Cloud Computing und Datenschutz, Teil 2: Welche Cloud-Anbieter rechtskonform arbeiten

Das können Unternehmen am besten anhand der Schutzkataloge abklopfen, die dieser Schwerpunktbeitrag aufführt. Zertifizierungen erleichtern die Wahl – aber eben nur, wenn es die richtigen sind. Übrig bleiben dann fast nur die Auftragnehmer im Geltungsbereich des deutschen Datenschutzrechts.

Dieser Beitrag ist mehr als 12 Jahre alt.
Bild: kentoh

Eignung im Punktekatalog

Von Sabine Philipp

Wie in Teil 1 bereits gesagt, dürfen Sie einen Cloud-Auftrag nicht an jeden x-beliebigen Anbieter vergeben. Worauf Sie als Auftraggeber bei der Wahl im Einzelnen achten müssen, verrät die Anlage zu §9 BDSG. Diese Liste führt die Grundprinzipien einer datenschutzrechtlich sauberen Organisation auf – und damit auch das, was Sie von einem Auftragnehmer verlangen müssen. Die acht Punkte verlangen u.a. dass er Unbefugte von den Anlagen fern hält und ihnen Einblick in die Datenbestände verwehrt.

Ausführlich behandelt der Gesetzgeber unter dem Stichwort „Weitergabekontrolle“ den Transport, ob auf Datenträgern oder auf rein elektronischem Wege. Dabei ist nicht nur darauf zu achten, dass die Bestände „nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“, sondern auch darauf, dass nachvollziehbar ist, wann und wo Daten übertragen werden.

Grundsätzlich muss ein Anbieter „gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind“. Wichtig ist außerdem das Verbot der Pool-Bildung: Zu „unterschiedlichen Zwecken erhobene Daten“ muss man getrennt verarbeiten können. Eher selbstverständlich ist dagegen der Schutz „gegen zufällige Zerstörung oder Verlust“.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Gültige Zertifizikate

Nun ist man als Mittelständler in der Regel gar nicht in der Lage, selbst zu überprüfen, ob der Auftragnehmer all diese Punkte auch umsetzt. Manch einer lässt sich daher Zertifikate vorlegen, die geprüfte Sicherheit durch Experten garantieren sollen – nicht wenige übersehen dabei allerdings, dass nur die richtigen Zertifikate gelten.

ThomasStroebele.jpg

Thomas Ströbele ist Mit­gründer, Mit­gesell­schafter und Geschäfts­führer Marketing & Ver­trieb der yourIT GmbH in Hechin­gen. Der Diplom-Kauf­mann kommt aus der Praxis, ist exter­ner Beauf­tragter für den Datenschutz und An­wendungs­spezialist für Dokumenten­management, elek­tronische Signa­tur und E-Billing. Daher weiß er z.B. genau, wie Unter­nehmen ihre Rechnungen handhaben sollten.

„Eine Zertifizierung nach ISO 27001 ist eine feine Sache – wenn es um Datensicherheit geht. Wenn der Datenschutz aber nicht abgedeckt wird, reicht diese Zertifizierung alleine aber nicht mehr aus“, gibt Fachmann Thomas Ströbele zu bedenken. Denn Datensicherheit ist nicht dasselbe wie Datenschutz. Vereinfacht gesagt geht es beim Datenschutz darum, dass Auskünfte über Personen nicht in die falschen Hände geraten. Bei der Datensicherheit steht dagegen der Schutz von Betriebsgeheimnissen und der EDV-Anlagen im Vordergrund, z.B. vor Viren und Trojanern. Natürlich gibt es keinen Datenschutz ohne Datensicherheit. Aber er geht eben noch ein wenig weiter.

„Wer also die Kontrolle beim Anbieter umgehen möchte, indem er Zertifikate anfordert, muss sicherstellen, dass das Zertifikat zur Thematik passt“, betont Ströbele. Denn Gütesiegel gibt es einige. Für den IT-Grundschutzkatalog des BSI gibt es einen optionalen Datenschutzbaustein, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) vergibt das ,Datenschutz-Gütesiegel‘ und auch der TÜV Rheinland bietet mittlerweile das Zertifikat ,Datenschutz & Datensicherheit‘ an.

Internationale Risiken

Nun gibt es Cloud Computing keineswegs nur innerhalb Deutschlands. Mit einem Klick können die Daten auch in andere Länder wandern, die z.T. ganz andere Begriffe vom Datenschutz haben. Genau das aber verbietet die EU-Richtlinie 95/46/EG.

Versprechen genügt
Informationen zum Safe-Harbor-Abkommen finden Sie auf www.export.gov/safeharbor/. Simon Fink hat darüber an der Uni­versität Kon­stanz eine viel be­achtete Magister­arbeit ver­fasst („Daten­schutz zwischen Staat und Markt. Die „Safe Harbor“-Lösung als Ergeb­nis einer strate­gischen Inter­aktion zwi­schen der EU, den USA und der IT-Industrie“), die Sie unter http://simon­fink.word­press.com/publi­kationen/ im Voll­text herunter­laden kön­nen. Ob das Ab­kommen wirk­lich hält, was es ver­spricht, ist aller­dings eher zweifel­haft, weil das System der „self-certification“ prak­tisch keiner­lei Kon­trolle unter­worfen ist – Face­book war z.B. sofort auf der Liste der Selbst­zertifizierer. Darum hat das Unab­hängige Landes­zentrum für Daten­schutz Schles­wig Hol­stein be­reits anläss­lich des zehn­jährigen Jubil­äums des Ab­kommens an­gemahnt, dass eine Über­prüfung „über­fällig“ sei, und pro­phezeit, dass sie „nach den bisher vor­liegenden Fakten nur negativ aus­fallen“ könne.

Allerdings lässt sich dieses Verbot umgehen, dann nämlich, wenn das unzureichende Schutzniveau in einem Drittland durch besondere Maßnahmen ausgeglichen wird und wenn der für die Verarbeitung Verantwortliche geeignete Sicherheiten nachweist. Eine solche Maßnahme ist z.B. das Safe-Harbor-Abkommen zwischen den USA und Europa. US-amerikanische Unternehmen versichern mit ihrem Beitritt öffentlich, dass sie die Bedingungen des U.S.-EU Safe Harbor Frameworks einhalten.

Update: Cloud Computing nach Safe Harbor – Der Europäische Gerichtshofs hat mit Urteil vom 6. Oktober 2015 die bisherige Safe-Harbor-Praxis gekippt: Persönliche Daten europäischer Internet-Nutzer seien in den USA nicht ausreichend vor dem Zugriff durch Behörden geschützt. Ein Sonderbeitrag erklärt, welche Folgen das für deutsche Unternehmen hat und was vorerst zu tun ist.

BSI-Mindestanforderungen

Fatalerweise sind Datenschutz und Datensicherheit typische Panikthemen der Tagespresse. Dabei ist die Wirklichkeit weitaus weniger düster: „Wenn Sie einen wirklich guten Cloud-Anbieter und ein typisches mittelständisches Unternehmen miteinander vergleichen, dann können Sie meist davon ausgehen, dass die Daten beim Mittelständler weniger sicher aufgehoben sind“, sagt Ströbele.

Gute Anbieter muss man aber suchen und finden – und nicht jeder hält, was er verspricht. Darum beschäftigen sich mittlerweile auch Institutionen und Verbände mit dem Thema. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)“herausgebracht. Es behandelt verschiedene Bereiche (Eckpunkte), die das BSI als kritisch ansieht, darunter auch die Aspekte Datenschutz und Compliance. Eine Checkliste hilft, den Anbieter auf Herz und Nieren zu prüfen.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Selbst in der Pflicht

Freilich gelten die Datenschutzpflichten nicht nur für den Cloud-Betreiber, sondern auch für den Auftraggeber. „Da die Cloud ein Teil des Unternehmens ist, muss auch das Berechtigungssystem im Unternehmen so eingestellt sein, dass nur autorisierte Personen Zugriff auf die Daten haben dürfen“, erklärt Ströbele und ergänzt: „Sie lassen in Ihrem Unternehmen ja auch keine sensiblen Personalakten herumliegen, in denen z.B. steht, dass Ihrem Mitarbeiter Meier das Gehalt gepfändet wird.“

Das Berechtigungssystem sollte regelmäßig überprüft werden. Selbst dann, wenn rein rechtlich kein Datenschutzbeauftragter beschäftigt werden muss, heißt das noch lange nicht, dass sich das Unternehmen nicht an die Vorgaben halten muss. Nach §4f (1) BDSG muss ein Datenschutzbeauftragter erst dann gestellt werden, wenn mindestens neun Personen mit personenbezogenen Daten arbeiten.

Transparenz im eigenen Haus

Und selbst in den Unternehmen, die einen eigenen Datenschutzbeauftragten haben, kann es manchmal Defizite geben, weil die Geschäftsleitung nicht an einem Strang zieht.

Besonders groß sind die Brüche, wenn es um die Kommunikation zwischen Geschäftsleitung und Datenschutzbeauftragten geht. Laut einer jüngeren Umfrage, die TNS-Emnid für die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) geht hervor, dass selbst über gravierende Datenpannen knapp jeder vierte Befragte nach eigener Einschätzung nicht immer informiert wird. Werden neue Datenverarbeitungssysteme oder -verfahren eingeführt, sei die Expertise der Datenschutzbeauftragten nur bei knapp 60 % der Unternehmen bereits in der Planungsphase gefordert. Knapp jeder fünfte Beauftrage wurde erst bei der Investitionsentscheidung konsultiert, ein ebenso großer Prozentsatz sogar erst nach Implementierung des Verfahrens – und damit eindeutig zu spät.

Serie: Cloud Computing und Datenschutz
Teil 1 packt die recht­lichen Grund­lagen auf den Tisch. Teil 2 gibt kon­krete Tipps für die Anbieterwahl.

Fazit: Outsourcing treibt den Datenschutz

Gemessen daran, wie hart die Pflichten sind, wird das Thema Datenschutz weiterhin viel zu sehr auf die leichte Schulter genommen. Das ist umso bitterer, als die Durchsetzung wohl auf absehbare Zeit den Möglichkeiten hinterherhinken wird. Da ist sich Ströbele sicher: Der Datenschutz werde zwar an die technischen Gegebenheiten angepasst, aber der Fortschritt sei häufig schneller als man reagieren könne.

Aus diesem Blickwinkel heraus erscheint Cloud Computing sogar als Vorteil: Je mehr Unternehmen mit verteilter IT arbeiten, desto mehr fordern von ihren Dienstleistern Nachweise und Zertifizierungen. Unterm Strich kann sich EDV im Outsourcing nie die Nachlässigkeit leisten, die im Haus oft geduldet wird. So würde der Branchendruck am Ende den Datenschutz forcieren.

Nützliche Links