Cloud Computing ist aus dem Alltag von Unternehmen nicht mehr wegzudenken. IT-Infrastrukturen wie Server, Speicherkapazität, Datenbanken und eine umfassende Bandbreite von Anwendungen über das Internet anzumieten, bietet diesen die Möglichkeit ihr Geschäftsmodell flexibel und quasi unendlich zu skalieren. So wurde bekannt, dass Disney+ mit Hilfe des Amazon Web Services (AWS) zum Servicestart in den USA 10 Millionen neue Anmeldungen abwickelte. Anderseits häufen sich Meldungen über Cyberattacken oder Zugriffen von ausländischen Behörden auf Daten in der Cloud. Dieser Beitrag beschäftigt sich mit Datenschutz und Datensicherheit bei Cloud Computing.
Der Inhalt im Überblick
Was ist Cloud Computing?
Beim Cloud Computing werden Datenverarbeitungen an externe Unternehmen ausgelagert. Die Anwendungen (und Daten) befinden sich nicht mehr im eigenen Netzwerk, sondern in der Cloud. Der Zugang zu Daten, Services und Infrastruktur, die in der Cloud zur Verfügung gestellt werden, erfolgt mittels Fernzugriff („remote access“).
Weitere Informationen zu Begriffen und den Arten des Cloud Computings finden Sie im Beitrag Cloud Computing: SaaS, PaaS & IaaS einfach erklärt.
Welche Risiken bestehen beim Cloud Computing?
Das Cloud Computing ist mit einigen Risiken verbunden. Diese sind insbesondere:
- Datenverlust und Datenmanipulation
- Zugriff auf die Daten seitens des Cloud Anbieters, Dritter oder Geheimdienste
- Identitätsdiebstahl und Missbrauch von Accounts
- Cloud Dienst ist vorübergehend nicht verfügbar
Um diese Risiken für den Nutzer so niedrig wie möglich zu halten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) erstellt. Dieser enthält Mindestanforderungen an sicheres Cloud Computing. Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Der Kriterienkatalog C5 wurde erstmals 2016 veröffentlicht und erschien im Januar 2020 in neu überarbeiteter Form. Einen Überblick finden Sie hier.
Da die Migration von IT-Ressourcen in die Cloud nicht nur eine Reihe neuer Angriffspunkte für Cyberkriminelle eröffnet, sondern IT-Forensikern bei der Aufklärung von Datenpannen später weniger Anhaltspunkte liefert, stellt der Schritt in die Cloud Unternehmen in puncto IT-Sicherheit vor neue Herausforderungen und sollte gut durchdacht werden. Was zu beachten ist, haben wir im Beitrag Cloud Computing: Herausforderung für die IT-Sicherheit & IT-Forensik gezeigt.
Vorgaben der DSGVO zum Cloud Computing
Bei der Verwendung von Cloud-Diensten sind auch einige datenschutzrechtliche Aspekte zu beachten. Diese sind:
Auftragsdatenverarbeitung
Maßgeblich für das Cloud Computing ist die Unterscheidung zwischen der „verantwortlichen Stelle“ und dem „Auftragsverarbeiter“.
Nach Ansicht der Aufsichtsbehörden handelt es sich bei dem Cloud-Anwender um einen Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO (vgl. Orientierungshilfe – Cloud Computing, Version 2.0 Stand 09.10.2014). Der Cloud-Anbieter ist Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO.
Zwischen dem Anbieter und dem Anwender ist daher ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 Satz 1 DSGVO zu schließen. Zudem muss der Anbieter folgende Anforderungen erfüllen:
- Subunternehmer
Der Anbieter hat die Subunternehmer abschließend zu benennen. Weitere Subunternehmer beauftragt er, gemäß Art. 28 Abs. 2 Satz 1 DSGVO, erst nach gesonderter Genehmigung des Anwenders. Nach Art. 28 Abs. 4 Satz 2 haftet der Anbieter gegenüber dem Anwender für verordnungswidrig handelnde Subunternehmer. - Kontrollrechte
Der Anbieter hat den Anwender gemäß Art. 28 Abs. 3 Satz 2 lit. h) DSGVO bei der Ausübung von dessen Kontrollrechten zu unterstützen. Er stellt Nachweise zur Einhaltung seiner datenschutzrechtlichen Pflichten zur Verfügung und ermöglicht Überprüfungen seitens des Anwenders. - Löschung nach Beendigung der Auftragsverarbeitung
Der Anbieter hat nach Abschluss der Verarbeitungstätigkeit die personenbezogenen Daten nach Wahl des Anwenders zu löschen oder herauszugeben.
Datentransfer in ein Drittland
Die überwiegende Anzahl der Anbieter speichert die Daten nicht in der EU. Alleine der Abschluss von Auftragsverarbeitungsverträgen genügt für den Datentransfer in ein Drittland jedoch nicht. Seit der Entscheidung des EuGH können sich Unternehmen bei Anbietern aus den USA auch nicht mehr auf die Zertifizierung nach dem Privacy Shield berufen. Das US-Datenschutzniveau als Problem beim Cloud Computing hatten wir in einem seperaten Beitrag beleuchtet.
Um ein angemessenes Datenschutzniveau herzustellen sind nunmehr zumindest die EU-Standardvertragsklauseln zu unterzeichnen und gegebenenfalls weitere Garantien zu erbringen.
Cloud Computing und die DSGVO
Cloud Computing ist eine der kommerziell und strukturell relevantesten IT-Entwicklungen der vergangenen Jahre, die Unternehmen viele Vorteile bietet. Als Auftragsdatenverarbeitung ist es auch grundsätzlich mit der DSGVO vereinbar.
Das größte Problem stellt, wie in vielen anderen Bereichen, momentan die Entscheidung des EuGH zum Privacy Shield dar. Abhilfe ist kurzfristig nicht in Sicht. In ferner Zukunft könnte eine auf GAIA-X basierende europäische Dateninfrastruktur die Lösung sein.
Die Entscheidung des EuGH zum Privacy Shield ist nicht das Problem! Schwierig ist der Umgang der USA mit Datenschutz, der Umfang der wirtschaftlichen Verpflechtung mit Ebendiesen und entscheidender, der Unwille der meisten europäischen Wirtschaftsakteure daraus Konsequenzen zu ziehen und eine eigene Dienstleistungsinfrastruktur aufzubauen bzw. zu unterstützen.
Zitat: „Der Kriterienkatalog C5 wurde erstmals 2016 veröffentlicht und erschien im Januar 2020 in neu überarbeiteter Form. Einen Überblick finden Sie hier.“
Der verlinkte Überblick (hier) funktioniert nicht. Der führt zu einer Fehlermeldung (Beim Verbinden mit bsi.bund.de trat ein Fehler auf. PR_END_OF_FILE_ERROR)
Vielen Dank für den Hinweis. Der Link sollte jetzt funktionieren.
Eine schöne Zusammenfassung der Herausforderungen. Aber auch in diesem Artikel vermisse ich die Betrachtung einer Frage, um die sich alle, auch die Aufsichtsbehörden, herumzumogeln scheinen:
Eine der häufigsten Konstellationen ist nämlich nicht die, dass die Cloud in USA sitzt, sondern vielmehr, dass sie in der EU sitzt, aber in einem Rechenzentrum von Google, Amazon oder Microsoft. Inwieweit sehen Sie denn das Schrems-II-Urteil anwendbar auf diese Konstellation? Der EuGH erwähnt 702 FISA und EO 12333, nicht aber den CLOUD Act, der US-Anbieter ja auch dann zur Herausgabe von Daten verpflichten kann, wenn diese außerhalb der USA gespeichert sind (eben zum Beispiel in Frankfurt bei einem der großen Cloud-Anbieter). Ist auch diese Konstellation ohne zusätzliche technische Maßnahmen wie Verschlüsselung nach dem EuGH-Urteil nicht mehr möglich? Das würde ja das faktische Ende für 90% des Cloud Computings in der EU bedeuten? Oder ist diese Konstellation gerade NICHT durch das Schrems-II-Urteil tangiert?
Der EDSA geht in seinen Szenarien darauf nicht ein, auch habe ich noch keine deutsche Aufsichtsbehörde dazu vernommen. Vielleicht traut man sich auch einfach nicht ob der möglichen Konsequenzen?
Das ist eine interessante Frage, bei der aktuell noch viel im Fluss, bzw. umstritten ist. Unseres Wissens nach ist die von ihnen angesprochene Konstellation, bei der die Daten definitiv in europäischen Rechenzentren verbleiben, noch nicht die am häufigsten anzutreffende Art.
Der EDSA hatte sich in seinen Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten in Rn. 13 und der Fußnote 27 zu Cloud-Diensten geäußert, dass bei diesen keine Übermittlung in ein Drittland vorliegt, wenn vertraglich sichergestellt wurde, dass die Datenverarbeitung ausschließlich in Europa stattfindet. Wohl als Antwort darauf kündigte z.B. Microsoft an, bis 2022 die Speicherung und Verarbeitung von Daten für einige seiner Dienste ausschließlich in der EU zu ermöglichen.
Bleiben wir bei dem Beispiel. In dem von Ihnen angesprochenen Fall eines Auskunftsersuchens nach dem Cloud Act an Microsoft wäre in dieser Konstellation bis zu einer Einigung zwischen der EU und der USA wohl eher über den Art. 48 DSGVO zu lösen. Microsoft dürfte unter Androhung des Bußgeldrahmens des Art. 83 Abs. 5 c) DSGVO dem Auskunftsersuchen nicht nachkommen. Erst wenn dann z.B. durch die Presse bekannt werden würde, dass Microsoft dennoch in der Regel gegen diese Vorschrift verstößt und Daten im Rahmen von Cloud Act Anfragen an die US-Behörden herausgibt, müsste der Verantwortliche den Dienstleister wechseln, da ansonsten wohl ein Verstoß gegen die Sorgfaltspflichten bei der Auswahl von Auftragsverarbeitern nach Art. 28 Abs. 1 DSGVO im Raum steht.
Hallo Max,
die Situation, die Sie ansprechen, ist formell juristisch überhaupt kein Problem. Wenn Sie einen Vertrag mit MS, AWS etc. schließen, schließen Sie diesen mit der EU entity, die in EU hostet. Dass im Hintergrund eine US Mutter steht ist datenschutzrechtlich erst einmal irrelevant. Das berücksichtigen Sie nur in der Datenschutzfolgeabschätzung (instruktiv: Die DSFA der niederländischen Behörden, die das Risiko hier als gering sehen). Alles andere ist bloße Polemik und datenschutzrechtlicher Populismus. Der Aufschrei in der Presse ist nur auf Unwissen zurückzuführen. Keine Aufsicht wird Ihnen ans Bein pinkeln, wenn Sie so vorgehen. Alles andere wäre eine Diskriminierung von EU Unternehmen aufgrund dessen, dass sie US Mütter haben. Noch einmal: Der Cloud Act ist kein Problem, das dazu führt, das automatisch eine Verarbeitung bei US Unternehmen unzulässig macht. Es „kann“ aber dazu führen, dass kann selber in seiner eigenen DSFA zum Ergebnis kommt, dieses Risiko nicht einzugehen.
Alle Ausarbeitung im Web, die ich bisher gefunden habe streifen das Thema aber nur. Wesentlich ist weniger das Hosting, welches meist in der EU stattfindet, als mehr der follow-the-sun-support, welcher bei US Big Playern meist auch in den USA stattfindet…