Schon vor der EU-Datenschutzgrundverordnung war der Datenschutz der größte Hemmschuh bei der Nutzung von Cloud-Services. Diese Bedenken haben sich durch die die drakonischen Strafen, die die DSGVO vorsieht, wieder verstärkt. [...]
Der Datenschutz war in Unternehmen von Anfang an das größte Hemmnis bei der Entscheidung für oder gegen Cloud Computing. Trotz dieser zwar berechtigten aber oft sehr emotionalen Bedenken setzen immer mehr Unternehmen auf Cloud-Services. Laut verschiedenen Umfragen hält ein Großteil der IT-Entscheider die Cloud inzwischen für relativ sicher.
Die ab dem 25. Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) führt nun allerdings dazu, dass die Unsicherheit im Bezug auf Cloud und Datenschutz unter IT-Managern wieder steigt. Einer aktuellen Umfrage von Veritas zufolge fühlen sich knapp die Hälfte aller europäischen Unternehmen nicht gerüstet für die DSGVO. 16 Prozent glauben gar, dass die Einführung der DSGVO sie zur Geschäftsaufgabe zwingen könnte. Die Fragmentierung von Daten und der fehlende Einblick in die Daten sind laut der Veritas-Umfrage die größten Herausforderungen im Rahmen der DSGVO.
Insbesondere die zunehmende Nutzung von schwer kontrollierbaren Speicherorten in der Cloud lässt Unternehmen im Hinblick auf die Compliance keine Ruhe, so die Veritas-Studie. So benutzt ein Viertel der Studienteilnehmer Cloud-basierte Dienste wie Box, Google Drive, Dropbox, EMC Simplicity oder Microsoft OneDrive, obwohl es nicht konform zu ihren Unternehmensrichtlinien ist. Weitere 25 Prozent bestätigten, dass sie nicht anerkannte Speicherdienste außerhalb des Unternehmens verwenden.
Nach wie vor vertrauen viele Unternehmen einem heimischen Cloud-Provider mehr als ausländischen Angeboten – selbst wenn diese aus dem EU-Raum kommen. Auch das Misstrauen gegenüber US-Providern ist nach wie vor hoch. Die DSGVO soll in diesem Zusammenhang für eine EU-weite Harmonisierung des Datenschutzes sorgen, so dass aus Datenschutzsicht eine EU-Cloud das gleiche Vertrauen genießen könnte wie ein heimisches Cloud-Angebot. Ebenso sorgt die DSGVO durch das sogenannte Marktortprinzip dafür, dass die DSGVO auch von Cloud-Providern aus Drittstaaten einzuhalten ist, wenn sie ihre Dienste in der EU anbieten.
Dass Cloud-Dienste aus dem eigenen Land in Zeiten der DSGVO nicht mehr bevorzugt werden, ist zumindest mittelfristig nicht zu erwarten. Gerade in Sachen Cloud Computing haben Anwender das Bedürfnis zu wissen, wo ihre Daten sind. Bei einem Cloud-Dienst aus dem eigenen Land lässt sich diese Frage aus Sicht vieler IT-Entscheider derzeit leichter beantworten.
DSGVO: Worauf müssen Nutzer bei der wahl des Cloud-Providers achten?
Cloud Computing ist aus Datenschutzsicht in aller Regel eine Form der Auftragsverarbeitung, früher Auftragsdatenverarbeitung genannt. Wie bisher auch, bleibt es mit der DSGVO dabei, dass der Cloud-Nutzer als Auftraggeber verantwortlich bleibt für den Datenschutz, auch wenn sich seine Daten fernab in einer Cloud befinden. Cloud-Nutzer sollen laut DSGVO nur solche Cloud-Anbieter beauftragen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.
Cloud Computing ist aus Datenschutzsicht in aller Regel eine Form der Auftragsverarbeitung, früher Auftragsdatenverarbeitung genannt. Wie bisher auch, bleibt es mit der DSGVO dabei, dass der Cloud-Nutzer als Auftraggeber verantwortlich bleibt für den Datenschutz, auch wenn sich seine Daten fernab in einer Cloud befinden. Cloud-Nutzer sollen laut DSGVO nur solche Cloud-Anbieter beauftragen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.
Damit obliegen dem Cloud-Nutzer als Auftraggeber Prüfpflichten hinsichtlich des Datenschutzes und der Datensicherheit bei dem Cloud-Anbieter. Der Vertrag mit dem Cloud-Anbieter muss eine Reihe von Vorgaben erfüllen, die in Artikel 28 (Auftragsverarbeiter) der DSGVO aufgeführt sind. Geklärt werden muss insbesondere auch, ob eine Datenübermittlung in Drittstaaten vorgesehen ist, wie dann das erforderliche Datenschutzniveau gewährleistet werden soll und ob Subunternehmen eingesetzt werden.
Schon heute bereitet die Überprüfung des Cloud-Anbieters den Cloud-Nutzern große Schwierigkeiten. Hilfreich ist es deshalb, dass die DSGVO vorsieht, dass die „Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann“, um hinreichende Garantien für den Datenschutz und die Datensicherheit in der Cloud nach DSGVO-Vorgaben nachzuweisen. Entscheidend ist dabei, dass es sich um genehmigte Verhaltensregeln oder genehmigte Zertifizierungsverfahren handeln muss. Nicht jedes Cloud-Zertifikat eignet sich als entsprechender Nachweis.
Welche neuen Risiken bestehen bei der Cloud-Nutzung?
Neben den bekannten Cloud-Risiken kommt mit der DSGVO insbesondere das Risiko hinzu, dass Cloud-Nutzer bei einer Datenschutzverletzung in der Cloud mit einem hohen Bußgeld belegt werden können. So heißt es in der DSGVO: „Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde werden Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.“ Damit werden Datenschutzverletzungen noch kritischer oder sogar existenzbedrohend für das verantwortliche Unternehmen.
Neben den bekannten Cloud-Risiken kommt mit der DSGVO insbesondere das Risiko hinzu, dass Cloud-Nutzer bei einer Datenschutzverletzung in der Cloud mit einem hohen Bußgeld belegt werden können. So heißt es in der DSGVO: „Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde werden Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.“ Damit werden Datenschutzverletzungen noch kritischer oder sogar existenzbedrohend für das verantwortliche Unternehmen.
Welche neuen Risiken bestehen für Cloud-Anbieter?
Die Verantwortung für den Datenschutz trägt der Cloud-Nutzer nicht alleine. Kommt es zu einer Datenschutzverletzung, die der Cloud-Anbieter zu verantworten hat, oder generell zu einem Verstoß gegen die DSGVO durch die Auftragsverarbeitung, wird der Cloud-Anbieter ebenfalls zum Verantwortlichen, mit entsprechenden Folgen im Bereich Haftung und Sanktionen.
Die Verantwortung für den Datenschutz trägt der Cloud-Nutzer nicht alleine. Kommt es zu einer Datenschutzverletzung, die der Cloud-Anbieter zu verantworten hat, oder generell zu einem Verstoß gegen die DSGVO durch die Auftragsverarbeitung, wird der Cloud-Anbieter ebenfalls zum Verantwortlichen, mit entsprechenden Folgen im Bereich Haftung und Sanktionen.
Leider werden oft deutliche Lücken in der Datensicherheit bei Cloud-Anbietern sichtbar, die bei Anwendung der DSGVO hohe Bußgelder für den Provider bedeuten können. So sagt zum Beispiel Arne Schönbohm, der Präsident des deutschen Bundesamtes für Sicherheit in der Informationstechnik: „Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen.“
Was bringen Cloud-Zertifizierungen?
Die DSGVO stärkt die Bedeutung von Zertifizierungen, denn sie können als Nachweis für die notwendigen Garantien genutzt werden, die ein Cloud-Anbieter erbringen muss, um das erforderliche Datenschutzniveau zu bestätigen. Bekanntlich gibt es bereits eine ganze Reihe von Cloud-Zertifikaten. Wichtig ist jedoch, dass das Cloud-Zertifikat explizit den Datenschutz im Fokus haben muss, was oft nicht der Fall ist. Bei bestehenden Zertifizierungsverfahren muss daher zwangsläufig eine Überarbeitung hinsichtlich der neuen Vorgaben der DSGVO stattfinden.
Die DSGVO stärkt die Bedeutung von Zertifizierungen, denn sie können als Nachweis für die notwendigen Garantien genutzt werden, die ein Cloud-Anbieter erbringen muss, um das erforderliche Datenschutzniveau zu bestätigen. Bekanntlich gibt es bereits eine ganze Reihe von Cloud-Zertifikaten. Wichtig ist jedoch, dass das Cloud-Zertifikat explizit den Datenschutz im Fokus haben muss, was oft nicht der Fall ist. Bei bestehenden Zertifizierungsverfahren muss daher zwangsläufig eine Überarbeitung hinsichtlich der neuen Vorgaben der DSGVO stattfinden.
Einige weitere Einschränkungen gilt es zu bedenken, wenn es um Cloud-Zertifikate geht: Die Zertifizierungsstellen müssen entsprechend der DSGVO (Artikel 43) akkreditiert sein. Und: Eine Zertifizierung gemäß DSGVO mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der DSGVO und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, sprich: Alleine eine Cloud-Zertifizierung sorgt nicht dafür, dass einfach von der Einhaltung der DSGVO in der Cloud ausgegangen werden kann. Dennoch werden geeignete Cloud-Zertifikate gute Werkzeuge im Cloud-Datenschutz sein.
Was fordert die DSGVO für die Cloud-Sicherheit?
Wie zuvor beschrieben, müssen Datenschutz und Datensicherheit in der Cloud durch den Cloud-Anbieter garantiert werden können, der Cloud-Nutzer muss dies überprüfen. Der Cloud-Vertrag muss die Maßnahmen der Datensicherheit aufführen. Zu den genannten Sicherheitsmaßnahmen nach DSGVO gehören insbesondere die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, und ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Wie zuvor beschrieben, müssen Datenschutz und Datensicherheit in der Cloud durch den Cloud-Anbieter garantiert werden können, der Cloud-Nutzer muss dies überprüfen. Der Cloud-Vertrag muss die Maßnahmen der Datensicherheit aufführen. Zu den genannten Sicherheitsmaßnahmen nach DSGVO gehören insbesondere die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, und ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Betrachtet man den Status der Cloud-Sicherheit in Unternehmen, besteht noch einiger Handlungsbedarf. So ergab der Cloud-Monitor 2017 von KPMG und Bitkom Research: Etwa zwei von drei Unternehmen haben Maßnahmen ergriffen, um die Datensicherheit in der Cloud zu erhöhen. 63 Prozent kontrollieren die unerlaubte Nutzung von Public-Cloud-Diensten im Unternehmen. Ein Drittel der Unternehmen (34 Prozent) kontrolliert die Cloud-Nutzung in der Organisation bislang nicht. Immerhin: Neun von zehn Cloud-Anwendern (91 Prozent) nutzen spezielle Security-Services, um unerlaubte Zugriffe zu verhindern und Daten zu schützen. Dazu zählt unter anderem eine Verschlüsselung von Daten in der Cloud oder ein Monitoring der verwendeten Geräte und Anwendungen, um ungewöhnliche Zugriffe oder Datenabflüsse schnell bemerken zu können.
Was bedeutet das Recht auf Vergessenwerden für die Cloud-Nutzung?
Löschpflichten bestehen bereits heute, doch das Recht auf Vergessenwerden fordert zusätzlich, dass die Stellen, an die die zu löschenden Daten übertragen wurden, informiert werden, dass eine Löschverpflichtung besteht. Im Cloud Computing bedeutet dies, dass auch Links auf die zu löschenden Daten und Datenkopien in einer Cloud von der Löschpflicht erfasst werden.
Löschpflichten bestehen bereits heute, doch das Recht auf Vergessenwerden fordert zusätzlich, dass die Stellen, an die die zu löschenden Daten übertragen wurden, informiert werden, dass eine Löschverpflichtung besteht. Im Cloud Computing bedeutet dies, dass auch Links auf die zu löschenden Daten und Datenkopien in einer Cloud von der Löschpflicht erfasst werden.
Eine umfassende Löschung im Internet bereitet bekanntlich Probleme, diese beginnen bereits damit, dass viele Unternehmen gar nicht wissen, wohin überall sie die zu löschenden Daten übertragen haben. Hier muss in Zeiten der DSGVO Transparenz bestehen, um das Recht auf Vergessenwerden angehen zu können.
Doch nicht nur Cloud-Nutzer müssen handeln, auch die Cloud-Anbieter sind gefordert, für eine umfassende Datenlöschung zu sorgen. Eine Untersuchung von Skyhigh Networks ergab: 84 Prozent der Cloud-Services löschen Kundendaten nicht sofort, wenn der Vertrag oder das Abonnement endet. Ob eine sofortige Löschung denn erforderlich ist, gilt es zu prüfen. Cloud-Anbieter sollten in jedem Fall umgehend ihre Löschkonzepte dahingehend prüfen, ob sie die Löschpflichten richtig umsetzen.
Was ändert sich in Sachen Cloud-Migration?
Das neue Recht auf Datenübertragbarkeit in der DSGVO bedeutet, dass es Cloud-Nutzern möglich sein muss, bestimmte Daten von einem Cloud-Anbieter auf einen anderen Anbieter zu übertragen, um den Anbieter zu wechseln. Hierbei muss der bisherige Cloud-Anbieter unterstützen: Soweit es technisch machbar ist, muss dabei der bisherige Cloud-Anbieter die definierten Daten an den neuen Provider übertragen. In jedem Fall müssen die betroffenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format dem Cloud-Nutzer bereitgestellt werden.
Das neue Recht auf Datenübertragbarkeit in der DSGVO bedeutet, dass es Cloud-Nutzern möglich sein muss, bestimmte Daten von einem Cloud-Anbieter auf einen anderen Anbieter zu übertragen, um den Anbieter zu wechseln. Hierbei muss der bisherige Cloud-Anbieter unterstützen: Soweit es technisch machbar ist, muss dabei der bisherige Cloud-Anbieter die definierten Daten an den neuen Provider übertragen. In jedem Fall müssen die betroffenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format dem Cloud-Nutzer bereitgestellt werden.
Cloud-Anbieter müssen sich also um Schnittstellen und Formate kümmern, die Cloud-Nutzer und Cloud-Anbieter um eine umfassende Übersicht, wo sich welche Daten befinden. Andernfalls kann keine erfolgreiche Übertragung stattfinden, da gegebenenfalls wichtige Daten fehlen. Bisher haben aber viele Cloud-Nutzer keinen wirklichen Überblick über ihre Datenbestände in der Cloud, es muss also nachgebessert werden.
Was muss bei einer Datenpanne in der Cloud geschehen?
Kommt es zu einer Datenschutzverletzung, bestehen nicht nur für den Cloud-Nutzer mögliche Meldepflichten (mit 72-Stunden-Frist) gegenüber Aufsichtsbehörde und den betroffenen Personen, auch der Cloud-Anbieter als Auftragsverarbeiter hat bestimmte Meldepflichten gegenüber dem Cloud-Nutzer. So besagt die DSGVO: Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen (also dem Cloud-Nutzer) unverzüglich.
Kommt es zu einer Datenschutzverletzung, bestehen nicht nur für den Cloud-Nutzer mögliche Meldepflichten (mit 72-Stunden-Frist) gegenüber Aufsichtsbehörde und den betroffenen Personen, auch der Cloud-Anbieter als Auftragsverarbeiter hat bestimmte Meldepflichten gegenüber dem Cloud-Nutzer. So besagt die DSGVO: Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen (also dem Cloud-Nutzer) unverzüglich.
Hier muss so mancher Cloud-Anbieter nacharbeiten, wenn man sich die Cloud-Datenpannen in der letzten Zeit ansieht. Laut einer Untersuchung von Skyhigh Networks informiert nur ein Prozent der Cloud-Services innerhalb von 24 Stunden über Sicherheitsvorfälle. Es ist also zu prüfen, ob die Cloud-Nutzer ihrer Meldepflicht dann noch gerecht werden können. Cloud-Anbieter dürfen hier nicht zum Bremsklotz werden.
Be the first to comment