Eine Frage der Cloud
Von Joerg Heidrich, Heidrich Rechtsanwälte
Die Grenzen zwischen der Datenspeicherung in der eigenen Infrastruktur und in der Cloud sind inzwischen in vielen Kommunalverwaltungen fließend. Doch dabei ist Vorsicht geboten, denn die Datenschutzgrundverordnung (DSGVO) gilt für die Cloud in besonderem Maß.
Große Sorgfalt erfordert der Umgang mit personenbezogenen Daten, also mit Informationen, auf deren Basis eine natürliche Person identifiziert werden kann. Diese Definition umfasst die Adressen von Kunden oder Kollegen ebenso wie Telefonnummern oder IP-Adressen. Darüber hinaus gibt es besondere Kategorien personenbezogener Daten.
Darunter fallen gemäß Art. 9 DSGVO Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Gleiches gilt für genetische oder biometrische Daten sowie Gesundheitsauskünfte oder Daten zum Sexualleben oder der sexuellen Orientierung eines Menschen. Diese Informationen, im Bereich der Verwaltung zum Beispiel Sozial- oder Krankheitsdaten, sind besonders schutzbedürftig, sodass eine Nutzung der Cloud nur eingeschränkt und unter hohen Anforderungen an die IT-Sicherheit möglich ist.
Auswahl des Cloud-Anbieters
Eine Verwaltung, die Daten Dritten zur Verarbeitung überlässt, muss dabei besondere gesetzliche Anforderungen erfüllen. Juristisch wird dies als sogenannte Auftragsverarbeitung nach Art. 28 DSGVO eingestuft. Bei der Speicherung von Daten auf den Rechnern eines Cloud-Unternehmens gibt es schon bei der Auswahl des Anbieters rechtliche Anforderungen. Dieser muss „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
„Geeignete technische und organisatorische Maßnahmen“ meint, dass die Höhe des Risikos berücksichtigt werden muss, das durch die Speicherung der Daten in der Cloud für die Rechte und Freiheiten der betroffenen natürlichen Personen entsteht. Gleichzeitig wird auch der Stand der Technik berücksichtigt, sodass sich ein Schutzniveau ergibt, das dem jeweiligen Risiko der Datenverarbeitung angemessen ist.
Um den gesetzlichen Anforderungen zu genügen, muss vorab auch das Risiko bestimmt werden, das sich allein schon aus der Weitergabe der jeweiligen Daten ergibt. Entscheidend ist dabei die Perspektive der betroffenen natürlichen Personen, nicht jene des Unternehmens oder der Verwaltung. Folglich erhöhen sich die Anforderungen an die IT-Sicherheit ganz erheblich, wenn vertrauliche oder besonders geschützte personenbezogene Daten in der Cloud gespeichert werden sollen; Abhilfe kann beispielsweise die Verschlüsselung der Daten schaffen, sowohl auf dem Transportweg als auch bei der Speicherung auf dem Cloud-Server. Im Einzelfall ist es aber auch möglich, dass ein Verlagern der Informationen gar nicht zulässig ist. Geht es hingegen um reine Adressdaten, die auch öffentlich zugänglich sind, verringern sich die technischen Anforderungen erheblich.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Kommunale-ITK-Sonderdruck zur Hannover Messe 2019. Einen Überblick mit freien Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Besondere Verträge sind nötig
Die IT-Sicherheit bei der Datenverarbeitung in der Cloud wird durch die DSGVO ein elementarer Bestandteil im Umgang mit vertraulichen Informationen. Daraus ergeben sich aktive Prüf- und Kontrollpflichten der Verwaltung gegenüber dem Cloud-Anbieter – und zwar bereits vor dem Beginn der Verarbeitung. Neben den Vorgaben zur IT-Sicherheit muss sich die Verwaltung auch darüber informieren, ob eine Datenübermittlung in Staaten außerhalb der EU vorgesehen ist und wie in diesem Fall das erforderliche Datenschutzniveau eingehalten werden soll. Schließlich muss der Cloud-Hoster den Auftraggeber explizit darüber informieren, wenn er Subunternehmen und weitere Auftragsverarbeiter einsetzt.
Die nötigen Vereinbarungen müssen in einem gesonderten Papier festgehalten werden, dem sogenannten Auftragsverarbeitungsvertrag. Er definiert ausführlich die Pflichten und die Haftung des Cloud-Anbieters sowie den eventuellen Einsatz von Subunternehmen. Auch die technischen und organisatorischen Maßnahmen können im Detail vereinbart werden. Der Auftragsverarbeitungsvertrag tritt neben den eigentlichen Hauptvertrag mit dem Cloud-Anbieter. Zu den wichtigsten dort zu regelnden Punkten zählt das Service Level Agreement, bei ausländischen Unternehmen auch Gerichtsstand und Rechtswahl.
Teil 1 beginnt dort, wo der Datenschutz am wichtigsten ist: bei den Auftragsdatenverarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechenzentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.
Standort der Server
Bei der Gestaltung von Cloud-Verträgen geht es auch die Frage nach dem Standort der Server. Die DSGVO sieht eine Weitergabe von Daten nur dann als unproblematisch an, wenn sie innerhalb der EU erfolgt oder in einige Drittstaaten wie Argentinien, Kanada, Israel, Neuseeland oder die Schweiz, die als sicher klassifiziert wurden.
Sollen die personenbezogenen Daten in ein anderes Land exportiert werden, so gelten strenge Anforderungen. Auch eine Weitergabe der Daten in die USA ist nur eingeschränkt erlaubt. Hilfestellung bietet hier der sogenannte Privacy Shield, eine Vereinbarung zwischen der EU und der US-Regierung. In ihrem Rahmen können sich US-Unternehmen zur Einhaltung des europäischen Datenschutzniveaus verpflichten und sich in ein Verzeichnis eintragen, was sich unter privacyshield.gov nachprüfen lässt. Steht ein Cloud-Anbieter auf dieser Liste, dürfen hiesige Daten in die USA übermittelt werden. Alternativ ist es möglich, die Einwilligung aller Betroffenen einzuholen oder einen Vertrag unter Verwendung der vorgegebenen EU-Standardvertragsklauseln zu schließen.
Die wichtigsten US-amerikanischen Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure oder Google stehen im Privacy-Shield-Verzeichnis. Diese Unternehmen haben aber auch Niederlassungen in Europa und damit verbundene eigene Serverfarmen innerhalb der EU. Es dürfte sich in den allermeisten Fällen eher empfehlen, einen Vertrag mit diesen europäischen Ablegern oder mit einem hiesigen Anbieter zu schließen.
Joerg Heidrich ist Fachanwalt für IT-Recht und Justiziar des Heise Zeitschriften Verlages, in dessen Medien er auch immer wieder zu IT- und Technologiethemen Stellung nimmt. Er ist u.a. auch zertifizierter Datenschutzauditor und zertifizierter Datenschutzbeauftragter, ein gefragter Interviewpartner und war wiederholt als Sachverständiger vom Deutschen Bundestag berufen.
Heidrich Rechtsanwälte Partnerschaftsgesellschaft mbB, Vahrenwalder Straße 255, 30179 Hannover, Tel.: 0511-37498150, heidrich@kanzlei-heidrich.de, www.recht-im-internet.de
Pflichten der Cloud-Beauftragung
Eine Nutzung von Cloud-Anbietern ist in der Verwaltung längst üblich. Dabei sind aus Gründen des Datenschutzes einige Vorgaben zu beachten. Es ist nötig, mit dem Anbieter gesondert eine zusätzliche Vereinbarung zu treffen, den Auftragsverarbeitungsvertrag. Zudem müssen die technischen und organisatorischen Maßnahmen des Cloud-Betreibers überprüft werden. Je nach Sensibilität der Daten können sich dabei hohe Anforderungen an die IT-Sicherheit ergeben, etwa durch Verschlüsselungstechniken. Bei hochsensiblen Informationen wie Sozial- oder Krankendaten sollte die Verwaltung sorgfältig abwägen, ob diese Daten überhaupt in die Cloud gehören.
