Orientierungshilfe für Datenschutz in der Cloud

Cloud Computing hat organisatorische und wirtschaftliche Vorteile. Dazu zählen insbesondere die Skalierbarkeit und die verbrauchsabhängige Bezahlung von Rechenkapazitäten nach Bedarf. Dies bietet großes Einsparpotenzial in den Bereichen Anschaffung, Betrieb und Wartung von IT-Systemen. Nicht zuletzt ermöglicht Cloud Computing eine optimierte Verfügbarkeit von Geschäftsanwendungen unabhängig von geographischen Standorten.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (=Aufsichtsbehörden, DE) hat ein Papier veröffentlicht, das einen datenschutzkonformen Einsatz von Cloud-Angeboten fördern soll und sich mit diesem Ansatz gezielt an Unternehmen richtet: Orientierungshilfe – Cloud Computing Version 1.0. Das Paper kann als PDF von jeder Webseite der 16 Datenschutzbehörden kostenlos heruntergeladen werden, z.B. hier.

Die Orientierungshilfe bietet einen Katalog von Definitionen rund um Cloud-Computing, sensibilisiert für die datenschutzrechtlichen Schwerpunkte und enthält insbesondere eine Auflistung von vertraglichen und technisch-organisatorischen Mindestforderungen für die Gestaltung und Anwendung dieser Technologie.

Besondere datenschutzrechtliche Risiken

• In der Orientierungshilfe werden den Vorteilen von Cloud-Computing entsprechend die datenschutzrechtlichen Schwerpunkte gelegt. Diese "cloud-spezifischen" Risiken stehen freilich neben den klassischen, zum Beispiel durch Schadsoftware oder Angriffe Dritter.
• Die datenschutzrechtlichen Schwerpunkte knüpfen beim möglichen Kontrollverlust des Anwenders über die Daten an, wenn sich die Datenverarbeitung nicht mehr vor Ort sondern ausgelagert in der Cloud vollzieht und der Anwender selbst keinen konkreten Zugriff mehr auf die Daten hat. Ab dann kann es nur noch schwer nachvollziehbar sein, wo und auf welchen Systemen die Speicherung, Ausführung und Verarbeitung von Daten erfolgt. Die Unsicherheiten erhöhen sich, wenn der Cloud-Anbieter seine Dienstleistungen und Services selbst bei anderen Anbietern einkauft und damit die Transparenz verloren geht.

Mit der IT wird nicht die Verantwortung ausgelagert

• Die Orientierungshilfe legt besonderen Schwerpunkt auf die Gefahr der verantwortlichen Stelle, ihrer datenschutzrechtlichen Verantwortung durch die Auslagerung der IT nicht mehr gerecht werden zu können. Die Stichworte lauten hier: Transparenz, Beeinflussung und Kontrolle der Datenverarbeitung.
• Die Dokumentation und Protokollierung der Datenverarbeitungsprozesse erfolgt beim Cloud-Anbieter und ist daher für den Anwender meist intransparent. Eine wirksame Kontrolle der Einhaltung der datenschutzrechtlichen Pflichten ist daher schwierig:
  • So könnten Daten, die am Standort X auf Wunsch des Anwenders durch den Anbieter berichtigt, gelöscht oder gesperrt wurden, am Standort Y noch unverändert weiter existieren.
  • Auch können vermeintlich als anonymisiert angesehene Daten wieder re-identifizierbar werden, wenn bei der Verarbeitung in der Cloud weitere Beteiligte hinzutreten, die über Zusatzwissen verfügen und eine Re-Identifizierung möglich machen.

Technische und organisatorische Aspekte

Ein weiterer Schwerpunkt der Orientierungshilfe ist die technisch-organisatorische Infrastruktur. Die Entschließung der Datenschutz-Aufsichtsbehörden legt hier einige Mindeststandards fest:

• Verfügbarkeit: Personenbezogene Daten stehen zeitgerecht zur Verfügung und können ordnungsgemäß von autorisierten Benutzern verarbeitet werden.
• Vertraulichkeit: Nur Befugte können personenbezogene Daten zur Kenntnis nehmen.
• Integrität: Personenbezogene Daten bleiben während der Verarbeitung unversehrt, vollständig und aktuell. Die Funktionsweise der Systeme ist vollständig gegeben.
• Revisionssicherheit: Es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.
• Transparenz: Die Verfahrensweise bei der Verarbeitung personenbezogener Daten ist vollständig, aktuell und in einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden kann.

Zusammendfassende Mindestanforderungen

Als Fazit der Entschließung der Konferenz der Datenschutz-Aufsichtsbehörden wurden nochmals die Mindestforderungen bei der Nutzung von Cloud-Computing-Dienstleistungen zusammengefasst. Zu verlangen sind danach mindestens:

• Offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt und andererseits Aussagen haben, um zwischen den Cloud- Anbietern wählen zu können.
• Transparente, detaillierte und eindeutige vertragliche Regelungen der cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass zum Beispiel wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter umziehen kann.
• Die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender.
• Aktuelle und aussagekräftige Nachweise (beispielsweise Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.

(Vergleiche “Orientierungshilfe für richtigen Datenschutz beim Cloud Computing” von von Sebastian Kraska und Michael Stolze auf zdnet.de)