Die so genannte Artikel-29-Datenschutzgruppe hat sich Anfang Juli mit einer offiziellen Stellungnahme zum Thema Cloud Computing zu Wort gemeldet. Darin spricht die Arbeitsgruppe keine konkrete Empfehlungen aus, wie man Cloud-Modelle sicher nutzen beziehungsweise wie man die größten Cloud-Risiken vermeiden kann. Die als erste Orientierungshilfe zu verstehende Stellungnahme greift grundsätzliche Aspekte heraus, ohne dabei detailliert auf außereuropäische Cloud-Modelle einzugehen.
Die Artikel-29-Datenschutzgruppe ist ein unabhängige Beratungsgremium, die die Europäische Kommission in Fragen des Datenschutzes berät. Die Bezeichnung geht auf den Artikel 29 der Datenschutzrichtlinie zurück, die im Oktober 1995 verabschiedet wurde (Richtlinie 95/46/EG). Der Artikel sieht den Einsatz eines entsprechenden Expertengremiums für die Kommission vor (siehe Wikipedia-Eintrag zur Artikel-29-Datenschutzgruppe).
- Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten. - Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen. - Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein). - Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein. - Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien. - Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen. - Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen. - Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln. - Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners.
Im Folgenden stellen wir die wesentlichen Punkte der Artikel 29-Datenschutzgruppe vor.
Datenkontrollverlust und Intransparenz
Intransparenz in der Datenverarbeitung und der Kontrollverlust über Daten stellen bei der Nutzung von Cloud-Diensten die häufigsten Probleme dar und werden auch in dem Bericht der Artikel 29-Datenschutzgruppe besonders herausgegriffen. Dabei können sich diese Problemfelder auf vielerlei Weise beim Cloud-Computing bemerkbar machen:
Interoperabilität der Daten: Ein häufiges Dilemma stellt bislang die mangelnde Datenportabilität der in einer Cloud gespeicherten Daten dar. Häufig verarbeiten Cloud-Anbieter die Daten nicht in standardisierten Datenformaten, was bei einem Wechsel des Cloud-Anbieters zu einem großen Problem führen kann, da die Daten dann häufig nicht mehr weiterverarbeitet werden können (vendor lock-in). Ähnliches gilt, wenn Daten, die auf unterschiedlichen Cloud-Systemen unterschiedlicher Provider gespeichert sind, untereinander ausgetauscht werden sollen (zum Beispiel innerhalb von Konzernen).
Empfehlung: Lassen Sie sich die Datenportabilität von dem Cloud-Anbieter garantieren und vereinbaren Sie dahingehend sichere Exit-Regelungen.
Behördliche Zugriffe: Überdies besteht die Gefahr, dass staatliche Behörden insbesondere im EU-Ausland Zugriff auf Cloud-Systeme nehmen. Sie können damit gegebenenfalls europäische Daten ausspähen und hiesige Datenschutzgesetze verletzen. Ein prominentes Beispiel stellen die Zugriffsrechte der US-Behörden nach dem so genannten Patriot Act dar (siehe auch Vorsicht vor Clouds im Ausland).
Empfehlung: Meiden Sie außereuropäische Clouds.
Betroffenenrechte: Ein weiteres Risiko bei Cloud-Lösungen stellt die Gefahr dar, dass der Cloud-Nutzer durch das "Aus-der-Hand-geben" seiner Daten die Hoheit über diese verliert und so zum Beispiel nicht mehr in der Lage ist, in angemessener Form auf die im deutschen Datenschutzrecht verankerten Betroffenenrechte wie Auskunft, Löschung und Berichtigung einzugehen.
Empfehlung: Der Cloud-Provider sollte bei der Beantwortung der Anfragen von Betroffenen unterstützen und die korrekte Behandlung der Betroffenenrechte sicherstellen.
Vorsicht vor Sub-Unternehmen
Unterauftragnehmer: Cloud-Leistungen werden häufig von mehreren Dienstleistern erbracht, wenn etwa der Cloud-Vertragspartner Unterauftragnehmer einsetzt. Hier ergeben sich gleich mehrere Probleme: Häufig ist sich der Cloud-Nutzer gar nicht über die Tatsache bewusst, dass überhaupt Unterauftragnehmer eingesetzt werden. In anderen Fällen weiß er nicht, wer diese Unterauftragnehmer sind und damit auch nicht, in welchen Ländern sich diese befinden. Diese Unwissenheit birgt Gefahren, da der Cloud-Nutzer möglicherweise seine Kontrolle über die Daten verliert.
Wie soll er in Unkenntnis des Einsatzes von Unterauftragnehmern sicherstellen, dass seine Daten von diesen datenschutzkonform verarbeitet werden? Kann er sich überhaupt noch sicher sein, dass seine Daten nicht im außereuropäischen Ausland gelandet sind? Gerade in solchen Konstellationen besteht die Gefahr, dass sich die Daten in datenschutzrechtlicher Hinsicht in unsicheren Drittstaaten wie beispielsweise Amerika, Russland, China oder Indien befinden. Vor diesem Hintergrund kann aber der Cloud-Nutzer, der als Auftraggeber auch für den datenschutzrechtlich-konformen Umgang mit den Informationen verantwortlich ist, nicht dafür Sorge tragen, dass die nach EU-Recht erforderlichen Garantien eingehalten werden.
Wichtig ist in diesem Zusammenhang, dass Selbst-Zertifizierungen nach Safe Harbor, auf die sich häufig amerikanische Cloud-Dienstleister berufen, für sich genommen nicht ausreichen, um ein angemessenes, gleichgeeignetes Datenschutzniveau nachzuweisen. Die Artikel-29-Datenschutzgruppe fordert daher neben der Vorlage des Zertifikats und der Überprüfung der darin verankerten Prinzipien überdies zusätzliche Garantien, ohne diese jedoch näher auszuführen.
Empfehlung: Lassen Sie sich vor Inanspruchnahme der Cloud-Leistungen eine Liste der eingesetzten Subunternehmer von Ihrem Cloud-Anbieter übermitteln, aus der klar hervorgeht, wo Ihre Daten verarbeitet werden und welche Datenverarbeitungsleistungen die Unterauftragnehmer im Einzelnen durchführen. Machen Sie den Einsatz von Unterauftragnehmern regelmäßig von ihrer vorherigen Zustimmung abhängig. Überdies ist es wichtig, dass Sie sicherstellen, dass die in datenschutzrechtlicher Hinsicht im Rahmen eines Auftragsdatenverarbeitungsvertrages Ihrem Cloud-Anbieter auferlegten Pflichten an die Unterauftragnehmer vertraglich weitergereicht werden. Vermeiden Sie, soweit möglich, Konstellationen, in denen Unterauftragnehmer mit Sitz in unsicheren Drittstaaten eingesetzt werden.
Auftraggeber haftet stets für den Datenschutz
Der Cloud-Nutzer sollte sich stets darüber im Klaren sein, dass er in datenschutzrechtlicher Hinsicht stets in der Verantwortung steht, also für die Verwendung und Verarbeitung der Daten auch durch den Cloud-Dienstleister voll haftbar bleibt. Dabei spielt es keine Rolle, wie bekannt und mächtig der Cloud-Anbieter ist. Die Bekanntheit und Größe eines Cloud-Dienstleisters rechtfertigen es nicht, vorgegebene Vertragsklauseln, die gegen geltendes Datenschutzrecht verstoßen, einfach hinzunehmen und zu akzeptieren. Prüfen Sie daher ihren Cloud-Anbieter auf Herz und Nieren, bevor Sie ihm Ihre Daten anvertrauen. (jha)