Ratgeber: Cloud Computing und Datenschutz

Die technische Entwicklung des Cloud Computing schreitet rasch voran. Als Hemmschuh für die Nutzung könnten sich jedoch die gesetzlichen Vorgaben für den Datenschutz erweisen. Sowohl Cloud-Anbieter als auch Kunden müssen sich daran orientieren, welche personenbezogenen Daten sie unter welchen Bedingungen wo speichern und verarbeiten dürfen. Wenn die datenschutzrechtliche Zulässigkeit nicht gewährleistet ist, sollten sowohl der Kunde als auch der Anbieter von der Lösung Abstand nehmen. Eventuell notwendige Maßnahmen sind vorab im Cloud-Computing-Vertrag zu vereinbaren und entsprechend umzusetzen.

Unübersichtliche Lage

Der Datenschutz erfreut sich vor allem seit den jüngsten Skandalen großer Aufmerksamkeit. Nach den Datenschutzänderungen im Jahr 2009 plant der deutsche Gesetzgeber derzeit weitere Neuregelungen. Auch die Europäische Union (EU) untersucht, wie sich der Datenschutz zeitgemäß weiterentwickeln soll.

Die Aspekte des Datenschutzes sind so unterschiedlich wie denkbaren Cloud-Lösungen. Der Branchenverband BITKOM versteht Cloud Computing als "Bereitstellung von gemeinsam nutzbaren und flexibel skalierbaren IT-Leistungen durch nicht fest zugeordnete IT-Ressourcen über Netze". Darin eingeschlossen sind Public Clouds, deren Leistungen allgemein angeboten werden, unternehmenseigene Private Clouds für den eigenen Nutzerkreis sowie Mischformen (Hybrid Clouds, auch mit Anbindung an Altsysteme).

Je nach Organisation und Zuschnitt einer Cloud-Lösung sind die Datenschutzanforderungen einfacher oder schwieriger abzubilden - in manchen Fällen auch überhaupt nicht. Wenn die Cloud datenschutzkonform gestaltet werden soll, führt also kein Weg an einer Analyse der Daten und möglichen Lösungen vorbei. Der einfachste Fall ist die Private Cloud des eigenen Unternehmens. Hier gelten "nur" die allgemeinen Anforderungen für interne Datenverarbeitung.

Welche Daten warum geschützt sind

Daten können aus verschiedenen Gründen schutzbedürftig sein - auch wenn sie nicht personenbezogen sind: Informationen über Produktionsverfahren, Lieferbeziehungen, Konstruktionszeichnungen oder Preise enthalten möglicherweise Geschäfts- und Betriebsgeheimnisse. Für bestimmte Daten gelten besondere Schutzvorschriften, etwa das Steuergeheimnis.

Der Datenschutz im juristischen Sinn hat jedoch einen ganz bestimmten Auftrag: Der Einzelne soll vor dem von ihm ungewollten Umgang mit seinen Daten geschützt werden. Seit 1984 wird dieser Datenschutz in Deutschland als Grundrecht verstanden. Die Grundregeln für personenbezogene Daten sind im Bundesdatenschutzgesetz (BDSG) festgelegt, das zuletzt 2009 dreimal geändert wurde. Ergänzend dazu regeln diverse Vorschriften den Datenschutz für bestimmte Bereiche, so etwa das Telekommunikationsgesetz oder das Telemediengesetz.

Als personenbezogene Daten gelten alle Informationen über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (eines Betroffenen). Sie sind nach Paragraf 3 Absatz 1 BDSG geschützt. Der Schutz bezieht sich auf alle Informationen, die sich auf einen Betroffenen zurückverfolgen lassen - angefangen von Namen und Adresse bis zu Gesundheitsdaten. Letztere zählen zu den hochgradig sensiblen Daten, die nach Paragraf 3 Absatz 9 BDSG besonders geschützt werden.

Der Schutz personenbezogener Daten umfasst ihren gesamten "Information Lifecycle" - angefangen von der Erhebung über die Speicherung und Verarbeitung sowie eine mögliche Übermittlung bis zur unwiderruflichen Löschung. Auch Cloud-Lösungen müssen die allgemein geltenden Anforderungen uneingeschränkt erfüllen.

Grundregeln für die Cloud

Die Anforderungen des Datenschutzes richten sich zunächst an die verantwortliche Stelle, die personenbezogene Daten für sich erhebt, verarbeitet oder nutzt - oder Dritte damit beauftragt. Dieser "Herr der Daten" ist verantwortlich für die Einhaltung des Datenschutzes.

Die erste Grundregel für personenbezogene Daten in der Cloud ist einfach: Es ist alles verboten, was nicht durch gesetzliche Vorschrift oder Einwilligung des Betroffenen erlaubt ist (Paragraf 4 Absatz 1 BDSG). Das gilt auch für den Umgang mit personenbezogenen Daten durch verschiedene Unternehmen in einem Konzern. Ein "Konzernprivileg" kennt der deutsche Datenschutz nicht, konzerneigene Unternehmen werden wie Dritte behandelt.

Eine Einwilligung zur Verarbeitung ihrer Daten in einer Public oder Hybrid Cloud muss von allen Betroffenen vorab eingeholt werden. Stehen die Cloud-Server außerhalb der EU (oder Staaten mit einem aus Sicht der EU angemessenem Datenschutzniveau), muss die Einwilligung ausdrücklich die Verarbeitung in diesen Staaten umfassen. Es ist praktisch nahezu unmöglich, alle diese erforderlichen Einwilligungen zu erhalten.

Eine gesetzliche Erlaubnis orientiert sich daran, für welchen Zweck welcher Umgang mit personenbezogenen Daten für den "Herrn der Daten" erforderlich ist - und inwiefern damit berechtigte Interessen des Betroffenen beeinträchtigt werden. Die Zulässigkeit ist für jede einzelne Maßnahme mit den jeweiligen Daten zu klären. Dazu ein Beispiel: Soweit es ein Vertrag mit dem Betroffenen erfordert, kann die Nutzung oder Übertragung seiner personenbezogenen Daten gestattet sein, möglicherweise sogar in "unsichere" Drittstaaten, aber nur in diesem begrenzten Umfang.

Wenn Externe ins Spiel kommen

Unter Umständen werden auch Dritte in die Verarbeitung personenbezogener Daten eingeschaltet. Das ist legal, wenn die Anforderungen einer Auftragsdatenverarbeitung nach Paragraf 11 BDSG erfüllt sind. Diese Anforderungen wurden im Jahr 2009 um Kontrollen des Auftraggebers für Datenschutzmaßnahmen des Anbieters ergänzt. Der Auftrag muss schriftlich vereinbart werden und Regelungen "im Einzelnen" für insgesamt zehn notwendige Themen enthalten.

Eine Auftragsdatenverarbeitung ist grundsätzlich nur in der EU und im Europäischen Wirtschaftsraum (EWR) möglich. Findet sie in der Cloud statt, muss dem Auftraggeber bekannt sein, in welchen Staaten die Server betrieben werden. Das ist gerade bei Public Clouds nicht immer gewährleistet. Zudem lassen sich die für eine Vereinbarung zur Auftragsdatenverarbeitung notwendigen Inhalte nicht mit jedem Cloud-Anbieter zufriedenstellend umsetzen.

Der Cloud-Anbieter ist verpflichtet, alle notwendigen technischen und organisatorischen Maßnahmen für den Datenschutz zu treffen, die sonst dem Kunden oblägen. Der Auftraggeber auf der anderen Seite muss deren Einhaltung kontrollieren - schon vor einer Nutzung der Cloud-Lösung und später regelmäßig. Allerdings braucht er das nicht vor Ort zu tun. Vielmehr darf die Prüfung anhand der Konzepte des Cloud-Anbieters und der dokumentierten Maßnahmen erfolgen. Das Prüfungsergebnis stellt ein gesetzliches Kriterium für die Auswahl des Cloud-Anbieters dar und ist vom Auftraggeber zu dokumentieren.

Sind die Anforderungen erfüllt, darf der Cloud-Anbieter im Rahmen des Auftrags mit den personenbezogenen Daten so umgehen wie der Auftraggeber. Eine weitergehende Nutzung oder Verarbeitung ist ihm grundsätzlich untersagt.

Sichere und unsichere Staaten

Einige Staaten weisen ein von der EU als angemessen bewertetes Datenschutzniveau auf. Nutzt die Cloud-Lösungen nur Standorte innerhalb der EU oder den anerkannt "sicheren" Staaten, so gelten dafür dieselben Anforderungen wie innerhalb Deutschlands. Eine Übermittlung personenbezogener Daten außerhalb dieser Staaten unterliegt hingegen zusätzlichen Bestimmungen. "Drittstaaten", dazu zählen auch die USA, sehen teilweise ein wesentliches niedriges Datenschutzniveau vor. Manche verzichten ganz darauf. Nicht wenige Cloud-Anbieter nutzen Server-Standorte rund um den Globus. Die zusätzlichen Voraussetzungen für eine Datenübermittlung in "Drittstaaten" liegen selten vor.

Eine Möglichkeit, personenbezogene Daten trotzdem in Drittstaaten zu übermitteln, sind Vertragsregelungen für ein angemessenes Schutzniveau. So hat die EU Standard-Vertragsklauseln für unterschiedliche Konstellationen beschlossen. Verbindliche Unternehmensregelungen ("Binding Corporate Rules") können innerhalb eines Konzerns ein angemessenes Datenschutzniveau auch für Unternehmen in Drittstaaten bewirken. Daneben erteilt die zuständige deutsche Aufsichtsbehörde für bestimmte Datenverarbeitungen unter Umstände eine Genehmigung - ein im Zusammenhang des Cloud Computing aber kaum praktikabler Weg. Cloud-Anbieter in den USA können sich den Regelungen des "Safe Harbour" für ein angemessenes Datenschutzniveau unterwerfen. Allerdings hat ein deutscher Kunde zu prüfen, ob ein US-Anbieter diese Regeln praktisch anwendet.

Kontrollpflichten des Kunden

Auch bei einer Auftragsdatenverarbeitung bleibt der Kunde für die inhaltliche Verarbeitung personenbezogener Daten verantwortlich. Sein betrieblicher Datenschutzbeauftragter zeichnet für die Verarbeitung in der Cloud zuständig - und benötigt entsprechende Informations- und Prüfungsrechte.

Darüber hinaus muss der Kunde die Datenschutzmaßnahmen des Cloud-Anbieters überprüfen. Er bleibt Ansprechpartner des Betroffenen für dessen Rechte - von der Auskunft über Datensperrung und -löschung bis zu Schadensersatzansprüchen. Von daher benötigt der Kunde effektiv umsetzbare Möglichkeiten, mit denen er Daten verändern und löschen kann.

Auch für die seit 2009 geforderte aktive Information des Betroffenen bei bestimmten Datenschutzverstößen (Paragraf 42a BDSG) ist der Auftraggeber zuständig. Der Kunde muss sich dabei auf die Informationspflichten des Anbieters verlassen können, sowie auf dessen Verpflichtung, etwaige Datenschutzverstöße umgehend abzustellen. Hat der Kunde Kenntnis von Datenschutzverstößen oder unzureichendem Datenschutz beim Empfänger übermittelter Daten, muss er sein Vorgehen daran orientieren.

Für den Kunden notwendige Rechte müssen auch dann umgesetzt werden, wenn der Cloud-Anbieter seine Leistungen durch Subunternehmer erbringen lässt. Über solche Regelungen in den Subunternehmerverträgen sollte sich der Kunde unbedingt informieren.

So gehen Sie richtig vor

So kompliziert diese Regelungen klingen mögen, der praktische Ansatz des Kunden für den Datenschutz in der Cloud beginnt mit einfachen Schritten. Die Kernfrage ist, welche personenbezogenen Daten in welcher Public oder Hybrid Cloud verarbeitet werden sollen und in welchem Umfang der Kunde sie intern nutzen darf. Eine weitergehende Verarbeitung ist auch in einer Cloud immer unzulässig.

Dann ist zu klären, in welchen Ländern die Cloud-Leistungen durch den Anbieter erbracht werden. Außerhalb von EU und EWR scheidet eine Auftragsdatenverarbeitung aus, wenn nicht zuvor besondere Maßnahmen des Anbieters getroffen werden. Kommt hingegen eine Auftragsdatenverarbeitung in Betracht, so sind deren Voraussetzungen zu prüfen: Verpflichtet sich der Anbieter vertraglich zu allen notwendigen Voraussetzungen? Wie lassen sich die Datenschutzmaßnahmen des Cloud-Anbieters vorab und während der Nutzung prüfen? Welche Informations- und Kontrollrechte hat der Datenschutzbeauftragte des Kunden? Verpflichtet sich der Anbieter zur aktiven Information über Datenschutz- und Datensicherheitsverstöße?

Wenn die Daten - außerhalb einer Auftragsdatenverarbeitung - an den Cloud-Anbieter übermittelt werden sollen, ist zu prüfen, welches Datenschutzniveau er gewährleisten kann. Welchen gesetzlichen Regelungen unterliegt die Verarbeitung personenbezogener Daten an den Standorten der Cloud-Server? Welche zusätzlichen Datenschutzregelungen kann der Cloud-Anbieter verbindlich vereinbaren?

Diese Fragen erlauben eine erste Einschätzung, ob und in welchem Umfang die Verarbeitung personenbezogener Daten in der Cloud zulässig sein kann. Die Antworten sind die Basis für eine genauere Prüfung. Und deren Resultate zeigen den Handlungsbedarf auf.

Durch zusätzliche Maßnahmen und vertragliche Vereinbarungen ist die Cloud-Lösung schon im Vorfeld datenschutzkonform zu gestalten. Daran muss auch der Cloud-Anbieter interessiert sein.

Checkliste für den Datenschutz in der Cloud

Diese Liste stellt einen ersten Ansatz dar und soll als Grundlage für eine genauere Prüfung dienen.

• Welche personenbezogenen Daten sind betroffen?

• Welche Datenschutzanforderungen gelten für diese Daten?

• Steht die Cloud unter völliger Kontrolle des eigenen Unternehmens (Private Cloud)?

• Sollen die Daten in einer Public Cloud oder Hybrid Cloud verarbeitet werden?

• Hat der Anbieter der Public Cloud oder Hybrid Cloud seinen Sitz in der EU?

• In welchen Ländern stehen die Server der Public oder Hybrid Cloud?

• Welche technischen und organisatorischen Schutzmaßnahmen trifft der Cloud-Anbieter?

• Welche Weisungsrechte für die Verarbeitung und Löschung der Daten hat der Kunde?

• Welche Kontroll- und Auditrechte hat der eigene Datenschutzbeauftragte?

• Welche schriftlichen Vereinbarungen bietet der Cloud-Anbieter für den Datenschutz?

• Welche Informationspflichten des Cloud-Anbieters bestehen bei Datenschutzverstößen?

• Welcher Datenschutzkontrolle gilt für den Anbieter der Public oder Hybrid Cloud?

• Gelten für Subunternehmer des Anbieters dieselben Regeln zu Gunsten des Kunden?

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (mje)