Datensicherheit und Datenschutz in der Cloud
Auch wenn sich die öffentliche Diskussion rund um Security, Compliance und Datenschutz in der Cloud inzwischen etwas gelegt hat, ist das Thema in deutschen Unternehmen immer noch ein Dauerbrenner. Die Gründe hierfür liegen nicht selten sowohl in einer generellen Unsicherheit bezüglich der Rechtslage als auch in dem fast schon „traditionellen“ Bedürfnis vieler deutscher Unternehmen nach einer lokalen Daten- und Informationsvorhaltung. In diesem Artikel möchten wir daher näher beleuchten, wie moderne Cloud Services sicher und datenschutzkonform genutzt werden können.*
Datenverarbeitung in der Cloud – Wie funktioniert das rechtlich?
Bei der Nutzung von Cloud Services beginnt die rechtliche Herausforderung häufig bereits bei der Übertragung der eigenen Daten auf den Server des Cloud Providers. Denn meist sind unter diesen Daten auch personenbezogene Daten (oder kurz „Personendaten“). Auf diese Personendaten finden die geltenden Datenschutzgesetze Anwendung, wonach es für die Übertragung und externe Verarbeitung der Personendaten einer gesetzlichen Ermächtigungsgrundlage bedarf. Dies beispielsweise durch eine dauerhafte Anonymisierung oder Verschlüsselung der Personendaten zu umgehen, ist für die alltägliche Arbeit zumeist wenig praktikabel. In der Praxis hat sich für das Cloud Computing daher die so genannte Auftragsdatenverarbeitung (§ 11 des Bundesdatenschutzgesetzes, kurz „BDSG“) als geeignete Ermächtigungsgrundlage etabliert.
Anforderungen für eine rechtssichere (Auftrags-)Datenverarbeitung
Für eine rechtskonforme Datenverarbeitung im Wege der Auftragsdatenverarbeitung sollten Sie darauf achten, dass Ihr Cloud Provider die folgenden Anforderungen erfüllt:
- Es gibt für den Cloud Service ausführliche vertragliche Regelungen (auch) im Sinne des § 11 BDSG, die bei Bedarf auch schriftlich (d. h. mit Unterschriften) abgeschlossen werden können;
- der Cloud Provider hat in seinen Rechenzentren angemessene technische und organisatorische Maßnahmen zu Datenschutz und Datensicherheit (im Sinne des § 9 BDSG) getroffen (zum Beispiel Zutritts-/Zugangskontrollen) und gewährleistet deren Einhaltung auch in den vertraglichen Regelungen.
Für Sie als Cloud-Nutzer ausgesprochen hilfreich ist an dieser Stelle eine ISO-27001– Zertifizierung der Cloud-Rechenzentren. Denn hierdurch trägt der Cloud Provider auf eigene Kosten, regelmäßig geprüft durch das Audit eines unabhängigen Dritten, für die Aktuellhaltung der (auch) datenschutzrechtlichen Sicherheitsmaßnahmen Sorge und übernimmt damit auch gleich die gesetzlichen Prüfpflichten der Cloud-Nutzer. Ein Nachweis, der unserer Kenntnis nach auch von den Aufsichtsbehörden akzeptiert wird.
Als Vorreiter in Sachen Datenschutz hat sich hier in den vergangenen Jahren das Cloud-Angebot von Microsoft positioniert. Schon früh ergriff der Soft- und Hardware-Hersteller mit großem Aufwand eine Reihe von Maßnahmen, um die in Deutschland und Europa zum Datenschutz geltenden gesetzlichen Anforderungen optimal zu erfüllen.
Rechenzentrum im Ausland – und nun?
Wie ist es denn, wenn die Rechenzentren Ihres bevorzugten Cloud Providers (auch) außerhalb Europas stehen? Schließlich ist es kein Geheimnis, dass viele Anbieter zur Datenverarbeitung auch mal auf das nichteuropäische Ausland wie zum Beispiel die USA zurückgreifen. Internationale Datenschutzabkommen wie der aktuelle „EU-US Privacy Shield“ werden von den hiesigen Aufsichtsbehörden weithin kritisch gesehen, das seit dem Jahr 2000 zwischen Europa und den USA bestehende „Safe-Harbor-Abkommen“ wurde 2015 vom Europäischen Gerichtshof sogar vollständig für ungültig erklärt.
Gut beraten sind Sie aber, wenn Ihr Cloud Provider Ihnen den vertraglichen Einbezug der EU-Standardvertragsklauseln ermöglicht oder, noch besser, diese Klauseln direkt zum Vertrag hinzunimmt. Denn die unveränderte Verwendung dieser von der EU-Kommission vor Jahren ausgearbeiteten Datenschutzklauseln führt aus Sicht der Aufsichtsbehörden zu einem angemessenen Datenschutzniveau – mit der Konsequenz, dass auch ein Cloud Service mit außereuropäischer Datenverarbeitung in Ordnung geht.
Microsoft und die Deutschland Cloud [Update 06.09.2018]
[—outdated—] Es geht sogar noch ein Quäntchen sicherer: Bereits Ende 2015 hat Microsoft gemeinsam mit T-Systems zwei Rechenzentren in Betrieb genommen, die in Frankfurt und Magdeburg beheimatet sind. In diesen Rechenzentren wurde die komplette Azure-Infrastruktur vollständig neu und autark von den restlichen globalen Microsoft-Rechenzentren unter der Bezeichnung Microsoft Azure Deutschland aufgebaut.
Der besondere Clou: Mit T-Systems ist als so genannter Datentreuhänder eine Kontrollinstanz vorhanden, die dafür Sorge trägt, dass kein unkontrollierter Zugriff durch Microsoft auf die Kundendaten erfolgen kann. Damit sichert T-Systems als deutsches Unternehmen Ihre Kundendaten nochmals eine Stufe weiter gegen etwaige Zugriffe aus dem Ausland ab. Dies ist für alle Unternehmen, die besonders strengen Compliance- oder vergleichbaren rechtlichen Anforderungen unterliegen, ebenso ein deutlicher Mehrwert wie für solche Unternehmen, die höchste Anforderung an die Sicherheit ihrer Datenverarbeitungen legen.
Welche Azure Cloud ist für Sie aber nun die Richtige? Wir meinen: Wenn Ihr Zugriff auf die Cloud Services überwiegend aus Deutschland erfolgt und sehr hohe Datenschutzanforderungen und Sicherheitsbedürfnisse bestehen, dann sollte die Microsoft Azure Deutschland Cloud die erste Wahl sein. Arbeiten Sie hingegen weltweit mit Kollegen und Partnern in der Cloud zusammen, dann stößt die deutsche Azure Cloud gegebenenfalls an ihre Grenzen. Denn für alle Services aus Microsoft Azure Deutschland gilt aus Sicherheitsgründen eben, dass es keine Verknüpfungen zu den Rechenzentren aus der globalen Cloud gibt.
Darüber hinaus sind natürlich auch die Mehrkosten der deutschen Azure Cloud zu berücksichtigen: Im Vergleich zu der europäischen Azure Cloud gilt für die Microsoft Azure Deutschland Cloud in der Regel eine Preisdifferenz im Bereich von ungefähr 30 Prozent.* [—outdated end—]
[Update 06.09.2018] Wie jüngst etwa bei heise.de und channelpartner.de nachzulesen, stellt Microsoft seine speziellen Cloud-Angebote mit Daten-Treuhänderschaft durch die Deutsche Telekom ein. “Die Anforderungen der Kunden haben sich in den vergangenen drei Jahren dramatisch geändert”, sagte Microsoft-Manager Markus Nitschke. “Die Kunden wollen die volle Funktionalität – vielleicht nicht gleich am ersten Tag.” Ein isolierter Cloud-Dienst sei deshalb für viele schließlich doch nicht praktikabel gewesen. Das komplette internationale Cloud-Angebot sei aber nicht weniger sicher, da auch weiterhin alle Daten innerhalb Deutschlands beziehungsweise der EU gehalten und nicht herausgegeben würden, so Microsoft weiter.
Autoren:
Christoph Züllighofen, Senior Consultant bei dem IT-System- und Beratungshaus CONET
Jan Schneider, Rechtsanwalt und Fachanwalt für IT-Recht, Partner bei SKW Schwarz Rechtsanwälte (Standort Düsseldorf)
*Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt, sondern lediglich unsere Kenntnisse und Erfahrungen wiedergibt.
Dieser Artikel erschien im Original auf Security-Insider.de.
Link-Tipps
Über den Autor
Josephine Jaguste ist seit Mai 2016 Communication Managerin bei CONET.