Fotostrecke: Cloud-Dienste und der deutsche Datenschutz
Cloud-Dienste Datenschutz in der Wolke
Auch wenn kleine Unternehmen und Privatpersonen nicht so sehr im Visier der offiziellen Datenschützer stehen: Je öfter sie auf Cloud-Dienste zurückgreifen, desto mehr Gedanken sollten sie sich zum Schutz der dort abgelegten Daten machen. Handfeste rechtliche Probleme tauchen vor allem dann auf, wenn man Daten Dritter aus den eigenen Händen in die der Cloud-Anbieter gibt.
Die Ausnahme vorweg: Daten fallen nicht in den Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG), falls sie keinen Personenbezug aufweisen. Dies gilt etwa für statistische Auswertungen, technische Zeichnungen oder Warenverzeichnisse. Derartige Informationen können ohne datenschutzrechtliche Probleme auf jedem System verarbeitet und gespeichert werden, also auch in der Cloud.
Aber meistens fängt es ja gerade mit dem gemeinsamen Kalender und Adressbuch an. Grundsätzlich gilt, dass das BDSG greift, sobald es sich bei den genutzten Inhalten um personenbezogene Daten handelt, also "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person". Ein Verstoß liegt folglich bereits vor, wenn die Sekretärin eines kleinen Architektenbüros ihrem Chef Termine mit Adressen und Telefonnummern der Kunden in den Google-Kalender einträgt oder ihm die Daten per Mail an seinen Google-Mail-Account schickt.
Nur falls die Verarbeitung und Speicherung "ausschließlich für persönliche oder familiäre Tätigkeiten" erfolgt, drückt das BDSG ein Auge zu. Aus rechtlicher Sicht spricht also nichts dagegen, eine Liste mit den Geburtstagen von Freunden oder Adressen für die Urlaubskarten auch in dem gemeinsamen Online-Speicher abzulegen.
Den höchsten Schutz genießen dem BDSG zufolge sensible persönliche Daten wie Krankenakten, Kontoinformationen oder Auskünfte über die Religionszugehörigkeit. Solche Informationen darf man nur unter sehr engen juristischen und technischen Voraussetzungen an Dritte übermitteln. Von ihrer Speicherung bei einem Cloud-Service sollte man angesichts der prekären Rechtslage selbst als Privatperson wohl besser absehen.
Im Auftrag
Die Vorgaben des Datenschutzes muss also auf jeden Fall beachten, wer zum Beispiel Kundenlisten, Gehaltsabrechnungen oder Personalunterlagen digital verarbeitet. Dies gilt insbesondere dann, wenn es nicht im Bereich der eigenen IT-Infrastruktur geschieht, sondern Dritte herangezogen werden - wie beim Cloud-Computing immanent. Lässt man fremde Daten von externen Anbietern verarbeiten, handelt es sich dabei üblicherweise um eine sogenannte Auftragsdatenverarbeitung. Dieses Spezialfalls nimmt sich Paragraf 11 des BDSG an.
An die Auftragsdatenverarbeitung sind weniger strenge Auflagen gekoppelt als an die sogenannte "Weitergabe an Dritte", die die Daten dann ohne Auftrag selbst weiter nutzen dürften. Diese ist nur unter sehr engen Voraussetzungen erlaubt und erfordert in aller Regel eine ausdrückliche Erlaubnis jeder einzelnen Person, deren Daten weitergereicht werden. Bei dem Konstrukt der Auftragsdatenverarbeitung erhält zwar ein Dritter die personenbezogenen Daten zur Verarbeitung und Speicherung, der Auftraggeber bleibt aber uneingeschränkt für die Einhaltung des Datenschutzes verantwortlich. Der Beauftragte verarbeitet die Daten lediglich auf Anweisungen hin, die er im Rahmen des Vertragsverhältnisses erhalten hat. Zu den Besitzern der Daten hat er keine eigene vertragliche oder vertragsähnliche Beziehung. Dieses Modell gilt bei der geschäftlichen Nutzung von Cloud-Angeboten.
Einstiegshürden
Aufgrund der vielen Skandale rund um die Weitergabe von personenbezogenen Daten durch verarbeitende Dienstleister hat der Gesetzgeber die Voraussetzungen für die Auftragsdatenverarbeitung im Jahr 2009 erheblich verschärft. Wer personenbezogene Daten zur Verarbeitung an Dritte weitergeben will, muss nun laut Gesetz seinen Vertragspartner "unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen". Prüfungsmaßstab ist hier die Anlage zu Paragraf 9 BDSG. Sie enthält nicht weniger als die "acht goldenen Regeln" des Datenschutzes und sieht insbesondere die Kontrolle von Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftrag und Verfügbarkeit sowie das Trennungsgebot vor.
Mit dieser Prüfung hat der Auftraggeber einer Auftragsdatenverarbeitung seinen Pflichten noch nicht genüge getan. Nun gilt es, im Lichte der Neuregelung des Paragrafen 11 BDSG den Auftrag umfassend schriftlich zu dokumentieren. Auch nach dem Vertragsschluss steht die Erfüllung von Forderungen an: Paragraf 11 Absatz 2 BDSG verpflichtet den Auftraggeber, sich noch vor Beginn der Datenverarbeitung und "sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen". Das Ergebnis dieser Überwachung soll er schriftlich dokumentieren.
In der Praxis bedeutet das für den Auftraggeber: Er muss sich persönlich vor Ort von der Einhaltung der Datenschutzvorschriften überzeugen. Zumindest aber muss er jederzeit ein ausführliches und rechtskonformes Gutachten über die Einhaltung der Standards vorgelegen können.
Eine rechtskonforme Nutzung erfordert aufwendige vertragliche Regelungen
Angesichts dieses regulatorischen Overkills ist offensichtlich, dass eine gesetzeskonforme Nutzung von Cloud-Services für kleine Unternehmen oder Selbständige kaum machbar ist. Für einen Konzern mag es ja möglich sein, einen gesonderten Vertrag zur Auftragsdatenverarbeitung von einem Cloud-Provider zu erhalten. Eine kleine Firma aber, die beispielsweise externen Vertrieblern Kundenlisten via Google Docs zur Verfügung stellen will, kann wohl kaum aufwendige Vereinbarungen mit dem IT-Riesen treffen oder sich gar vor Ort von der Einhaltung von IT-Sicherheitsstandards überzeugen.
Gerade die großen Anbieter stellen überdies Standardverträge - meist sogar nach US-amerikanischem Recht - zur Verfügung, die nur selten den Anforderungen des deutschen Datenschutzrechts entsprechen. Und selbst wenn Verträge zur Auftragsdatenverarbeitung geschlossen werden könnten, bestünden erhebliche Zweifel daran, dass eine rechtskonforme Speicherung und Verarbeitung von personenbezogenen Daten in der Cloud derzeit überhaupt möglich ist. Der Auftraggeber müsste etwa jederzeit nachvollziehen können, wo seine Daten gerade physisch liegen. Die wenigsten Cloud-Service-Anbieter rücken dazu aber zu jedem Zeitpunkt Angaben heraus. Der Sinn von Cloud Computing ist ja auch, es gar nicht wissen zu müssen.
Daten auf Reisen
Befinden sich die Daten im EU-Raum oder zumindest im Europäischen Wirtschaftsraum (EWR), ist dies rechtlich unproblematisch. Juristen gehen davon aus, dass dort im Wesentlichen das gleiche Datenschutzniveau wie in der Bundesrepublik herrscht. Probleme gibt es, wenn der Cloud-Dienst personenbezogene Daten zu Servern außerhalb der EU transferiert. Wandern sie in einen sogenannten unsicheren Drittstaat, müssen zuvor sämtliche betroffene Personen der Übermittlung zugestimmt haben. Zu den Drittstaaten gehören neben China und Indien beispielsweise auch die USA. In den Drittstaaten besteht immer auch die Gefahr, dass beispielsweise dortige staatliche Behörden Zugriff auf die Daten erlangen können.
In der Praxis geht es meist um eine Weitergabe in die USA. Auf eine vom Anbieter zugesicherte Teilnahme am "Safe-Harbor-Abkommen" sollte man sich nicht verlassen. Diese Anbieter haben sich lediglich in eine Liste beim US-Handelsministerium eintragen lassen und sich damit zur Einhaltung datenschutzrechtlicher Grundsätze, die denen der EU entsprechen, verpflichtet. Schon angesichts der fehlenden Kontrolle dieser Selbstverpflichtung genügt die Regelung nach Ansicht vor allem der Datenschutzbehörden nicht. Folgt man der Ansicht der Aufsichtsbehörden, so wäre eine Nutzung von Anbietern mit Cloud-Servern in den USA damit per se unzulässig. Um auf dem europäischen Markt präsent sein zu dürfen, bieten viele einheimische und inzwischen auch US-Unternehmen spezielle Cloud-Modelle, bei denen sich die Rechner physisch im Gebiet der EU befinden.
Unerwartete Klauseln
Verträge über Cloud-Leistungen enthalten ohnehin häufig Bestimmungen, die dort nicht unbedingt zu erwarten sind. US-amerikanische Firmen machen sich oft nicht die Mühe, ihre Nutzungs- und Datenschutzbestimmungen an hiesige rechtliche Rahmenbedingungen anzupassen. Dies gilt für kleine Start-ups, aber sogar für Konzerne wie Microsoft. Bisweilen nehmen sich Anbieter von Cloud-Diensten auch die Freiheit, nach mehr oder weniger genau definierten Kriterien Inhalte der Anwender zu prüfen und zu löschen.
Was dies genau bedeuten kann, musste beispielsweise Anfang des Jahres ein Fotograf erfahren, der selbst gefertigte künstlerische Aktfotos in Microsofts Cloud-Service Skydrive gespeichert hatte. Nachdem ihm der Zugang zum Online-Speicher gesperrt worden war, erhielt er auf Nachfrage von Microsoft die Antwort, dass die von ihm gespeicherten Bilder gegen den Verhaltenskodex des Dienstes verstießen. Im Hinblick auf eine "sichere und erfreuliche Erfahrung für alle Windows-Live-Benutzer" würden Bilder, die vollständige oder teilweise Nacktheit zeigen, nicht zugelassen. Ungeklärt ist in diesem Fall, ob sich die Bilder im öffentlichen oder privaten Bereich von Skydrive befanden.
Generell sollte man sich vor Augen halten, mit wem man überhaupt einen Vertrag schließt, wem man also seine oder sogar die Daten Dritter anvertraut. Dies ist in den wenigsten Fällen ein Unternehmen mit Sitz in Deutschland. So wird etwa bei Microsoft die MS Luxembourg S.à.r.l. Vertragspartner.
Fazit
Cloud-Services vertragen sich nur schwer mit den Vorgaben des deutschen Datenschutzes. Eine rechtskonforme Nutzung erfordert aufwendige vertragliche Regelungen, die eigentlich nur von großen Unternehmen erwirkt werden können. Ohne datenschutzrechtliche Probleme möglich ist nur die Nutzung von Daten ohne Personenbezug oder die rein familiäre Verwendung.
Wer also etwa gemeinsam an einem Dokument arbeitet, sollte datenschutzrechtlichem Ärger aus dem Weg gehen, indem er zum Beispiel Namen und Adressen nachträglich lokal einfügt. Wird er bei einem Verstoß gegen BDSG-Vorschriften erwischt, droht ihm neben Ärger mit den Datenschutzbehörden auch ein Bußgeld. Bei einer Nutzung im geschäftlichen Umfeld ist zusätzlich eine kostenpflichtige Abmahnung im Bereich des Möglichen.
Die Verschlüsselung von in der Cloud liegenden Daten durch den Anwender ist ein wichtiger Lösungsansatz. Dies gilt dann, wenn damit eine Anonymisierung der Daten gegenüber dem Cloud-Service verbunden ist. Der Anbieter darf keine Möglichkeit haben, die Inhalte zu entschlüsseln. In Betracht kommt diese Option ohnehin nur, wenn es um statische Archivierung von Daten in der Wolke geht. Ist der Service mit Anwendungen wie Office-Applikationen verbunden, die den Zugriff auf die Dateien übernehmen, entfällt die Möglichkeit zur Verschlüsselung.
Dieser Text stammt aus dem c't kompakt Security aus dem Heise Zeitschriften Verlag
