Cloud Storage und Streaming Dienstleistungen erfreuen sich zunehmend großer Beliebtheit. Dabei werden die Daten bei den entsprechenden Anbietern auf deren Systemen abgelegt und auch wieder abgerufen. Zumeist haben die Daten dann eine weite Reise hinter sich, nämlich mit annähernder Lichtgeschwindigkeit von und nach Übersee (jedenfalls einige ausgesuchte elektrische Signale).
Der Inhalt im Überblick
Auftragsdatenverarbeitung
Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich (§ 11Abs. 1 S.1 BDSG). Die Voraussetzungen dieser Auftragsdatenverarbeitung haben wir bereits an dieser Stelle ausführlich dargestellt. Die rechtliche Zulässigkeit von Cloud Computing haben wir hier und hier bereits dargestellt.
Mit diesem Artikel stellen wir die grundlegenden technischen Anforderungen an die Datensicherheit für eine Speicherung von Daten dar.
Technische und Organisatorische Maßnahmen
Für eine zulässige Auftragsdatenverarbeitung sind u.a. die erforderlichen technischen und organisatorischen Maßnahmen zu treffen. Diese richten sich insbesondere nach der Anlage zu § 9 BDSG.
- Zutrittskontrolle:
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. - Zugangskontrolle:
Datenverarbeitungssysteme dürfen nicht von Unbefugten genutzt werden. - Zugriffskontrolle:
die zur Benutzung eines Datenverarbeitungssystems Berechtigten dürfen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen, und personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung dürfen nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. - Weitergabekontrolle:
es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. - Eingabekontrolle:
es muss nachträglich überprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. - Auftragskontrolle:
Organisationskontrolle, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. - Verfügbarkeitskontrolle:
Sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. - Trennungskontrolle:
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.
TOMs und SAS 70 / SSAE 16
An den vorstehenden 8 „TOMs“ ist grundsätzlich die Gestaltung der IT-Landschaft für den Bereich der Datensicherheit zu messen. Letztlich sind sie eine abstrakte Anforderung an International gültige Aspekte der IT-Sicherheit. Cloud Anbieter wie Amazon, Box oder Microsoft sind in der Regel entsprechend den oben genannten Voraussetzungen nach den US-Standards SAS 70/ SSAE 16 zertifiziert. Damit sind in der Regel Anforderungen an bspw. Sicherungskonzepte und Kontrollmechanismen erfüllt.
Google Analytics
Im Rahmen der Google Analytics Diskussion (wir berichteten) hat Google ein Formular zur Auftragsdatenverarbeitung online gestellt. In diesem Formular werden auch die getroffenen technischen und organisatorischen Maßnahmen (Google Rechenzentrum) einmal dargestellt.
Einsicht und Betretungsrecht
Einen Anspruch auf vollständige Einsicht an alle relevanten Unterlagen oder ein Betretungsrecht lassen sich den gesetzlichen Regelungen nicht entnehmen. Diese resultieren im Einzelfall aus den vertraglichen Vereinbarungen (vgl. auch hier die Übersicht).