Donnerstag, 9. Oktober 2014

Orientierungshilfe – Cloud Computing

Orientierungshilfe – Cloud Computing
Orientierungshilfe – Cloud Computing

Orientierungshilfe – Cloud Computing
der Arbeitskreise Technik und Medien
der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises

Version 2.0
Stand 09.10.2014

Das ULD hat an einer erweiterten Fassung einer Orientierungshilfe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und des Düsseldorfer Kreises zum „Cloud Computing“ mitgewirkt. Das Papier wendet sich an öffentliche und nicht öffentliche Stellen und gibt Hinweise zur Handhabung einer Datenverarbeitung in der Cloud.

Cloud Computing beschreibt bekanntlich eine über Netze angeschlossene Rechnerlandschaft, in welche die eigene Datenverarbeitung ausgelagert wird. Es geht um eine Form der bedarfsgerechten und flexiblen Anwendung von IT-Dienstleistungen, indem diese in Echtzeit als Service über das Internet bereitgestellt werden. Die Abrechnung erfolgt zumeist nach dem Umfang der Nutzung.

Aus Datenschutzsicht ist von Bedeutung, welche Datenverarbeitungen zwischen den Beteiligten (Cloud-Anwender und Cloud-Anbieter) stattfinden, wer die datenschutzrechtliche Verantwortung trägt, wie die Rechte von betroffenen Bürgern und Bürgerinnen auf Auskunft, Löschung, Sperrung, Berichtigung, Benachrichtigung und Widerspruch gewahrt werden, wie eine Kontrolle der teilweise weltweit tätigen Auftragnehmer und Unterauftragnehmer erfolgt, welche technisch-organisatorischen Maßnahmen getroffen sind und welche Regeln bei grenzüberschreitendem Datenverkehr bestehen.

Die Orientierungshilfe „Cloud Computing 2.0“ knüpft an die Ausführungen der Vorgängerfassung an und beleuchtet zusätzlich vor allem folgende Themenbereiche:

  • Bei Nichteinhaltung der Datenschutzbestimmungen drohen dem Cloud-Anwender haftungsrechtliche Konsequenzen. Gegenüber den Betroffenen kann er zum Schadensersatz verpflichtet werden; gegen ihn können Bußgelder verhängt oder aufsichtsbehördliche Anordnungen verfügt werden. Bei unrechtmäßiger Kenntniserlangung von Daten entstehen Informationspflichten. Der Cloud-Anwender muss einen Mechanismus vorsehen, wonach Datenpannen, die gesetzliche Meldepflichten auslösen, unverzüglich der zuständigen Aufsichtsbehörde und den Betroffenen mitgeteilt werden.
  • Sofern der Cloud-Anbieter seinen Sitz nicht in einem Drittstaat ohne angemessenes Datenschutzniveau hat, sondern vielmehr in der EU bzw. im EWR oder in einem Drittstaat mit angemessenem Datenschutzniveau, sind die Standardvertragsklauseln gemäß Kommissionsbeschluss 2010/87/EU für Auftragsdatenverarbeitung vom 05.02.2010 nicht direkt anwendbar. Die Vergabe von Unteraufträgen stellt die beteiligten Stellen in dieser Konstellation vor besondere Herausforderungen. Denn in dieser Konstellation ist die Vergabe von Unteraufträgen nicht durch den Hauptauftragsdatenverarbeiter (d. h. den Cloud-Anbieter) im eigenen Namen möglich, jedenfalls nicht im Wege einer genehmigungsfreien Lösung. Die Orientierungshilfe definiert die Voraussetzungen für die Einschaltung von Unteranbietern.
  • US-Behörden, wie etwa das Federal Bureau of Investigation (FBI), die National Security Agency (NSA) oder die Central Intelligence Agency (CIA), sind auf der Grundlage von US-amerikanischem Recht ermächtigt, auf personenbezogene Daten in Europa zuzugreifen, was bezüglich einer Datenverarbeitung in der Cloud eine besondere Relevanz aufweist. Darüber hinaus wurde bekannt, dass staatliche Behörden in EU-Mitgliedstaaten, wie das Government Communications Headquarters (GCHQ – britischer Nachrichten- und Sicherheitsdienst) und die Direction Générale de la Sécurité Extérieure (DGSE – französischer Nachrichtendienst), umfassend und manchmal ohne jede Rechtsgrundlage auf personenbezogene Daten von EU-Bürgern, Verbindungs- wie Inhaltsdaten (Telekommunikationsverbindungsdaten, E-Mails, SMS, Chats) zugreifen. Entsprechende Maßnahmen verletzen europäisches Datenschutzrecht. Bei der Prüfung der Aufsichtsbehörden, ob ein Datentransfer in die USA den datensicherheitsrechtlichen Anforderungen entspricht, ist etwa von Bedeutung, ob der Cloud-Anbieter sowie die Unteranbieter dem Cloud-Anwender zu Prüfzwecken einen Zugriff auf die Protokolldaten ermöglichen. Dem Cloud-Anwender muss eine auswertbare Protokollierung zur Verfügung gestellt werden. Die Berechtigung zur Einsichtnahme in die Protokolldaten sollte explizit an den Cloud-Anwender vergeben werden können. Das Durchführen einer Auswertung muss zu einem eigenen Protokolleintrag führen. Die Aufbewahrungszeit der Protokolldaten muss durch den Cloud-Anwender konfigurierbar sein.
  • Weitgehende Verschlüsselungen wie eine Transport- und Inhaltsverschlüsselung bilden einen Teilaspekt. Sie können aber keine vollständige Datensicherheit gewährleisten, da der Cloud-Anwender im Rahmen der Verarbeitung der Daten eine Entschlüsselung vornehmen muss und der Cloud-Anbieter sowie die Unteranbieter möglicherweise auf die entschlüsselten Daten Zugriff nehmen können. Eine Inhaltsverschlüsselung unter Verwendung eigener Schlüssel, d. h. welche, auf die der Cloud-Anbieter keinen Zugriff hat und sich auch nicht verschaffen kann, ist dann zu empfehlen, wenn es sich um bloße Storage-Dienste handelt, bei denen über die Datenspeicherung in der Cloud hinaus keine weitere Verarbeitung erfolgt. Durch die geeignete Wahl von Algorithmen und Schlüssellängen kann man hier einen lange währenden Schutz erreichen.