Zehn Rechts- und Sicherheitsfragen
Was für die Cloud zu klären ist
Vor dem Hintergrund des NSA-Skandals haben datenschutzrechtliche Aspekte beim Cloud Computing massiv an Bedeutung gewonnen. Dieser Beitrag beantwortet die zehn am häufigsten gestellten rechtlichen Fragen.
Durch den Einsatz von Cloud-Diensten versprechen sich Unternehmen eine höhere Flexibilität ihrer IT-Infrastruktur und -Prozesse, aber auch Kostenvorteile, wenn sie Server, Storage und Netzkomponenten für Erweiterungen nicht selbst aufbauen müssen. Dass die für Cloud Computing benötigte Technik ausgereift ist, stellt eigentlich niemand mehr ernsthaft in Frage. Auf Bedenken stößt man aber immer wieder bezüglich der Sicherheit der Daten in der Cloud und den rechtlichen Voraussetzungen einer effizienten Nutzung von Cloud-Diensten. Die Sicherheit der Daten ist sowohl eine technische als auch eine organisatorische Aufgabe, die sich durch eine klare vertragliche Grundlage verbessern und vereinfachen lässt.
Sind die zentralen Rechte und Pflichten der Unternehmen als Aufraggeber und der Cloud-Provider als Auftragnehmer geklärt, ist eine gute Basis geschaffen, die das Vertrauen in das Cloud Computing stärken kann. Aus vielen Gesprächen haben sich zehn häufig gestellte Fragen herauskristallisiert.
1. Welche sind die wichtigsten Gesetze, die beim Cloud Computing zu berücksichtigen sind?
Insgesamt spielen vier Gesetze eine wichtige Rolle beim Cloud Computing. Zu unterscheiden ist dabei einerseits zwischen personenbezogenen Daten und andererseits den nicht personenbezogenen, vertraulichen Unternehmensdaten. Sobald personenbezogene Daten erhoben, verarbeitet und gespeichert werden, fällt dies in den Einzugsbereich des Bundesdatenschutzgesetzes (BDSG). Dabei geht es beispielsweise um Angaben zu den Kunden oder den Mitarbeitern eines Unternehmens. Laut BDSG ist eine Auftragsdatenverarbeitung nur zulässig, wenn der Cloud-Provider in Deutschland oder einem anderen Mitgliedsstaat der EU die personenbezogenen Daten verarbeitet oder speichert.
Bei nicht personenbezogenen, aber dennoch sensiblen Daten wie zum Beispiel Geschäftsgeheimnissen, Patenten, Finanzkalkulationen oder Kundenlisten kommt das Telemediengesetz, zuständig für Informations- und Kommunikationsdienste, zum Tragen, in einigen Fällen auch das Sozialgesetzbuch, wenn beispielsweise Daten aus der Kranken- oder Rentenversicherung betroffen sind. Sobald Daten zu einem Cloud-Provider übertragen werden, unterliegen sie dem Telekommunikationsgesetz.
2. Was müssen Cloud-Kunden aus rechtlichen Gründen berücksichtigen?
Die wichtigsten Punkte dazu sind im §11 BDSG unter dem Stichwort Auftragsdatenverarbeitung und all den zugehörigen Themen beziehungsweise Anlagen geregelt. Hier finden sich ausführliche Details dazu, welche Pflichten und Rechte in einem Cloud-Computing-Vertrag zwischen Auftraggeber und dem Cloud-Provider zu vereinbaren sind, um eine ordnungsgemäße Verarbeitung sicherzustellen. Der Auftraggeber hat die Hoheit über die Daten, er ist für die Einhaltung der BDSG-Bestimmungen verantwortlich. Darüber hinaus ist bei der Auswahl des Cloud-Providers darauf zu achten, dass dieser die vorgeschriebenen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten umsetzt. Es muss ein schriftlicher Vertrag zwischen beiden Parteien vorliegen, der unter anderem Art, Umfang und Dauer der Dienstleistung regelt.
3. Was müssen Cloud-Anbieter aus rechtlichen Gründen berücksichtigen?
Der Cloud-Provider muss die vertraglich vorgesehenen und die durch das BDSG geregelten technischen und organisatorischen Vorgaben umsetzen. Genaue Angaben dazu finden sich in der Anlage zu §9 Satz 1 des BDSG. Die Stichwörter hier lauten beispielsweise Zutritts-, Zugangs-, Zugriffs-, Verfügbarkeits- und Weitergabekontrolle. Wichtig ist zudem ein weiterer Hinweis auf die Verwendung von Verschlüsselungsverfahren. Konkret: Vertrauliche und personenbezogene Inhalte sollten verschlüsselt sein.
4. Für welche Daten in der Cloud gilt das deutsche Datenschutzrecht?
Hier ist zunächst eine Unterscheidung zwischen Datensicherheit, Informationssicherheit und Datenschutz zu treffen. Bei personenbezogenen Daten wie Geburtsort, Wohnort, die Nummern von Bankkonten oder der Renten- und Krankenversicherung greift der Datenschutz; dies gilt natürlich auch für persönliche Merkmale wie die Augenfarbe oder den Fingerabdruck. Hier gelten die im §11 BDSG festgelegten Vorschriften. Dies macht den Kern des deutschen Datenschutzrechts aus. Hochsensible und vertrauliche Daten, solche aus der Forschung und Entwicklung oder interne Finanzzahlen sind Sache der Daten- und Informationssicherheit. Um wirtschaftlichen Schaden von einem Unternehmen abzuwenden, sollte der Zugriff beschränkt und kontrolliert sein. Bedeutende Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit - unabhängig davon, ob sich die Daten im eigenen Rechenzentrum oder bei einem Cloud-Provider befinden.
5. Ist die IT-Sicherheit eine Rechtspflicht in der Cloud und was ist bei deren Umsetzung zu berücksichtigen?
IT-Sicherheit ist immer eine grundsätzliche Rechtspflicht. Dabei spielt es keine Rolle, wo personenbezogene oder hochsensible Daten vorgehalten werden. In einem Cloud-Vertrag müssen sich daher entsprechende Maßnahmen und Vorkehrungen als Pflichten des Auftraggebers und des Cloud-Providers wiederfinden. Im Einzelfall gelten branchenspezifische Pflichten, beispielsweise bei Banken und Versicherungen. Auftraggeber müssen sich im Klaren sein: Wer nur unvollständig und ohne vorherige Überprüfung der technischen und organischen Fähigkeiten des Cloud-Providers die Auftragsdatenverarbeitung nach außen gibt, kann bei datenschutzrechtlichen Verstößen laut BDSG mit einem Bußgeld bis zu 50.000 Euro bestraft werden.
6. Was bringen Zertifizierungen für Cloud-Anbieter und für Cloud-Nutzer?
Zertifizierungen und Audits durch unabhängige Stellen schaffen die Grundlage für Vertrauen und Verlässlichkeit seitens der Auftraggeber und der Cloud-Provider. Wichtig in diesem Zusammenhang ist die internationale Norm ISO/IEC 27001. Sie entstand unabhängig von der Diskussion um den Datenschutz in der Cloud, hat sich aber in der Zwischenzeit als Gradmesser auch für Cloud-Rechenzentren durchgesetzt. Cloud-Provider, die ihre Kompetenzen bezüglich der IT-Sicherheit und der Wirksamkeit ihres Informationssicherheits-Management-Systems (ISMS) belegen wollen, lassen ihre Rechenzentren nach ISO/IEC 27001 zertifizieren. Für Auftraggeber ist dies ein wichtiges Signal, dass der Cloud-Provider notwendige Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit ergreift. Festzuhalten bleibt aber auch, dass noch kein allgemeiner, einheitlicher Standard existiert, der sich speziell mit den datenschutzrechtlichen Anforderungen beim Cloud Computing befasst. Es gibt vielmehr eine Vielfalt herstellerspezifischer Schnittstellen. Fortschritte könnte sich beispielsweise mit dem seit Sommer 2014 verfügbaren Standard ISO/IEC 27018 ergeben. Bis er sich in breitem Umfang durchsetzt, wird es jedoch noch eine Zeit dauern.
7. Welche Vorteile bringt eine Verschlüsselung der Daten beim Trans-port und während der Speicherung aus rechtlicher Sicht?
Erfolgt der Datenverkehr vom Auftraggeber zum Cloud-Provider verschlüsselt, ergibt sich ein hohes Maß an Datensicherheit. Werden die Daten beim Provider darüber hinaus verschlüsselt gespeichert, verbessert sich die Datensicherheit zusätzlich. Eine Ende-zu-Ende-Verschlüsselung sorgt dafür, dass die Daten auf dem Weg vom Versender zum Empfänger durchgehend geschützt sind. Davon profitiert der Auftraggeber, der durch die Verschlüsselung nachweisen kann, dass er seiner Sorgfaltspflicht beim Umgang mit personenbezogenen und anderen sensiblen Daten nachkommt. Aber auch für Provider bringt die Verschlüsselung Vorteile. Kann er in seinem Sicherheitskonzept nachweisen, dass personenbezogene und hochsensible Daten durch Verschlüsselung gesichert sind, vermindern sich auch die Benachrichtigungspflichten gegenüber den Aufsichtsbehörden, und er stärkt damit zugleich seine Wettbewerbsposition.
8. Welche Vorteile hat es aus rechtlicher Sicht, wenn die Rechenzentren des Cloud-Anbieters in Deutschland stehen?
Nur wenn der Cloud-Provider seinen Sitz in Deutschland hat und er nur hier seine Rechenzentren betreibt, gilt uneingeschränkt das strenge deutsche Datenschutzrecht. Ein US-amerikanischer Cloud-Provider unterliegt neben der deutschen weiterhin auch der US-amerikanischen Gesetzgebung und muss den Sicherheitsbehörden unter Hinweis auf den Patriot Act und ohne ausdrückliche richterliche Genehmigung Zugriff auf personenbezogene und andere hochsensible Daten gewähren. In Zweifelsfällen hat der Patriot Act für US-Unternehmen Vorrang. Es gibt auch die Vermutung, dass der Patriot Act zur Wirtschaftsspionage missbraucht werden könnte.
9. Welche deutschen Verbände und Behörden können Unternehmen bei rechtlichen Fragestellungen konsultieren?
Die erste Anlaufadresse, wenn es um IT geht, ist der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien, kurz Bitkom. Eine gute Hilfestellung bieten die Checklisten und Leitfäden, die der Bitkom veröffentlicht. Die zweite bedeutende Informationsquelle ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die IT-Grundschutz-Kataloge liefern Unternehmen und Organisationen eine Handreichung zur Identifikation und Umsetzung effizienter Sicherheitsmaßnahmen.
10. Welche Rolle spielt das von der EU angestoßene Projekt "Cloud for Europe"?
Das EU-Projekt "Cloud for Europe" befasst sich mit dem sicheren Cloud Computing in der Verwaltung. Mitglieder des Projektteams sind Organisationen aus zwölf europäischen Staaten: Belgien, Deutschland, Estland, Italien, den Niederlanden, Österreich, Portugal, Rumänien, Slowenien, der Slowakei und Spanien sowie der Türkei. Deutschland ist durch das BSI und das Fraunhofer Institut Fokus beteiligt. Cloud for Europe zielt darauf ab, nach dem NSA-Skandal das Vertrauen in europäisches Cloud Computing zu stärken. Dazu müssen Datenschutz und Datensicherheit in der Cloud Priorität haben. An den notwendigen universellen, länderübergreifenden Regeln und Vorschriften mangelt es aber noch.
Lesen Sie mehr zum Thema
