Rechtssicherheit beim Cloud Computing

Datenschutz: Zertifizerung von Cloud-Diensten

Im internationalen Vergleich sind deutsche Unternehmen bei der Nutzung von Cloud-Diensten eher zurückhaltend: Die Unsicherheit über Datenschutz, Vertragsrecht oder Haftungsfragen hält viele IT-Leiter und Geschäftsführer von deren Nutzung ab. Gerade mittelständische Unternehmen verfügen oft nicht über die fachliche Kompetenz, die Angebote der Cloud-Anbieter etwa auf deren Rechtssicherheit umfassend zu prüfen. Bestimmte Zertifizierungen können hierbei wichtige Anhaltspunkte geben.

Justitia

Der Industriestandard ISO 27018 deckt einen Großteil der Anforderungen des deutschen Datenschutzrechts an die sogenannte Auftragsdatenverarbeitung ab.

Sicherheit durch ein einheitliches europäisches Cloud-Recht liegt derzeit noch in weiter Ferne. Mit dem Pilotprojekt „Datenschutzzertifizierung von Cloud-Diensten“ ist in Deutschland ein Anfang gemacht. Im Auftrag des Bundeswirtschaftsministeriums befasst sich eine Arbeitsgruppe mit Teilnehmern aus Datenschutzaufsichtsbehörden, IT-Unternehmen und Verbänden mit den organisatorischen Rahmenbedingungen einer Datenschutzzertifizierung sowie einem Datenschutzstandard für Cloud-Dienste. Demnächst sollen in Berlin Lösungsansätze präsentiert werden.

Die Industrie ist in der Entwicklung deutlich weiter und hat mit dem internationalen Industriestandard für den Datenschutz in der Cloud 2014 ein erstes Ausrufezeichen gesetzt: Microsoft hat im Februar 2015 mitgeteilt, als erstes Unternehmen weltweit die Zertifizierung nach ISO 27018 durch das British Standards Institute für seine Cloud-Produkte Microsoft Azure, Office 365 und Dynamics CRM Online erhalten zu haben. Bei der ISO 27018 handelt sich um einen freiwilligen internationalen Standard für die Verarbeitung von personenbezogenen Daten durch Cloud-Service-Anbieter. Unternehmen können sich nach dieser Norm – auf Basis der bereits verbreiteten Standardzertifizierung nach ISO 27001/27002 – zertifizieren lassen und damit von einer unabhängigen Stelle die Einhaltung der Standards dokumentieren lassen. Die wichtigsten Neuerungen der Norm ISO 27018 sind dabei zum einen die erstmalige Formulierung cloud-spezifischer Anforderungen und zum anderen die konsequente Umsetzung der datenschutzrechtlichen Vorgaben der bestehenden europäischen Datenschutzrichtlinie bzw. der angekündigten Datenschutzgrundverordnung.

Der Industriestandard ISO 27018 deckt einen Großteil der Anforderungen des deutschen Datenschutzrechts an die sogenannte Auftragsdatenverarbeitung ab. So müssen Cloud-Services-Provider ihren Kunden die notwendigen Tools zur Verfügung stellen, damit diese ihren Datenschutzverpflichtungen nachkommen können. Der Cloud-Service-Provider muss die Prozesse und Policies zur Verarbeitung von personenbezogenen Daten offenlegen und sich an diesen festhalten lassen. Er darf in seinem Cloud-Service gespeicherte personenbezogene Daten nicht für eigene Werbezwecke verwenden und muss die Namen aller Subdienstleister sowie mögliche Standorte der Speicherung und Verarbeitung im Vorhinein benennen.

Public-Cloud-Service-Provider, die eine Zertifizierung nach ISO 27018 erlangen wollen, müssen sich außerdem verpflichten, ihre Kunden über jeden Fall eines unautorisierten oder staatlichen Zugriffs auf personenbezogene Daten zu informieren. Sie müssen Prozesse für die Rückgabe, die Übertragung und die Löschung personenbezogener Daten implementieren und ihre Mitarbeiter auf die Einhaltung der datenschutzrechtlichen Vorgaben und des Datengeheimnisses verpflichten. Die Einhaltung dieser Maßnahmen wird im Rahmen der Zertifizierung durch einen externen Auditor überprüft und diese Überprüfung regelmäßig aktualisiert.

Da es sich um eine internationale Norm handelt, sind jedoch einige Anforderungen aus dem deutschen Datenschutzrecht nicht berücksichtigt. Zum Beispiel muss der Vertrag zwischen Dienstleister und Kunden nicht zwingend schriftlich sein und Umfang, Art und Zweck der betroffenen Datenverarbeitung oder die Art der gespeicherten Daten und den Kreis der betroffenen Personen regeln. Zudem erlaubt ISO 27018 staatliche Zugriffe auf Daten und Einschränkungen bei der Information der Kunden und Nutzer darüber, die nach deutschem Recht problematisch wären.

Eingeschränkter Nutzen des Zertifikats

Die wesentliche Einschränkung des Nutzens des Zertifikats nach ISO 27018 für Kunden von Cloud-Services-Angeboten liegt jedoch in der Zielrichtung der Norm: Public-Cloud-Anbieter können die von ihnen ergriffenen Maßnahmen zur Einhaltung von Datenschutzvorgaben durch einen externen Auditor überprüfen und bestätigen lassen. Ob der Cloud-Service-Kunde bei der Inanspruchnahme dieser Dienstleistungen darüber hinaus eigene datenschutzrechtliche Pflichten eingehalten hat, ist gerade nicht Gegenstand der Zertifizierung. Darum muss sich der Kunde selber kümmern.

Auch wenn die Anforderungen der ISO 27018 nicht zu einhundert Prozent identisch mit den Vorgaben des deutschen Datenschutzrechts sind, verschafft eine Zertifizierung nach ISO 27018 somit dem Anbieter von Public-Cloud-Services eine Glaubwürdigkeit und eine Bekräftigung der rechtlichen Ordnungsgemäßheit seiner Dienstleistungen. Der Kunde gewinnt seinerseits ein starkes Argument, dass er seinen Pflichten zur Überprüfung des Cloud-Service-Anbieters entsprechend den Vorgaben des deutschen Datenschutzes nachgekommen ist. Mit der Formulierung der Norm ISO 27018 ist der Industrie damit ein wesentlicher Schritt gelungen ein glaubwürdiges Instrument für Kunden und Provider zu etablieren. Ein datenschutzrechtlicher Freifahrtschein in die Cloud ist das Zertifikat hingegen nicht.

Aufgabe des Gesetzgebers

Wünschenswert wäre, dass der Gesetzgeber externe Zertifikate wie das nach ISO 27018 anerkennt, und damit Rechtssicherheit schafft. Denkbar wäre z.B. die Anerkennung einer rechtlichen Indizwirkung durch das Zertifikat eines unabhängigen Auditors nach internationalem Stand der Technik (z.B. ISO 27018) für die Überprüfung von Auftragsdatenverarbeitern nach § 11 Bundesdatenschutzgesetz. Der Kunde könnte sich dann auf die datenschutzrechtliche Ordnungsgemäßheit der Leistungen eines zertifizierten Serviceanbieters verlassen, solange ihm keine Tatsachen bekannt sind, die diesen Eindruck erschüttern. Auch die Arbeitsgruppe des Bundeswirtschaftsministeriums propagierte bereits 2012 in ihrem Thesenpapier „Datenschutzrechtliche Lösungen für Cloud Computing“ die zukunftsweisende Funktion der Zertifizierung durch unabhängige Auditoren. Anstelle eines flexiblen und praxisnahen Standards wie der ISO 27018 schlägt dieses Papier allerdings eine gesetzliche Vorgabe der Prüfkriterien durch die Europäische Kommission und ein eher bürokratisches Akkreditierungsverfahren für die Zertifizierer vor. Eine zeitnahe Umsetzung des Ansatzes ist dadurch ebenso behindert wie durch die Hoffnung der Autoren des Papiers auf eine baldige Umsetzung ihres Ansatzes in der europäischen Datenschutzgrundverordnung. Der Zeitpunkt für ein Inkrafttreten dieser Verordnung ist aktuell derart ungewiss, dass man sich schon fragen kann, ob und in welcher Form sie überhaupt jemals verabschiedet werden wird.

Bildquelle: © Thinkstock/iStockphoto

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok