Datenschutz in der Cloud: Auf Nummer sicher gehen

Bei der Aufnahme des Cloud-Betriebs ist zunächst einmal zu einer deutschen oder europäischen Cloud zu raten. Cloud Computing ist üblicherweise eine sogenannte Auftragsdatenverarbeitung nach § 11 des Bundesdatenschutzgesetzes (BDSG). Die ist aber grundsätzlich nur bei Anbietern mit Sitz innerhalb des europäischen Wirtschaftsraums möglich. Der Auftraggeber muss Herr über seine eigenen Daten bleiben und jederzeit Zugriff auf seine Daten haben und Kenntnis darüber, was mit ihnen geschieht.

Wichtig ist beispielsweise nicht nur der Sitz des Anbieters, sondern auch der spätere Standort der Daten, also der Serverstandort. Denn rechtlich gibt es enorme Unterschiede je nachdem, ob die Daten oder Sicherheitskopien der Daten vom Anbieter auf IT-Systemen in Deutschland, der Schweiz, Malta, Kanada, den USA, in Indien oder China gespeichert werden. Oft werden Daten auch an mehreren Standorten gleichzeitig gespeichert. Hier sind eindeutige und verbindliche vertragliche Zusicherungen wichtig und eine rechtliche Überprüfung unentbehrlich.

Eine Möglichkeit, die immer berücksichtigt werden sollte, ist die Daten vor Ort und vor der Übertragung in die Cloud zu verschlüsseln, also zusätzlich zur Verschlüsselung der Übertragung. Dies kann gerade beim Nutzen der Cloud für Sicherheitskopien vieles erleichtern. In jedem Fall sollte eine Ausfallsicherheit bei kritischen Systemen auch ohne Cloud bestehen. Lokale Sicherheitskopien der aktuellen Daten sind also teilweise weiter nötig. Denn nur so ist man auf der sicheren Seite, falls es beim Anbieter oder bei der Internetverbindung zu Störungen kommen sollte. Die Verwendung einer Public Cloud, also von Diensten wie Dropbox, sollte in der Unternehmensumgebung unbedingt vermieden werden. Denn eine Public Cloud erfüllt fast nie die rechtlichen Anforderungen.

Beim Datenklau ist zu beachten, dass die Übertragung von Daten in die Cloud stets ein zusätzliches Risiko in sich birgt. Es sollte daher von Anfang an auf allen Ebenen besonders auf eine technisch hervorragende Verschlüsselung geachtet werden. Dabei sollte auch vertraglich abgesichert sein, dass die Verschlüsselungstechnik regelmäßig und zügig auf den aktuellen Stand der Technik gebracht wird.

Das ist in Zeiten von PRISM wichtiger denn je. Bei Clouds mit Datenspeicherung in Niedriglohnländern ist das Risiko zu beachten, dass Dritte durch Bestechung von Mitarbeitern teils sehr schnell und leicht an Daten kommen können. Und bei Daten, die Ausfuhrbeschränkungen unterliegen wie zum Beispiel militärbezogene Bauanleitungen kann eine Speicherung in der Cloud schnell sehr ernste Folgen haben.

Je weniger Rechtsprechung und Gesetzgebung es gibt, die sich speziell auf ein Thema wie Cloud Computing bezieht, desto wichtiger ist ein gründlicher und valider Vertrag.

Werden Firmendaten vom Cloud-Dienstleister verloren, kann das für das Geschäft des Auftraggebers verheerende Folgen haben, rein datenschutzrechtlich betrachtet ist es zwar eher unproblematisch. Aber der Verlust im Sinne einer Preisgabe der Daten an unberechtigte Dritte, oft auch als “Datenpanne” bezeichnet, ist ein ernstes Problem. Das Bundesdatenschutzgesetz (BDSG) verbietet grundsätzlich jedes Verwenden von personenbezogenen Daten. Anschließend erlaubt es die Verwendung unter bestimmten Bedingungen.

Dieses sogenannte “Verbot mit Erlaubnisvorbehalt” verlangt grundsätzlich sowohl vom Auftraggeber als auch vom Auftragnehmer, das Recht zur Verwendung von Daten entweder durch eine Rechtsvorschrift wie das BDSG oder eine Einwilligung der Betroffenen Person explizit eingeräumt zu bekommen (§ 4 Absatz 1 BDSG). Beide Parteien tragen also nach BDSG Verantwortung nur zulässigerweise Daten zu erheben, zu verarbeiten und zu nutzen.

Die Zulässigkeit einer Cloud Lösung bestimmt sich nach § 11 BDSG, der Vorschrift zur Auftragsdatenverarbeitung. Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber die verantwortliche Stelle, haftet also gegenüber Betroffenen. Zudem muss der Auftraggeber sicherstellen, dass der Auftragnehmer angemessene Datenschutzstandards einhält.

Der Auftraggeber trägt also unter anderem die Verantwortung, dass der Auftragnehmer vertraglich verpflichtet ist, entsprechende Sicherheitsstandards einzuhalten und sicherzustellen dass die Daten die er an ihn schickt, überhaupt in der Cloud gespeichert werden dürfen. Denn einige Daten bei denen eine Übertragung technisch möglich und sinnvoll ist, sind rechtlich generell nicht “Cloud-kompatibel”.

Wenn solche Daten doch in der Cloud gespeichert wurden und anschließend an Dritte preisgegeben werden, drohen vertraglich wie datenschutzrechtlich ernste Probleme. Etwa Bußgelder und sogar Strafverfahren nach § 43 und § 44 BDSG. Rechtlich gesehen bleibt der Auftraggeber die verantwortliche Stelle bei der Auftragsdatenverarbeitung. Dabei ist wichtig zu beachten, dass auch die Presse eine “Datenpanne” meist mit dem Auftraggeber in Verbindung bringen wird – also auch ein erheblicher Imageschaden droht.

Eine Garantie für eine Art “Grundservice” kann der Cloud-Anbieter nur für die Service Level aussprechen. Darauf sollten Auftraggeber sich aber nicht blind verlassen, besonders wenn es um kritische IT-Systeme geht.

Zu den Grundanforderungen gehört sicherzustellen, dass der Kunde in einem Notfall Zugang zu seinen Daten hat oder ein lokales Backup besteht. Der Standardservice in der Public Cloud bei Anbietern wie Dropbox bringt oft einen reduzierter Funktionsumfang mit sich und selten die für Unternehmensanwender wichtigen Service Levels. Ein Unternehmen sollte daher nur im Ausnahmefall Public-Cloud-Lösungen nutzen und gerade für kritische Applikationen auf die Enterprise Cloud ausweichen, in der man sich von Anbietern Service Levels zusichern lassen kann.