Privacy-Gesetze schieben Datenverarbeitung in den USA einige Riegel vor
Datenschützer sehen weltweite Cloud als unzulässig an
"Über den Wolken muss die Freiheit wohl grenzenlos sein", singt Reinhard Mey. Bei den IT-Wolken ist das nicht so: Beim Cloud Computing dürfen personenbezogene Daten die EU nicht verlassen, warnen Datenschützer. Ist die Cloud damit also ad absurdum geführt? Firmenkunden müssen das Privacy-Dilemma zumindest bei der Auswahl ihres Providers und bei der Vertragsgestaltung berücksichtigen.
"Cloud Computing bietet Dienstleistungen mit personenbezogenen Daten, die völlig ortsunabhängig
sind – also irgendwo in der Welt erbracht werden können, ohne dass die Kundin oder der Kunde wissen
müsste, wo die Daten sind", erläutert der Berliner Datenschutzbeauftragte Alexander Dix in seinem
Jahresbericht. Allerdings: Wenn diese Cloud-Datenverarbeitung außerhalb der EU stattfinde, dann
wäre diese laut Datenschutzrecht "nicht zulässig", so der Bericht
Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD),
bestätigt diese Einschätzung: "Ich habe sogar Zweifel, ob Cloud Computing in Europa zulässig ist,
wenn die einbezogenen Stellen nicht hinreichend festgestellt werden können beziehungsweise
festgelegt sind."
Die Argumenation der Datenschützer: Generell sei Cloud Computing eine spezielle Ausprägung der "
Datenverarbeitung im Auftrag", wie dies das Bundesdatenschutzgesetz (BDSG) nennt. "Bei einer
Datenverarbeitung im Auftrag verbleibt die Verantwortung beim Auftraggeber. Voraussetzung ist, dass
der Auftragnehmer bei Verstößen zur Verantwortung gezogen werden kann. Dies ist innerhalb von
Europa gewährleistet durch die EU-Datenschutzrichtlinie, nicht aber etwa in den USA", sagt
Weichert. Die Weitergabe der Daten an den Auftragnehmer sei demzufolge keine "Datenübermittlung",
für die es eine besondere und strenge Rechtsgrundlage geben müsste.
Jedoch sei die Rechtslage eine andere, wenn der Auftragnehmer die Daten nicht innerhalb der EU
verarbeitet. Dix: "In diesem Fall ist er nach Paragraph 3 Abssatz 8 Satz 3 des
Bundesdatenschutzgesetz (BDSG) Dritter, und die Bereitstellung der personenbezogenen Daten zum
Zwecke der Auftragsdatenverarbeitung ist eine Übermittlung, deren Zulässigkeit sich an den
Paragraphen 4 b und 4 c BDSG messen lassen muss." Und das BDSG stellt in der Paragraphen 28 und 29
sehr strenge Regeln für die "Datenübermittlung an Dritte" auf.
Was bedeutet dies nun konkret? "Die deutschen Cloud-Kunden müssen sich davon überzeugen, dass
die Datenverarbeitung nicht in einem Drittland ohne angemessenes Datenschutzniveau stattfindet", so
der Rat des Berliner Datenschützers. Er verweist in diesem Zusammenhang als Cloud-No-Go-Areas zum
Beispiel auf die USA, China oder Japan.
Dies beschränkt natürlich die Ortsunabhängigkeit des Cloud Computing. "Aus diesem Grunde müssen
die Cloud-Computing-Provider dem Beispiel Amazons folgen, die Dienstleistungen in unterschiedlichen
Regionen mit gemeinsamen Datenschutzstandards anzubieten, also zum Beispiel innerhalb der EU",
erläutert Hanns-Wilhelm Heibey, stellvertretender Landesbeauftragter für Datenschutz und
Informationsfreiheit Berlin.
Amazon lässt seine europäischen Kunden in seinem Cloud-Rechenzentrum in Dublin rechnen. Die
Herkunft des Kunden ermittelt Amazon auf Basis der IP-Adresse. "Aber was mache ich dann, wenn ich
auch aus Amerika auf Dienstreise auf meine Daten zugreifen will?", fragt sich Sicherheitsberater
Professor Sachar Paulus.
Zudem sind nicht alle Cloud-Anbieter in Europa mit eigenen Ressourcen vertreten. So plant der
Mietsoftware-Pionier Salesforce.com nach eigenen Angaben sein erstes Rechenzentrum außerhalb der
USA erstmal in Singapur. Allerdings gibt es noch andere Möglichkeiten, die Cloud-Rechnerei
datenschutzkonform abzuwickeln, so Weichert: "Denkbar ist zum Beispiel, dass die Datenverarbeiter
in den USA dem Safe Harbor-Abkommen beigetreten sind und die dort vorgesehenen Anfordeurngen
erfüllen." Und dies ist im Falle von Saleforce.com der Fall:
www.salesforce.com/de/company/privacy.jsp
Paulus nennt noch weitere Schlupflöcher. "Das Gesetz erlaubt die Verarbeitung in Drittländern
unter bestimmten Bedingungen: Erstens, der Betroffene muss einwilligen oder zweitens, die
Datenverarbeitung ist zwingend erforderlich, um vertraglichen Verpflichtungen nachzukommen." Nach
Paulus Einschätzung findet ein Unternehmen immer ein Argument, um sich wappnen zu können: "
Mitarbeiterdaten immer wegen 1., Kundendaten immer wegen 2."
Also alles halb so wild? Nein, denn die Verantwortung für die Daten und den Datenschutz bleibt
dann nach wie vor beim Anwenderunternehmen als Auftraggeber der Cloud-Datenverarbeitung. Paulus: "
Dieser ist verpflichtet, Verträge und Kontrollmechanismen entsprechend aufzusetzen. Datenschutz ist
Teil der Compliance. Dafür muss es Kontrollen geben. Diese Kontrollen fordere ich per Vertag von
meinem Dienstleister ein und kontrolliere regelmäßig die Einhaltung im Rahmen von IT-Governance."
Allerdings: "Ich kenne kein Unternehmen, dass solche Datenschutzkontrollen von einem
CRM-Cloud-Dienstleister einfordert."
Hintergrund: Sicherheitsapekte beim Cloud Computing
Neben diesen datenschutzrechtlichen Aspekten, die beim Cloud Computing zu beachten sind, sollten
eine Reihe von weiteren Sicherheitsaspekten beachtet werden, so der Berliner Datenschutzbeauftragte
in seinem Jahresbericht. :
1. Gefahr durch Systemadministratoren:
Bei der Datenverarbeitung im eigenen Hause existieren für den privilegierten Zugriff auf
sensitive Daten durch Systemverwalter physische, logische und von Mitarbeitenden gesteuerte
Kontrollmechanismen der IT-Abteilungen. Diese verlieren bei der Auslagerung in die Wolke dadurch
ihre Funktion, dass fremde Administratoren den Zugriff auf die sensitiven Daten erhalten. Die
Kundenunternehmen müssen sich daher detaillierte Informationen über die Systemadministratoren beim
Anbieter verschaffen, über die Auswahlkriterien bei ihrer Einstellung, über die auf sie wirkende
Aufsicht sowie die eingesetzten Verfahren und die Zugriffskontrolle.
2. Compliance/Audits:
Auch wenn die Datenverarbeitung ausgelagert wurde, behalten die Kunden wie bei der normalen
Datenverarbeitung im Auftrag ihre volle datenschutzrechtliche Verantwortung für ihre eigenen Daten.
Zur Aufrechterhaltung der Compliance, also der Einhaltung der gesetzlichen Bestimmungen bei der
Verarbeitung von Daten, sollten die Kunden darauf achten, dass sich die Anbieter externen Audits
und Zertifizierungen unterwerfen.
3. Datentrennung/Verschlüsselung:
Cloud Computing bedeutet auch, dass mehrere Kunden in der gleichen Umgebung verarbeiten lassen.
Damit entstehen Risiken, die in einer nicht hinreichenden Trennung der gespeicherten Daten liegen.
Die Kunden müssen sich daher vor der Auftragsvergabe absichern, welche Methoden zur Trennung der
Daten unterschiedlicher Auftraggeber angewandt werden. Sofern dies durch Verschlüsselung erfolgt,
muss der ordnungsgemäße Entwurf der Verschlüsselungssysteme geprüft werden, um sicherzugehen, dass
die Verfügbarkeit der Daten gewährleistet ist.
4. Wiederherstellung:
Die Kunden sollten sich genau darüber informieren, welche Maßnahmen im Falle des Ausfalls der
Speichersysteme beim Dienstleister für die vollständige Wiederherstellung von Daten und
Anwendungsverfahren vorgesehen sind, bevor man ihm die Daten anvertraut.
5. Illegale Aktivitäten:
Die Entdeckung ungewöhnlicher oder illegaler Aktivitäten ist beim Cloud Computing erschwert, da
der Kunde nicht immer weiß, wo die Daten verarbeitet werden, und dies sich auch unbemerkt ändern
kann. Die Provider sind daher vertraglich zu verpflichten, dass spezielle Überprüfungen auf
ungewöhnliche oder illegale Aktivitäten möglich sind und durchgeführt
werden.
6. Provider-Pleite
Die Kunden müssen vor Auftragsvergabe klären, dass die eigenen Daten auch dann verfügbar
bleiben, wenn der Cloud-Computing-Provider insolvent oder von einem anderen Unternehmen übernommen
wird.
Armin Barnitzke/CZ
Lesen Sie mehr zum Thema
