Antreten zum Rapport
Von David Schahinian
Das eine oder andere Unternehmen dürfte sich über die geltenden Datenschutzvorgaben turnusmäßig ärgern. In den vergangenen Jahren wurden zahlreiche Regeln neu eingeführt oder verschärft. Prozesse mussten neu aufgesetzt werden – oftmals verbunden mit bedeutenden Investitionen, deren Sinn sich nicht jedem und immer gleich erschlossen. Es ist noch nicht so lange her, dass die Europäische Datenschutz-Grundverordnung (EU-DSGVO) als „Bürokratiemonster“ verschrien wurde. Allein, die kontinuierlich ansteigende Gefahr, selbst Opfer eines Cyberangriffs zu werden oder einen Reputationsverlust wegen verschlampter Daten zu erleiden, gibt den Verfechtern strenger Regeln recht. Unter dem Strich profitieren auch die Unternehmen von den neuen Standards, selbst wenn manche zu ihrem Glück gezwungen werden müssen.
Vor den Erfolg haben die Götter aber den Schweiß gesetzt. Es ist äußerst sinnvoll, sich mit möglichen Datenschutzverletzungen und ihren Folgen auseinanderzusetzen, bevor der Notfall eintritt. Dann nämlich bleibt keine Zeit mehr, lange in Büchern zu blättern oder auf den Rückruf eines Vertrauensanwalts zu warten. Das gilt umso mehr, wenn Dienste und Daten an einen Cloud-Anbieter ausgelagert sind. Eine geregelte und vertrauensvolle Zusammenarbeit ist in solchen Situationen ein Muss: Denn auch wenn dieser viel Arbeit übernimmt – die Verantwortung für die Einhaltung der Meldepflichten liegt immer beim Unternehmen, sie kann nicht outgesourct werden.
Was gilt wann?
Es gibt mehrere relevante Meldepflichten. Da wäre zum einen die erwähnte DSGVO. Dort heißt es in Art. 33:
- „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde.“
Wird einem Cloud-Anbieter („Auftragsverarbeiter“) eine Verletzung des Schutzes personenbezogener Daten bekannt, muss er diese dem Verantwortlichen im Unternehmen unverzüglich melden. Art. 34 schreibt zudem vor, dass unverzüglich auch alle von der Datenschutzverletzung betroffenen Personen benachrichtigt werden müssen, sofern ihnen voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten daraus entsteht.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilage „Privacy für Unternehmen – Cloud as a Service“. Einen Überblick mit freien Download-Links zu sämtlichen Heften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Nicht immer muss es sich dabei um fiese Machenschaften von Cyberkriminellen handeln. Wie aus dem Praxisreport Datenschutzverletzungen 2021 der Gesellschaft für Datenschutz und Datensicherheit (GDD) hervorgeht, ist die unbeabsichtigte Übermittlung personenbezogener Daten an falsche Empfänger die mit Abstand am häufigsten gemeldete Kategorie. Cyberangriffe liegen zwar auf dem zweiten Platz, aber mit lediglich 14 %, gefolgt von System- oder Konfigurationsfehlern sowie Diebstahl.
KRITIS und digitale Dienste
Mit dem IT-Sicherheitsgesetz wurden 2015 zudem besondere Regeln und Meldepflichten für die Betreiber kritischer Infrastrukturen (KRITIS) eingeführt. Grob gesagt sind das Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Dazu zählen die Bereiche Energie, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Gesundheit sowie Informationstechnik und Telekommunikation. Mit dem IT-Sicherheitsgesetz 2.0, das der Bundesrat im Mai 2021 gebilligt hat, wurde der Kreis noch um den Sektor Siedlungsabfallentsorgung erweitert.
Die Betreiber kritischer Infrastrukturen müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Störungen „der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen geführt haben“, melden – und zwar „unverzüglich“. Gleiches gilt für erhebliche Störungen, die zu einem Ausfall oder einer Beeinträchtigung führen können.
Seit dem 10. Mai 2018 besteht außerdem eine Meldepflicht für Anbieter digitaler Dienste. Dazu zählen Online-Marktplätze und -Suchmaschinen sowie Cloud-Computing-Dienste. Grundlage ist § 8c BSI-Gesetz. Die Service-Anbieter müssen dem Bundesamt jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der EU erbrachten digitalen Dienstes hat, unverzüglich melden.
Die Zeit läuft
Die Fristen sind allesamt knapp bemessen und daher nicht einfach einzuhalten. Abgesehen davon stellen sich in der Praxis einige Fragen: Wie sollen beispielsweise im Falle eines DSGVO-Verstoßes innerhalb von 72 Stunden alle relevanten Informationen zusammengetragen werden? Nicht immer ist so schnell klar, wo was wann schiefgelaufen ist. In solchen Fällen empfiehlt es sich, zumindest eine Erstmeldung innerhalb der Frist abzugeben – mit der Zusage, noch fehlende Informationen schnellstmöglich nachzureichen, sobald sie recherchiert werden konnten. Das zeigt guten Willen und vermeidet in der Regel zunächst ein Bußgeld. Spätestens hier zahlt es sich dann aus, wenn rechtzeitig Notfallprozesse definiert und Verantwortliche benannt wurden, die sofort tätig werden können.
Doch allemal besser ist es, wenn es gar nicht erst so weit kommt. Ob die Auslagerung von Diensten und Daten in die Cloud aus diesem Blickwinkel hilfreich oder kontraproduktiv ist, lässt sich nicht pauschal beantworten. Konzerne stecken mittlerweile viel Geld in die Absicherung der eigenen Netzwerke, weil sie wissen, dass sie eine besonders große Zielscheibe für Cyberkriminelle abgeben. Einen hundertprozentigen Schutz bietet das aber nicht. Zudem können große Unternehmen heute aufgrund der Komplexität und Vielfältigkeit ihrer Geschäftsmodelle kaum mehr auf die Cloud verzichten.
Bei kleineren Unternehmen dürften die Vorteile einer Cloud-Auslagerung noch größer sein. So hohe Schutzstandards, wie sie Betreiber von Rechenzentren aufweisen (müssen), können sie kaum dauerhaft aus eigener Kraft gewährleisten. Bei der Zusammenarbeit mit Cloud-Anbietern profitieren sie von deren Know-how und Erfahrung. Mehr noch: Durch die professionelle Absicherung der Cloud-Systeme wird das Risiko minimiert, dass es überhaupt zu einem Sicherheitsvorfall kommt und eventuell komplette Dienste ausfallen. Zudem verfügen viele Anbieter über Frühwarnsysteme zur Abwehr von Cyberangriffen. Ist der Informationsfluss zu den Kunden sichergestellt – unter anderem durch entsprechende vertragliche Regelungen! –, spricht nichts gegen und viel für die Cloud. Im Übrigen sind Cloud-Anbieter dazu verpflichtet, betroffene Nutzer umgehend nach dem Bekanntwerden eines Datenschutzverstoßes darüber zu informieren, damit diese ihren Meldepflichten nachkommen können.
Verantwortung kann nicht ausgelagert werden
Unternehmen dürfen ihre Sorgfaltspflichten ohnehin nicht an der Tür der Rechenzentren abgeben: Sie sind trotzdem verpflichtet, alle geeigneten Schutzvorkehrungen zu treffen. Rechtsanwalt Phil Salewski von der IT-Recht-Kanzlei erklärt:
- „In Europa sind die Datenschutzrechte von Cloudhosting-Kunden maßgeblich durch die sogenannte Auftragsverarbeitung geprägt. Bei dieser haben Kunden über eingespeiste personenbezogene Daten eine Datenhoheit und sind direkt für diese verantwortlich.“
Der Cloud-Anbieter sei demgegenüber in Bezug auf die Daten nur weisungsgebundener Verarbeiter im Auftrag und mithin gesetzlich der Kontrolle seiner Kunden unterworfen.
Teil 1 beginnt dort, wo der Datenschutz am wichtigsten ist: bei den Auftragsdatenverarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechenzentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.
Zudem sollten auch Eventualitäten in einen Plan B einbezogen werden. So war im März 2021 ein Brand in einem Rechenzentrum des Anbieters OVH in Straßburg ausgebrochen. Zahlreiche Dienste waren längere Zeit offline, Daten gingen unwiederbringlich verloren. Rechtsanwalt Dr. Thomas Schweiger von Dataprotect weist daher darauf hin, dass Unternehmen sich von ihren Cloud-Anbietern vertraglich zusichern lassen sollten, dass ihre Daten redundant in einem anderen Rechenzentrum abgesichert weiterhin verfügbar bzw. vorhanden sind:
- „Wenn dies nicht der Fall ist und ein unwiederbringlicher Datenverlust oder auch nur eine Beeinträchtigung der Verfügbarkeit gegeben ist, dann besteht aus datenschutzrechtlicher Sicht akuter Handlungsbedarf.“
Selbst Vorsorge tragen
Unternehmen können noch mehr dafür tun, dass es gar nicht erst zu meldepflichtigen Vorfällen kommt. Strenge Zugriffskontrollen auf die Cloud-Daten sollten so selbstverständlich sein wie eine verschlüsselte Übertragung der Daten. Der Brand in Frankreich hat zudem einmal mehr gezeigt, dass die Cloud keine nebulöse Wolke ist, sondern ein Zusammenschluss realer Rechenzentren. Deren Standorte zu kennen, kann insbesondere in Notfällen Gold wert sein. Aufgrund der hohen Datenschutzstandards sind gut gesicherte Rechenzentren in Deutschland auf jeden Fall erste Wahl.
Ein weiterer wichtiger Aspekt ist, dass Sicherheitssysteme immer nur so gut sind wie ihre Nutzerinnen und Nutzer. Ob Cloud oder nicht, das infrage kommende Personal sollte regelmäßig darin geschult werden, wie sicherheitsrelevante Vorfälle erkannt werden können und wie man sich zu verhalten hat. Da das Unternehmen alle in seiner Macht stehenden Sicherheitsvorkehrungen treffen sollte und in der Regel auch muss, könnte ihm eine mangelnde Information seiner Beschäftigten im Zweifelsfall als eigenes Verschulden ausgelegt werden. Im aktuellen GDD-Report heißt es dazu:
- „Unklar ist, inwieweit Beschäftigte als wichtige interne Meldestelle für Datenschutzverletzungen ausreichend geschult und in die unternehmerischen Prozesse eingebunden sind.“
Des Weiteren müssen Organisationen mögliche Subunternehmer im Auge behalten. Laut IHK Fulda sollte eine klare Verpflichtung des Cloud-Anbieters bestehen, alle Unterauftragnehmer zu benennen. Das Unternehmen, das die Cloud nutzt, sollte dabei jederzeit die Möglichkeit haben, den Änderungen zu widersprechen oder den Vertrag zu kündigen.
Verbummeln kommt teuer
Bei verspätet gemeldeten Datenschutzverstößen gibt es kein Pardon. So musste etwa Booking.com ein Bußgeld von 475.000 Euro berappen: Cyberkriminellen war es gelungen, mehr als 4000 Kundendatensätze zu stehlen. Eine entsprechende Meldung wurde aber erst 22 Tage später erstattet. Twitter kam mit 450.000 Euro kaum besser weg. Auch der Nachrichtendienst hatte es versäumt, die Behörden innerhalb von 72 Stunden über einen DSGVO-Datenschutzvorfall zu informieren.
Unternehmen, die einen Teil ihrer Daten in die Cloud auslagern wollen, sollten daher mit Blick auf die Meldepflichten vor allem zwei Dinge beachten: Mit der Auswahl eines seriösen Cloud-Anbieters, der transparent über seine Sicherheitsvorkehrungen und seine Standorte kommuniziert, wird das Risiko von Datenschutzverstößen verringert. Passiert doch etwas, gilt immer, dass das Unternehmen Herr seiner Daten bleibt. Es ist und bleibt dafür verantwortlich, die Situation kritisch einzuschätzen und gegebenenfalls rechtzeitig Meldung darüber zu erstatten.
David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.
