Technisch-organisatorische Maßnahmen

Zahlreiche Maßnahmen können die Nutzung des Cloud Computing in datenschutzrechtlich einwandfreier Form ermöglichen. Einige seien hier beispielhaft aufgeführt.

3.6.1 Prüfung und Bewertung eines Cloud-Anbieters

Grundsätzlich empfiehlt sich die Prüfung und Bewer-tung eines Cloud-Anbieters durch die Einführung eines sogenannten Privacy Impact Assessments in Verbindung mit einem Security-Audit zur Risikoabwägung und Dokumentation vor dem Start des Datentransfers und der Datenverarbeitung.

Der Katalog der Maßnahmen entsprechend der Anlage zu § 9 BDSG ist standardmäßig als Prüfgrundlage her-anzuziehen. Die dort geregelten Kontrollmaßnahmen gehören in die Vorabprüfung einer jeden Cloud-Variante und der Nachweis der auszuführenden Kontrollen ist zu dokumentieren.

Grundsätzlich sollte dabei an folgende Risiken gedacht werden, wobei Datenschutz und -Sicherheit auf allen Verarbeitungs-Layern (Applikations-, Datenbank-, Netz-werk- und Datensatz-Ebene) berücksichtigt sein sollen:

„ Missbrauch durch Zweckentfremdung von Daten durch Kriminelle

„ Unsichere API: dadurch Eindringen krimineller Ele-mente möglich

„ interner Missbrauch durch Subunternehmerketten und schlecht integrierte Mitarbeiter

„ Übergriffe aus parallelen Accounts durch schlechte Mandantentrennung (Segregation)

„ Datenverluste durch Sicherheitslöcher

„ Account-Jacking u. ä.

„ Fehlendes oder nur vorgegebenes Sicherheitskonzept

„ Cloud-Provider-Migration – wer ist Herr der Daten?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu als Diskussions-Grundlage am 27.09.2010 einen Entwurf für Mindestsicherheitsanforderungen an Cloud-Anbieter veröffentlicht, der die komplexen Vorüber-legungen auch aus Datenschutzsicht aufgreift und mit den Sicherheitsanforderungen an den Auftragnehmer/

Anbieter verknüpft (vgl. Abbildung 25).³²

5. Notfallmanagement

6. Sicherheitsprüfung und -nachweis

Kontrollrechte verantwortliche Stelle Einhaltung von gesetlichen Vorgaben

Speicherung/Verarbeitung in EU/EWR

Gewährleistung nach deutschem Recht 9. Organisatorische

Anforderungen

7 Personalanforderungen 1. Sicherheitsmanagement des Auftragsnehmers/

Anbieters 2. architektur

3. ID- und management

4. Monitoring/ incidentmanagement

8. Transparenz

12. Interoperabilität 10. Kontrolle durch Nutzer/Auftraggeber 11. Portabilität der Daten und Anwendungen

13. Datenschutz und Compliance 14. Cloud Zertifizierung

15. Zusatzanforderungen für Bundesverwaltung

Einhaltung von Datenschutz Richtlinien und Gesetzen Garantie Verarbeitung in EU/EWR

Abbildung 25: 15-Punkte-Check des BSI für Cloud-Anbieter

32. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Sonstige/Cloud_Computing_Mindestsicherheitsanforderungen.

pdf?__blob=publicationFile#download=1

3.6.2 Kontrollmöglichkeiten

Aus dem Blickwinkel der vorauszusetzenden Kontrollmög-lichkeiten wird sich der Aufwand nicht auf einige wenige Maßnahmen beschränken können. Als eine der wirksams-ten ist jedoch der Schutz durch ein Verschlüsselungsver-fahren gemäß dem Stand der Technik zu wählen. Dies ist neuerdings auch durch die geänderte Anlage zu § 9 Satz 1 BDSG ausdrücklich als Maßnahme der Zugangs-, Zugriffs- und Weitergabekontrolle vorgesehen.

Unabhängig und parallel davon ist die Berechtigung, also die Zugangs- oder Zugriffsrechte-Regelung, zu aktivieren.

Der Nachweis des betriebenen Aufwands durch Vorlage eines aktuellen Zertifikats oder Prüfberichts des Daten-schutzbeauftragten der verarbeitenden Unternehmung, ein Datenschutzaudit gem. § 9a (wohl eher nur bei deut-schen Anbietern) oder der Nachweis einer bestandenen ISO-Zertifizierung im Bereich Datenschutz sind Merkmale eines sicheren Vorgehens zum Schutz der personenbezo-genen Daten von Kunden oder Mitarbeitern in der Cloud.

3.6.3 Einbindung eines Subunternehmers

Die Einbindung eines Subunternehmers (im Ausland) ist wahrscheinlich, wenn Data- Center im Ausland genutzt werden. Die praktische Frage aber bleibt – wer kontrol-liert den Subunternehmer? Empfehlenswert, aber nicht unbedingt preisgünstig, ist eine direkte Auditierung der Systeme und deren Sicherheitsvorkehrungen und Logs des Anbieters und Auftragnehmers, was vor allem im Aus-land auch durch Dritte bewerkstelligt werden kann.

Die European Network and Security Agency (ENISA) bringt in ihrer Risikobewertung ebenfalls den hohen Risikograd beim unbedachten Cloud Computing zum Ausdruck.³³ Reputationsverlust, Kundenvertrauen, sensible oder kritische Personaldaten und Serviceleistungen können als Firmen-Assets betroffen werden.

Die verantwortliche Stelle, die sich der Subunternehmer bzw. einer Kette von Subunternehmern bedient, bleibt immer für die Verarbeitung in der Haftung und kann sich nicht mit Nichtwissen exkulpieren oder die Haftung abbedingen.

Das gilt auch, wenn die verantwortliche Stelle / unmittel-barer Vertragspartner des Auftraggebers Datenlecks nicht an den Auftraggeber weitermeldet. Mit zunehmender Zahl der eingebundenen Cloud-Betreiber steigt demge-mäß das Risiko, die Kontrolle über die Daten vollends zu verlieren.

3.6.4 Anonymisierung und Verschlüsselung

Ein weiterer Ansatz für die datenschutzkonforme Cloud-Nutzung ist die Überlegung, durch eine entsprechende datenschutzgerechte Cloud-Softwarelösung (Datenschutz per Design) den zu verarbeitenden Daten die Eigenschaft

„personenbezogen“ zu nehmen.

Dies kann durch eine Anonymisierung der Daten gesche-hen. Dabei werden diejenigen Merkmale separat gespei-chert, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimm-baren natürlichen Person zugeordnet werden können (§ 30 Abs. 1 BDSG). Diese Lösung entfällt allerdings da, wo für die verantwortliche Stelle bei der Verarbeitung der Namensbezug wichtig bleibt.

Auch die Pseudonymisierung kann helfen, den Daten-schutz im Drittland zu stärken. Aus dem gleichen Grund wie beim Anonymisieren ist diese Möglichkeit allerdings nur von begrenztem Wert in der praktischen Anwendung.

Es bleibt aber in vielen Fällen die Möglichkeit der Ver-schlüsselung auf der Softwareebene. Eine komplett verschlüsselte Personal-Datenbank ist im Sinne des BDSG ohne Personenbezug, solange der Zugang zu den Daten

darin ohne Schlüssel nicht möglich ist, ja noch nicht einmal zu erkennen ist, dass hier Daten mit Personenbe-zug verarbeitet werden. Bleibt der Schlüssel zudem im Bereich der EU/EWR, so können auch nicht vorhersehbare Zugriffe³⁴ keinen Schaden anrichten.

Insbesondere bei diesen Maßnahmen wird erkennbar, dass die Vorbereitung eines Cloud-Projekts entscheidend ist für den späteren Einsatz der Cloud-Lösung unter datenschutz-konformen Bedingungen.

„ 3.7 Informationspflichten und Rechte des