Auftragsdatenverarbeitung zu Datenweitergabe an Dritte
3.6 Technisch-organisatorische Maßnahmen
Zahlreiche Maßnahmen können die Nutzung des Cloud Computing in datenschutzrechtlich einwandfreier Form ermöglichen. Einige seien hier beispielhaft aufgeführt.
3.6.1 Prüfung und Bewertung eines Cloud-Anbieters
Grundsätzlich empfiehlt sich die Prüfung und Bewer-tung eines Cloud-Anbieters durch die Einführung eines sogenannten Privacy Impact Assessments in Verbindung mit einem Security-Audit zur Risikoabwägung und Dokumentation vor dem Start des Datentransfers und der Datenverarbeitung.
Der Katalog der Maßnahmen entsprechend der Anlage zu § 9 BDSG ist standardmäßig als Prüfgrundlage her-anzuziehen. Die dort geregelten Kontrollmaßnahmen gehören in die Vorabprüfung einer jeden Cloud-Variante und der Nachweis der auszuführenden Kontrollen ist zu dokumentieren.
Grundsätzlich sollte dabei an folgende Risiken gedacht werden, wobei Datenschutz und -Sicherheit auf allen Verarbeitungs-Layern (Applikations-, Datenbank-, Netz-werk- und Datensatz-Ebene) berücksichtigt sein sollen:
Missbrauch durch Zweckentfremdung von Daten durch Kriminelle
Unsichere API: dadurch Eindringen krimineller Ele-mente möglich
interner Missbrauch durch Subunternehmerketten und schlecht integrierte Mitarbeiter
Übergriffe aus parallelen Accounts durch schlechte Mandantentrennung (Segregation)
Datenverluste durch Sicherheitslöcher
Account-Jacking u. ä.
Fehlendes oder nur vorgegebenes Sicherheitskonzept
Cloud-Provider-Migration – wer ist Herr der Daten?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu als Diskussions-Grundlage am 27.09.2010 einen Entwurf für Mindestsicherheitsanforderungen an Cloud-Anbieter veröffentlicht, der die komplexen Vorüber-legungen auch aus Datenschutzsicht aufgreift und mit den Sicherheitsanforderungen an den Auftragnehmer/
Anbieter verknüpft (vgl. Abbildung 25).32
5. Notfallmanagement
6. Sicherheitsprüfung und -nachweis
Kontrollrechte verantwortliche Stelle Einhaltung von gesetlichen Vorgaben
Speicherung/Verarbeitung in EU/EWR
Gewährleistung nach deutschem Recht 9. Organisatorische
Anforderungen
7 Personalanforderungen 1. Sicherheitsmanagement des Auftragsnehmers/
Anbieters 2. architektur
3. ID- und management
4. Monitoring/ incidentmanagement
8. Transparenz
12. Interoperabilität 10. Kontrolle durch Nutzer/Auftraggeber 11. Portabilität der Daten und Anwendungen
13. Datenschutz und Compliance 14. Cloud Zertifizierung
15. Zusatzanforderungen für Bundesverwaltung
Einhaltung von Datenschutz Richtlinien und Gesetzen Garantie Verarbeitung in EU/EWR
Abbildung 25: 15-Punkte-Check des BSI für Cloud-Anbieter
32. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Sonstige/Cloud_Computing_Mindestsicherheitsanforderungen.
pdf?__blob=publicationFile#download=1
3.6.2 Kontrollmöglichkeiten
Aus dem Blickwinkel der vorauszusetzenden Kontrollmög-lichkeiten wird sich der Aufwand nicht auf einige wenige Maßnahmen beschränken können. Als eine der wirksams-ten ist jedoch der Schutz durch ein Verschlüsselungsver-fahren gemäß dem Stand der Technik zu wählen. Dies ist neuerdings auch durch die geänderte Anlage zu § 9 Satz 1 BDSG ausdrücklich als Maßnahme der Zugangs-, Zugriffs- und Weitergabekontrolle vorgesehen.
Unabhängig und parallel davon ist die Berechtigung, also die Zugangs- oder Zugriffsrechte-Regelung, zu aktivieren.
Der Nachweis des betriebenen Aufwands durch Vorlage eines aktuellen Zertifikats oder Prüfberichts des Daten-schutzbeauftragten der verarbeitenden Unternehmung, ein Datenschutzaudit gem. § 9a (wohl eher nur bei deut-schen Anbietern) oder der Nachweis einer bestandenen ISO-Zertifizierung im Bereich Datenschutz sind Merkmale eines sicheren Vorgehens zum Schutz der personenbezo-genen Daten von Kunden oder Mitarbeitern in der Cloud.
3.6.3 Einbindung eines Subunternehmers
Die Einbindung eines Subunternehmers (im Ausland) ist wahrscheinlich, wenn Data- Center im Ausland genutzt werden. Die praktische Frage aber bleibt – wer kontrol-liert den Subunternehmer? Empfehlenswert, aber nicht unbedingt preisgünstig, ist eine direkte Auditierung der Systeme und deren Sicherheitsvorkehrungen und Logs des Anbieters und Auftragnehmers, was vor allem im Aus-land auch durch Dritte bewerkstelligt werden kann.
Die European Network and Security Agency (ENISA) bringt in ihrer Risikobewertung ebenfalls den hohen Risikograd beim unbedachten Cloud Computing zum Ausdruck.33 Reputationsverlust, Kundenvertrauen, sensible oder kritische Personaldaten und Serviceleistungen können als Firmen-Assets betroffen werden.
Die verantwortliche Stelle, die sich der Subunternehmer bzw. einer Kette von Subunternehmern bedient, bleibt immer für die Verarbeitung in der Haftung und kann sich nicht mit Nichtwissen exkulpieren oder die Haftung abbedingen.
Das gilt auch, wenn die verantwortliche Stelle / unmittel-barer Vertragspartner des Auftraggebers Datenlecks nicht an den Auftraggeber weitermeldet. Mit zunehmender Zahl der eingebundenen Cloud-Betreiber steigt demge-mäß das Risiko, die Kontrolle über die Daten vollends zu verlieren.
3.6.4 Anonymisierung und Verschlüsselung
Ein weiterer Ansatz für die datenschutzkonforme Cloud-Nutzung ist die Überlegung, durch eine entsprechende datenschutzgerechte Cloud-Softwarelösung (Datenschutz per Design) den zu verarbeitenden Daten die Eigenschaft
„personenbezogen“ zu nehmen.
Dies kann durch eine Anonymisierung der Daten gesche-hen. Dabei werden diejenigen Merkmale separat gespei-chert, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimm-baren natürlichen Person zugeordnet werden können (§ 30 Abs. 1 BDSG). Diese Lösung entfällt allerdings da, wo für die verantwortliche Stelle bei der Verarbeitung der Namensbezug wichtig bleibt.
Auch die Pseudonymisierung kann helfen, den Daten-schutz im Drittland zu stärken. Aus dem gleichen Grund wie beim Anonymisieren ist diese Möglichkeit allerdings nur von begrenztem Wert in der praktischen Anwendung.
Es bleibt aber in vielen Fällen die Möglichkeit der Ver-schlüsselung auf der Softwareebene. Eine komplett verschlüsselte Personal-Datenbank ist im Sinne des BDSG ohne Personenbezug, solange der Zugang zu den Daten
darin ohne Schlüssel nicht möglich ist, ja noch nicht einmal zu erkennen ist, dass hier Daten mit Personenbe-zug verarbeitet werden. Bleibt der Schlüssel zudem im Bereich der EU/EWR, so können auch nicht vorhersehbare Zugriffe34 keinen Schaden anrichten.
Insbesondere bei diesen Maßnahmen wird erkennbar, dass die Vorbereitung eines Cloud-Projekts entscheidend ist für den späteren Einsatz der Cloud-Lösung unter datenschutz-konformen Bedingungen.