Die NSA-Affäre verschärft Pflichten beim Datenschutz

Unterschiedliche Aussagekraft von Zertifikaten

Ist ein Cloud-Anbieter ausgesucht, der die individuellen Anforderungen an die Informationssicherheit erfüllt, gilt es laut Bundesdatenschutzgesetz, die Auswahlkriterien, Entscheidungsprozesse und Kontrollen für den Fall einer Prüfung zu dokumentieren und die technischen und organisatorischen Maßnahmen zur Datensicherheit regelmäßig zu kontrollieren. Dabei sind Zertifikate hilfreich: Eine der international anerkanntesten ist die ISO 27001-Zertifizierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Grundsätzlich hängt die Aussagekraft einer Zertifizierung davon ab, welchen Umfang der Prüfungsauftrag hat, ob er beispielsweise nur einen Teil der Cloud-Leistung um-fasst. Auch die Qualität des Auditors und die Aktualität der Zertifizierung sind zu prüfen.

Vorsicht geboten ist bei der SAS-70-Zertifizierung (Typ 1 und 2) und der Nachfolgeversion SSAE 16, die amerikanische Anbieter von Wolkenlösungen häufig vorlegen. Dieses Zertifikat geht weder auf Cloud-Strukturen noch auf IT-Prozesse überhaupt ein. Auf die Einhaltung des Bundesdatenschutzgesetzes kann daraus also nicht zwingend geschlossen werden. Hilfe ist in Sicht durch die Ankündigung des BSI, eine Grundlage zu schaffen, Cloud-Lösungen nach ISO 27001 zu zertifizieren. Diese soll beispielsweise Gefährdungen und geeignete Schutzmaßnahmen für Cloud-Management, Cloud-Nutzung, Webservices und Cloud-Storage beschreiben.

Rechtliche Risiken vertraglich eindämmen

Auch bei der Formulierung der Verträge gilt es, Konsequenzen aus der Abhöraffäre zu ziehen. Die Vereinbarungen sollten den Cloud-Provider in die Pflicht nehmen, Datenschutzstandards einzuhalten. Beispielsweise ist nicht nur der Sitz des Cloud-Anbieters und seiner Unterauftragnehmer, sondern auch der Server-Standort vertraglich festzulegen. Sinnvoll kann es sein, den Wolkendienst zu verpflichten, die Grundsätze des Bundesdatenschutzgesetzes einzuhalten und beispielsweise nur bestimmte Rechenzentren in Europa zu nutzen. Für eine ungefragte Herausgabe von Daten an Sicherheitsbehörden sind Vertragsstrafen zu vereinbaren.

Noch wichtiger als bisher ist eine Sensibilitätsmatrix: Welche Daten muss ich etwa wegen einer besonderen Vertraulichkeitsvereinbarung im Haus behalten? Welche sollen in welchem Umfang welcher Cloud-Variante anvertraut werden? Welches Si-cherheitsniveau soll dabei jeweils gelten? Wer hat Zugriff auf die Daten? Welche Sicherheitsvorkehrungen trifft das Rechenzent-rum? Was passiert mit den Daten am Ende der Vertragslaufzeit? Die Verträge sind so zu gestalten, dass der Kunde im Ergebnis Herr der Daten bleibt und Weisungsbefugnis hat.

Allen rechtlichen Schutzmaßnahmen zum trotz zeigen die Ent-hüllungen um Überwachungsprogramme wie PRISM, dass möglicherweise auch wirtschaftlich bedeutende Unternehmensdaten ausgespäht werden. Die Einschätzung dieses Risikos ist proble-matisch, weil es keine Angaben gibt über die tatsächlichen Zu-griffe von Sicherheitsbehörden auf europäische Daten. Hinzu kommt: Nicht nur staatliche Behörden greifen möglicherweise auf Unternehmensinformationen zu, sondern auch Hacker oder Wirtschaftsspione von Konkurrenten. Dagegen helfen nur technische Schutzmaßnahmen wie eine Vollverschlüsselung der Da-ten.

Positiv an der der NSA-Affäre ist, dass die Unternehmen Infor-mationssicherheit weiter oben auf die Agenda setzen. Lange Zeit hatte das Thema keinen so hohen Stellenwert. Viele Probleme sind nicht neu, sondern schon vom Outsourcing bekannt. Die neue Priorisierung des Datenschutzes sollte genutzt werden, ei-ner persönlichen Haftung von Vorständen oder Geschäftsführern in Gestalt von Schadensersatzforderungen oder gar strafrechtlichen Konsequenzen vorzubeugen.