die Datenverarbeitung nicht mehr vor Ort sondern ausgelagert in der Cloud vollzieht und der Anwender selbst keinen konkreten Zugriff mehr auf die Daten hat. Ab dann kann es nur noch schwer nachvollziehbar sein, wo und auf welchen Systemen die Speicherung, Ausführung und Verarbeitung von Daten erfolgt. Die Unsicherheiten erhöhen sich, wenn der Cloud-Anbieter seine Dienstleistungen und Services selbst bei anderen Anbietern einkauft und damit die Transparenz verloren geht.
Mit der IT wird nicht die Verantwortung ausgelagert
Die Orientierungshilfe legt besonderen Schwerpunkt auf die Gefahr der verantwortlichen Stelle, ihrer datenschutzrechtlichen Verantwortung durch die Auslagerung der IT nicht mehr gerecht werden zu können. Die Stichworte lauten hier: Transparenz, Beeinflussung und Kontrolle der Datenverarbeitung.
Die Dokumentation und Protokollierung der Datenverarbeitungsprozesse erfolgt beim Cloud-Anbieter und ist daher für den Anwender meist intransparent. Eine wirksame Kontrolle der Einhaltung der datenschutzrechtlichen Pflichten ist daher schwierig: Könnten Daten, die am Standort X auf Wunsch des Anwenders durch den Anbieter berichtigt, gelöscht oder gesperrt wurden sind am Standort Y noch unverändert weiter existieren? Auch können vermeintlich als anonymisiert angesehene Daten wieder re-identifizierbar werden, wenn bei der Verarbeitung in der Cloud weitere Beteiligte hinzutreten, die über Zusatzwissen verfügen und eine Re-Identifizierung möglich machen.
Die verantwortliche Stelle läuft Gefahr, die Rechtmäßigkeit der gesamten Datenverarbeitung nicht mehr gewährleisten zu können. Dazu ist sie aber gesetzlich verpflichtet. Die Orientierungshilfe erinnert an eventuelle haftungsrechtliche Konsequenzen durch Schadensersatzforderungen der Betroffenen und mögliche Maßnahmen der Aufsichtsbehörden, wie Bußgelder und Anordnungen (etwa Paragraf 38, Absatz 5 des BDSG), sollten Datenschutzbestimmungen nicht eingehalten werden.
Datentransfers ins außereuropäische Ausland
Finden im Rahmen der Auslagerung von IT-Lösungen Datenverarbeitungen im außereuropäischen Ausland statt, dann gelten grundsätzlich die besonderen Anforderungen der Paragrafen 4b und 4c des BDSG. Cloud-Computing macht hier keine Ausnahme: Besteht in einem solchen „Drittland“ kein von der EU-Kommission anerkannt angemessenes Datenschutzniveau, muss die verantwortliche Stelle (also der Cloud-Anwender) das ausreichende Datenschutzniveau garantieren und belegen. Dies kann beispielsweise durch EU-Standardvertragsklauseln oder durch Binding Corporate Rules erfolgen. Der Cloud-Anbieter hat sich dabei zur Einhaltung des EU-Datenschutzniveaus zu verpflichten.
Seit langem gilt in Bezug auf die USA die Besonderheit des Safe-Harbor-Agreement. Hier hat die Konferenz der Datenschutzbeauftragten nun erstmals konkrete Anforderungen zum Umgang mit US-Cloud-Anbietern festgelegt. Das Safe-Harbor-Agreement privilegiert datenverarbeitende Unternehmen mit Sitz in den USA, wenn diese sich auf freiwilliger Basis gegenüber dem US-Handelsministerium zur Einhaltung der Safe-Harbor-Grundsätze durch eine Beitragserklärung verpflichten („Selbstzertifizierung“). Abschließend muss eine Datenschutzerklärung veröffentlicht werden. Dies reicht aus, um ein „angemessenes Schutzniveau“ zu erlangen. Darüber hinaus muss sich der US-Cloud-Anbieter zur Kooperation mit den europäischen Datenschutzbehörden verpflichten.
Die Orientierungshilfe der Datenschutzbeauftragten verlangt bzw. empfiehlt (je nach Auslegung), dass Cloud-Anbieter und Cloud-Anwender nun eine vertragliche Vereinbarung treffen, die einer Auftragsdatenverarbeitung nach Paragraf 11, Absatz 2 des BDSG entspricht und so die dort normierten Garantien Gegenstand des Vertrages werden. Hintergrund ist unter anderem, dass keine flächendeckende Kontrolle der Selbstzertifizierungen in den USA gewährleistet ist.
Sowieso enthebt die Zertifizierung nicht von der Pflicht der eigenen Kontrolle. Deutsche Cloud-Anwender müssen vor der ersten Datenübermittlung an ein solches US-Unternehmen prüfen, ob bestimmte Mindestkriterien erfüllt sind. Dies fängt bei der Gültigkeit des Zertifikats an und verpflichtet den Cloud-Anwender sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.
Hervorzuheben ist, dass die oben genannten Anforderungen für alle Verträge zwischen US-Cloud-Anbietern und deutschen Cloud-Anwendern ohne Ausnahme gelten, also auch für schon bestehende Verträge. Da dies noch nicht eindeutig geregelt war, kann die Entschließung der Datenschutz-Aufsichtsbehörden die Anpassung einiger Verträge erforderlich machen.
Technische und organisatorische Aspekte
Ein weiterer Schwerpunkt der Orientierungshilfe ist die technisch-organisatorische Infrastruktur. Die Entschließung der Datenschutz-Aufsichtsbehörden legt hier einige Mindeststandards fest:
In der Presseerklärung sowie dem Fazit der Entschließung der Konferenz der Datenschutz-Aufsichtsbehörden wurden nochmals die Mindestforderungen bei der Nutzung von Cloud-Computing-Dienstleistungen zusammengefasst. Zu verlangen sind danach mindestens:
Datenzugriff von US-Ermittlungsbehörden
Wenngleich die Konkretisierungen der datenschutzrechtlichen Anforderungen durch die Aufsichtsbehörden im Sinne der Rechtssicherheit zu begrüßen sind, wird gerade der Aspekt der datenschutzrechtlich in der Regel unzulässigen Nutzung von US-Cloud-Anbietern aufgrund des potenziellen Datenzugriffs von US-Ermittlungsbehörden nicht thematisiert. Danach behalten sich US-Behörden vor, jederzeit auf die Daten von amerikanischen Unternehmen zurückgreifen zu dürfen -auch wenn diese sich auf Servern in Europa befinden. Wie dies in den Vorgang der datenschutzrechtlich zulässigen Gestaltung von US-Cloud-Angeboten eingebunden werden kann, wurde nicht behandelt.
... ist Rechtsanwalt und externer Datenschutzbeauftragter am IITR Institut für IT-Recht - IITR GmbH. Das Institut berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird es von einem wissenschaftlichen Beirat begleitet. Michael Stolze ist Diplom-Jurist (univ.). Er unterstützt das IITR als freier Mitarbeiter.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…