4 Schritte zur rechtskonformen Cloud-Nutzung

Aus datenschutzrechtlicher Sicht lässt sich die Bewertung von Cloud Services auf vier grundlegende Fragestellungen herunterbrechen. Diese vier Schritte sind im Cloud Privacy Check von EuroCloud Österreich zusammengefasst. [...]

Vor wenigen Wochen, Anfang Oktober dieses Jahres, hat der Europäische Gerichtshof das umstrittene Safe-Harbour-Abkommen zwischen der EU und den USA für ungültig erklärt. Zu gravierend seien die Unterschiede zwischen den beiden Rechtssystemen – Safe Harbour sei mit dem europäischen Grundrecht auf Datenschutz nicht vereinbar, so die Begründung. Personenbezogene Daten sind demnach in den USA nicht ausreichend vor dem Zugriff durch Behörden und Geheimdienste geschützt. Datentransfers in die USA auf Basis von Safe Harbour, die bisher genehmigungsfrei waren, sind daher seit 6.10.2015 nicht mehr genehmigungsfrei und bedürfen nun einer Zustimmung der Österreichischen Datenschutzbehörde.

Eine gute Sache, wie der Salzburger Rechtsanwalt Clemens Thiele sagt: „Mit Safe Harbour war es möglich, so zu tun, als ob die Daten sicher sind.“ Denn schon vor der Aufhebung von Safe Harbour galten die USA aus EU-Sicht als Drittland ohne angemessenes Schutzniveau. Diese Tatsache konnten Anbieter jedoch umgehen, indem sie das Safe-Harbour-Abkommen unterschrieben, was nun nicht mehr möglich ist. Die EU-Kommission will sich nun möglichst rasch um ein neues Abkommen mit den USA bemühen, was Thiele zufolge jedoch nicht einfach sein wird. „Die USA müssten dazu ihre Datenschutzgesetze grundlegend überarbeiten und an europäisches Niveau anpassen. Und das wird nicht so schnell passieren.“

DATEN IN EUROPA REICHT NICHT

Die einzige Lösung, die kurzfristig machbar wäre, ist laut Thiele, dass sich US-Anbieter an EU-Recht anpassen. Doch auch dieser Weg wird von US-Behörden nicht gerade unterstützt. Microsoft zum Beispiel prüft gerade, ob die amerikanische Regierung damit einverstanden ist, dass der Konzern Daten von europäischen Kunden in Europa speichert und damit dem Zugriff durch US-Behörden entzieht. Ob das für die amerikanische Regierung OK ist, bleibt abzuwarten und ist zumindest anzuzweifeln. Dass Daten in Europa gespeichert werden, die Konzernmutter jedoch in den USA sitzt, hilft derzeit jedenfalls nicht, wie Thiele bestätigt. „Schon das verletzt bereits europäisches Recht.“

Natürlich gibt es weiterhin die Möglichkeit, rechtskonform Cloud Services zu nutzen – einfacher ist das mit dem Ende von Safe Harbour aber nicht geworden. Beispiele dafür wären zum Beispiel die freiwillige Abschließung von individuellen Verträgen, die ein angemessenes Datenschutzniveau gewährleisten (EU-Standardvertragsklauseln, Corporate Binding Rules), die  Zustimmung des Einzelnen in Form von Opt-in oder besondere internationale Abkommen wie das Fluggastdatenpaket oder das Zahlungsverkehrsdatenabkommen SWIFT.

Um derartige individuelle Verträge aufsetzen zu können, müssen Betroffene jedoch erst einmal den Rechts­dschungel im Bezug auf die Cloud durchschauen. Hilfestellung dabei gibt dabei der Cloud Privacy Check (CPC), der im Internet unter der Adresse http://www.cloudprivacycheck.eu/de/ zu finden ist. Diese sogenannte „Legal Toolbox“ für die Cloud-Nutzung wurde unter Federführung von Tobias Höllwarth, Vorstand von EuroCloud Österreich und Initiator der Initiative Trust in Cloud, gemeinsam mit den drei Rechtsanwälten Jens Eckhardt (Deutschland), Clemens Thiele (Österreich) und Christian Laux (Schweiz) erarbeitet und ist laut Höllwarth „das wichtigste Produkt der Trust-in-Cloud-Kampagne“.

Ziel des Cloud Privacy Checks, der übrigens auch mit der Österreichischen Datenschutzbehörde abgestimmt wurde, die sich jedoch vorbehält, im Einzelfall eventuell anders zu entscheiden, ist es, auf einer einzigen A4-Seite das Thema Datenschutz und Cloud zu 90 Prozent abzubilden und damit für 90 Prozent aller Personen, die sich damit befassen müssen, eine verständliche und tragfähige Informationsbasis zu liefern. „Der CPC ersetzt damit zwar nicht juristische Fachexpertise, aber er strukturiert und vereinfacht ein komplexes Thema ohne Verlust von wesentlichen Informationen“, erklärt Höllwarth. Entscheidend ist dabei die Strukturierung einer Vielzahl von Fragen in vier Themenblöcke, die schrittweise abgearbeitet werden können – vom einfachsten bis zum kompliziertesten Fall. Als besonders hilfreich erweist sich dabei die jeweilige Zuordnung von juristischen Werkzeugen, die für die einzelnen Schritte erforderlich sind und die dann im Detail von Juristen zu erstellen bzw. zu beurteilen sind. Der CPC teilt sich in folgende vier Bereiche:

SICHERE NUTZUNG: 4 SCHRITTE

Schritt 1 – Personendaten: Der CPC kommt dann zum Tragen, wenn Personendaten bearbeitet werden.
Schritt 2 – Beizug eines Dritten: Dieser Schritt trägt dem Umstand Rechnung, dass Cloud Services durch externe Dienstleister erbracht werden.
Schritt 3 – Auslandsbezug: Externe Dienstleister erbringen ihre Leistungen oft im Ausland beziehungsweise aus dem Ausland heraus.
Schritt 4 – Subunternehmer: Externe Dienstleister bedienen sich wiederum weiterer Dienstleister zur Erbringung des Cloud Services. Diese weiteren Dienstleister erbringen unter Umständen ihre Teilleistung wiederum in bzw. aus weiteren Ländern heraus.

Jeder dieser vier Bereiche markiert aus datenschutzrechtlicher Sicht eine Weichenstellung. Je nach Beantwortung dieser weichenstellenden Fragen fordert das Datenschutzrecht bestimmte Maßnahmen zur Wahrung des Datenschutzes. Der Cloud Privacy Check (CPC) bildet diese vier grundlegenden Fragestellungen ab, zeigt die Antworten auf und verdeutlicht damit Folgendes: Die Bewertung von Cloud Services lässt sich auf vier grundlegende Fragestellungen herunterbrechen und ermöglicht damit eine übersichtliche Bewertung von Cloud Services in vier Schritten. „Cloud Services können dann datenschutzkonform genutzt werden, wenn zu jeder dieser grundlegenden Fragestellungen die verlangten Maßnahmen entsprechend der Bewertung der Frage ergriffen werden“, erklärt Höllwarth.

Da es derzeit kein EU-weit einheitliches Datenschutzrecht gibt, können sich im Rahmen der Beantwortung der vier Kernfragen des CPC bei einer Detailbetrachtung nationale Besonderheiten ergeben. Auch auf diese lokalen Besonderheiten geht der CPC ein. Derzeit sind diese Besonderheiten für Deutschland, Österreich und die Schweiz verfügbar. (oli)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*