Cloud-Dienste Datenschutz in der Wolke

Cloud-Speicherdienste sind praktisch - doch es lauern Fallstricke. Ob Google Mail oder Dropbox: Welche rechtlichen Probleme insbesondere bei der geschäftlichen Nutzung solcher Dienste entstehen, analysiert das Fachmagazin "c't kompakt Security".

Von Joerg Heidrich


Auch wenn kleine Unternehmen und Privatpersonen nicht so sehr im Visier der offiziellen Datenschützer stehen: Je öfter sie auf Cloud-Dienste zurückgreifen, desto mehr Gedanken sollten sie sich zum Schutz der dort abgelegten Daten machen. Handfeste rechtliche Probleme tauchen vor allem dann auf, wenn man Daten Dritter aus den eigenen Händen in die der Cloud-Anbieter gibt.

Die Ausnahme vorweg: Daten fallen nicht in den Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG), falls sie keinen Personenbezug aufweisen. Dies gilt etwa für statistische Auswertungen, technische Zeichnungen oder Warenverzeichnisse. Derartige Informationen können ohne datenschutzrechtliche Probleme auf jedem System verarbeitet und gespeichert werden, also auch in der Cloud.

Aber meistens fängt es ja gerade mit dem gemeinsamen Kalender und Adressbuch an. Grundsätzlich gilt, dass das BDSG greift, sobald es sich bei den genutzten Inhalten um personenbezogene Daten handelt, also "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person". Ein Verstoß liegt folglich bereits vor, wenn die Sekretärin eines kleinen Architektenbüros ihrem Chef Termine mit Adressen und Telefonnummern der Kunden in den Google-Kalender einträgt oder ihm die Daten per Mail an seinen Google-Mail-Account schickt.

Nur falls die Verarbeitung und Speicherung "ausschließlich für persönliche oder familiäre Tätigkeiten" erfolgt, drückt das BDSG ein Auge zu. Aus rechtlicher Sicht spricht also nichts dagegen, eine Liste mit den Geburtstagen von Freunden oder Adressen für die Urlaubskarten auch in dem gemeinsamen Online-Speicher abzulegen.

Den höchsten Schutz genießen dem BDSG zufolge sensible persönliche Daten wie Krankenakten, Kontoinformationen oder Auskünfte über die Religionszugehörigkeit. Solche Informationen darf man nur unter sehr engen juristischen und technischen Voraussetzungen an Dritte übermitteln. Von ihrer Speicherung bei einem Cloud-Service sollte man angesichts der prekären Rechtslage selbst als Privatperson wohl besser absehen.

Im Auftrag

Die Vorgaben des Datenschutzes muss also auf jeden Fall beachten, wer zum Beispiel Kundenlisten, Gehaltsabrechnungen oder Personalunterlagen digital verarbeitet. Dies gilt insbesondere dann, wenn es nicht im Bereich der eigenen IT-Infrastruktur geschieht, sondern Dritte herangezogen werden - wie beim Cloud-Computing immanent. Lässt man fremde Daten von externen Anbietern verarbeiten, handelt es sich dabei üblicherweise um eine sogenannte Auftragsdatenverarbeitung. Dieses Spezialfalls nimmt sich Paragraf 11 des BDSG an.

An die Auftragsdatenverarbeitung sind weniger strenge Auflagen gekoppelt als an die sogenannte "Weitergabe an Dritte", die die Daten dann ohne Auftrag selbst weiter nutzen dürften. Diese ist nur unter sehr engen Voraussetzungen erlaubt und erfordert in aller Regel eine ausdrückliche Erlaubnis jeder einzelnen Person, deren Daten weitergereicht werden. Bei dem Konstrukt der Auftragsdatenverarbeitung erhält zwar ein Dritter die personenbezogenen Daten zur Verarbeitung und Speicherung, der Auftraggeber bleibt aber uneingeschränkt für die Einhaltung des Datenschutzes verantwortlich. Der Beauftragte verarbeitet die Daten lediglich auf Anweisungen hin, die er im Rahmen des Vertragsverhältnisses erhalten hat. Zu den Besitzern der Daten hat er keine eigene vertragliche oder vertragsähnliche Beziehung. Dieses Modell gilt bei der geschäftlichen Nutzung von Cloud-Angeboten.

Einstiegshürden

Aufgrund der vielen Skandale rund um die Weitergabe von personenbezogenen Daten durch verarbeitende Dienstleister hat der Gesetzgeber die Voraussetzungen für die Auftragsdatenverarbeitung im Jahr 2009 erheblich verschärft. Wer personenbezogene Daten zur Verarbeitung an Dritte weitergeben will, muss nun laut Gesetz seinen Vertragspartner "unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen". Prüfungsmaßstab ist hier die Anlage zu Paragraf 9 BDSG. Sie enthält nicht weniger als die "acht goldenen Regeln" des Datenschutzes und sieht insbesondere die Kontrolle von Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftrag und Verfügbarkeit sowie das Trennungsgebot vor.

Mit dieser Prüfung hat der Auftraggeber einer Auftragsdatenverarbeitung seinen Pflichten noch nicht genüge getan. Nun gilt es, im Lichte der Neuregelung des Paragrafen 11 BDSG den Auftrag umfassend schriftlich zu dokumentieren. Auch nach dem Vertragsschluss steht die Erfüllung von Forderungen an: Paragraf 11 Absatz 2 BDSG verpflichtet den Auftraggeber, sich noch vor Beginn der Datenverarbeitung und "sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen". Das Ergebnis dieser Überwachung soll er schriftlich dokumentieren.

In der Praxis bedeutet das für den Auftraggeber: Er muss sich persönlich vor Ort von der Einhaltung der Datenschutzvorschriften überzeugen. Zumindest aber muss er jederzeit ein ausführliches und rechtskonformes Gutachten über die Einhaltung der Standards vorgelegen können.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 45 Beiträge
Alle Kommentare öffnen
Seite 1
Zyklotron, 03.09.2011
1. Cloud, nein danke.
Auch privat stehe ich dem Cloud-System skeptisch gegenüber. Wer gibt schon seine Ideen, Gedanken und Informationen aus der Hand? Die meisten von uns lagern ihre Akten ja auch nicht im Gemeinschaftskeller, sondern in Privaträumen.
mopedheinz 03.09.2011
2. Datenschutz
Zitat von sysopCloud-Speicherdienste sind praktisch - doch es lauern Fallstricke. Ob Google Mail oder Dropbox: Welche rechtlichen*Probleme insbesondere bei der geschäftlichen Nutzung solcher Dienste entstehen, analysiert das*Fachmagazin "c't kompakt Security". http://www.spiegel.de/netzwelt/web/0,1518,783446,00.html
uppe nur TrueCrypt-, gesplittete Rar-Containerfiles auf "ominöse Server". Und dann auch nur Fake-Mist. Sensible Daten gehören auf Festplatte in den Banktresor und nicht auf xxxxx-Server m. suspekten Administratoren. Da kann das Haus abbrennen, der Blitz einschlagen, die Hütte in die Luft fliegen...usw. Eine Festplatte ist in der Wand eingemauert und mit Strukturmaterial verputzt ( findet kein Einbrecher ), welche per Remote physikalisch getrennt werden kann; dh. Netzkabel, inkl. PE + ethn.Lan-Kabel(8-pol) Zudem vercryptet.
der_seher59 03.09.2011
3. schlechter Scherz, oder ?
Zitat von mopedheinzuppe nur TrueCrypt-, gesplittete Rar-Containerfiles auf "ominöse Server". Und dann auch nur Fake-Mist. Sensible Daten gehören auf Festplatte in den Banktresor und nicht auf xxxxx-Server m. suspekten Administratoren. Da kann das Haus abbrennen, der Blitz einschlagen, die Hütte in die Luft fliegen...usw. Eine Festplatte ist in der Wand eingemauert und mit Strukturmaterial verputzt ( findet kein Einbrecher ), welche per Remote physikalisch getrennt werden kann; dh. Netzkabel, inkl. PE + ethn.Lan-Kabel(8-pol) Zudem vercryptet.
Ich betrachte die o.a. Aussage jetzt mal als Witz. Also ich bin im Aussendienst und geniesse die Möglichkeiten, von jedem Computer auf meine Daten zugreifen zu können. Ich kann mir ein Leben ohne einen Online-Kalender nicht mehr vorstellen. Wieder einmal sind wir in D von techn. Möglichkeiten abgeschnitten, weil sich irgendein Datenschützer in die Hose macht. Natürlich besteht die Möglichkeit, daß die Daten perdu sind. Ich arbeite seit 1998 mit Computern und habe in dieser Zeit 3 Festplatten m. Daten durch techn. Defekt unrettbar verloren. War auch eine reine Freude.Am besten also wieder alles auf Papier schreiben, dieses per Post verschicken oder mal ein paar tausend km im Jahr die Daten per Auto durch die Republik karren. Ja, liebes Deutschland, uns kann der Himmel auf den Kopf fallen - nur wahrscheinlich ist es nicht !
Zyklotron, 03.09.2011
4. Potzblitz
Zitat von mopedheinzuppe nur TrueCrypt-, gesplittete Rar-Containerfiles auf "ominöse Server". Und dann auch nur Fake-Mist. Sensible Daten gehören auf Festplatte in den Banktresor und nicht auf xxxxx-Server m. suspekten Administratoren. Da kann das Haus abbrennen, der Blitz einschlagen, die Hütte in die Luft fliegen...usw. Eine Festplatte ist in der Wand eingemauert und mit Strukturmaterial verputzt ( findet kein Einbrecher ), welche per Remote physikalisch getrennt werden kann; dh. Netzkabel, inkl. PE + ethn.Lan-Kabel(8-pol) Zudem vercryptet.
Sie müssen ja sehr sensible Daten besitzen. Aber, wenn die Hütte in die Luft fliegt, dann ist doch auch die Wand weg. Was ist mit Überschwemmungen? Meteoriteneinschläge? Atomschlag? EMP?
mopedheinz 03.09.2011
5. sensible Daten
Zitat von ZyklotronSie müssen ja sehr sensible Daten besitzen. Aber, wenn die Hütte in die Luft fliegt, dann ist doch auch die Wand weg. Was ist mit Überschwemmungen? Meteoriteneinschläge? Atomschlag? EMP?
Wenn die Hütte in die Luft fliegt, sind die restlichen Daten im Banktresor. Überschwemmung interessiert mich nicht, weil ich weder in den Niederlanden leben noch irgendwo = Hanglage. Zudem ist die Festplatte im ersten Stock eingemauert. - Meteoriteneinschläge? Un-Interessant, weil dann das ganze System - global abstürzt. Atomschlag=generell: Un-Interessant, weil dann sämtlicher elektronischer Kram ausfällt - global. Festplatte im blei-ummanteltem Gehäuse könnte evtl. noch helfen. Aber dann gibt es keinen Strom und die Solarzellen auf dem Dach können auch keinen Strom produzieren, weil vermutlich die Wandlerelektronik ausgebrannt ist. kurz: muss man locker sehen! letztendlich kann man sich tot-back-uppen. Jeder Mist wird irgendwo up-geladen oder down-geladen. Die wichtigsten Daten sind bei mir pers.: Fotos und irgendwelcher Papierkram für office ( word, pdf, excel-Kram ) Der Stromverbrauch im Serverbereich ist enorm. Wer sich jetzt noch wg. dem Nichtrauchergesetz aufregt, soll sich lieber Stromverbrauchsstudien mal anschauen. http://www.pcwelt.de/news/AMD-Studie-Stromverbrauch-durch-Server-waechst-immer-weiter-52947.html Wer meint, er müsse seine BluRay-Datenbank in einer Wolke horten, ist nur zu faul, mit dem Fahrrad zur Videothek zu fahren! Für privaten Kram langt mir eine 2,5"-HDD m. rd. 120 GB.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.