Cloud-Sicherheit: Interview mit Jan Peter Voß und Dr. Jörg Michael Voß, Avocado

NSA-Affäre kam wenig überraschend

Wie IT-Juristen die Sicherheit der Daten beim Cloud Computing einschätzen, erläutern Jan Peter Voß und Dr. Jörg Michael Voß von der Kanzlei Avocado.

  • „Vielfach bieten Cloud-Provider 'Availability Zones' an, die eine geographische Abtrennung der Datenspeicherung nach Rechtsräumen (z.B. EU und Deutschland) garantieren sollen“, erklärt Jan Peter Voß von der Kanzlei Avocado.

  • „Der NSA-Skandal kam für viele Datenschutzexperten wenig überraschend“, berichtet IT-Jurist Jörg Michael Voß von Avocado.

ITM: Was halten Sie von der Idee einer deutschen bzw. europäischen Cloud? Wie wäre sie technologisch und juristisch umsetzbar?
Jan Peter Voß:
Man muss zwischen dem Serverstandort und den Kommunikationswegen unterscheiden. Eine deutsche oder europäische Cloud existiert bereits dann, wenn Unternehmen deutsche oder europäische Anbieter wählen, die sicherstellen, dass dort gespeicherte Daten den deutschen oder europäischen Raum nicht verlassen und möglichst zugriffsgeschützt sind.

Geht es um den vieldiskutierten Zugriff der Sicherheitsbehörden der USA, sollte es sich um Anbieter handeln, die jedenfalls keine Konzernverbindungen in die USA haben, möglichst sogar keine Niederlassung oder kein Vermögen dort, sodass ein Zugriff von US-Behörden ausgeschlossen ist. Neben den USA, die derzeit im Fokus stehen, sollte nicht vergessen werden, dass zahlreiche Staaten existieren, bei denen aufgrund zunehmend autoritärer Strukturen, undemokratischer Systeme oder chaotischer Aufsichtsstrukturen und Korruption in ganz anderem Umfang als beim NSA-Skandal mit Datenauswertungen und willkürlichen Zugriffen auf Daten zu rechnen ist; die Bandbreite reicht hier von der Türkei über Russland bis nach China.

Vielfach bieten Cloud-Provider „Availability Zones“ an, die eine geographische Abtrennung der Datenspeicherung nach Rechtsräumen (z.B. EU und Deutschland) garantieren sollen. Die Kommunikationswege dagegen sind natürlich theoretisch auch Zugriffen von außerhalb ausgesetzt, insofern birgt eine Cloud-Nutzung immer ein Angriffsrisiko. Will man auch dieses Risiko vollständig ausschließen – etwa des Anzapfens von Internetknoten und der Entschlüsselung der Daten durch Hochleistungsrechner – bleibt nur das lokale Vorhalten der Daten statt einer Cloud-Nutzung.

ITM: Inwiefern sind US-Unternehmen oder deren deutschen Töchter im Zuge vermeintlicher Terrorabwehr verpflichtet, Daten an US-Geheimdienste weiterzugeben? Inwieweit ist die Gesellschaftsform und der Sitz des Unternehmens Garant für Datensicherheit?
Jörg Michael Voß:
  Der NSA-Skandal kam für viele Datenschutzexperten wenig überraschend. Deutschen Unternehmen wurden von amerikanischen Cloud-Anbietern schon seit langem Verträge zur Datenspeicherung vorgelegt, in denen die Zugriffsrechte der US-Behörden nach dem Patriot Act recht deutlich enthalten waren.

Der „Düsseldorfer Kreis“ der deutschen Datenschutzaufsichten hatte übrigens bereits mit Beschluss vom 28./29. April 2010 darauf hingewiesen, dass alleine die Vorlage einer „Safe Harbor“-Zertifizierung nicht mehr genügt, welche eigentlich die Sicherung von deutschen bzw. europäischen Datenschutzstandards in den USA garantieren soll. Vielmehr muss ein Nachweis der tatsächlichen Einhaltung europäischer Standards über diese Zertifizierung hinaus verlangt werden. Dies gilt speziell aufgrund möglicher Zugriffsrechte der US-Behörden nach dem Patriot Act.

Nach Auffassung der besonders aktiven Datenschutzaufsicht Schleswig Holstein (Unabhängiges Landeszentrum für Datenschutz, ULD) kann aus Sicht einer Aufsichtsbehörde auf die derzeitige Rechtslage derart reagiert werden, dass in Verträgen zur Auftragsdatenverarbeitung (z.B. beim Cloud Computing) ein explizites Verbot der Herausgabe von Daten an US-Behörden ausgesprochen wird, verbunden mit einer Vertragsstrafe, für den Fall, dass doch Daten absprachewidrig an die USA weitergegeben werden. Damit würde der Cloud-Anbieter gezwungen, sich gegen Zugriffsversuche durch Sicherheitsbehörden zu sperren. Inwiefern überprüfbar ist, ob sich der Cloud-Anbieter tatsächlich gewehrt hat, kann nicht beantwortet werden.

ITM: Wie auch ...?
Voß:
Hinsichtlich der einzelnen Zugriffsrechte der US-Behörden kam das ULD Schleswig-Holstein nach Recherchen bei deutschen Unternehmen mit amerikanischen Konzernverbindungen zu dem Ergebnis, dass unabhängig von der Rechtsform des deutschen Unternehmens das Risiko besteht, dass das Unternehmen die Daten an US-Behörden herausgibt, ohne dass deutsche Kunden davon erfahren; die Kundenbenachrichtigung kann durch die US-Sicherheitsbehörden untersagt werden.

Der Zugriff ist bereits nach dem auf weltweite Auswirkung angelegten Patriot Act zulässig, sobald „Minimum Contacts“ in die USA bestehen, in jedem Fall aber, soweit es sich um Schwester- oder Tochterunternehmen von US-Firmen handelt und der Cloud-Anbieter faktisch Zugriff auf die gewünschten Daten hat. Als Zugriffsgründe betrachten die US-Behörden nicht nur Fragen des Terrorverdachts, sondern auch Verdachtsgründe wie Steuervergehen.

Solange die Cloud-Anbieter also einem US-Konzern in irgendeiner Form zuzuordnen sind, besteht unabhängig von der Gesellschaftsform ein Zugriffsrisiko. Allerdings kann auch ein europäischer Anbieter, der eine Niederlassung in den USA hat, dort zu einer Datenherausgabe aufgefordert werden; dann sähen sich die US-Niederlassungen gerichtlichen Ansprüchen ausgesetzt.

Es ist jedoch darauf hinzuweisen, dass staatliche Zugriffsrechte auf deutsche Daten nicht grundsätzlich eine Rechtsverletzung darstellen müssen – auch innerhalb der EU einschließlich Deutschlands gibt es unterschiedlich weitgehende staatliche Zugriffsmöglichkeiten (etwa für BKA und BND) auf in der Cloud gespeicherte Daten.

ITM: Können Zertifizierungen helfen?
Voß:
Wichtig ist die Prüfung der Vorgaben für Technisch-Organisatorische Maßnahmen nach § 9 BDSG (Kontrolle u.a des Zugriffs auf die Daten, Datentrennung verschiedener Auftraggeber, Verschlüsselung der Übertragung u.v.m.) und – soweit es sich um eine Auftragsdatenverarbeitung handelt – um die zehn Vorgaben des § 11 BDSG. Diese Kontrollen müssen vor Auftragserteilung durchgeführt werden, nach Vertragsschluss ist eine fortlaufende, regelmäßige Überprüfung erforderlich.

Für einen IT-unkundigen Mittelständler sind dies natürlich schwierige Prüfungsaufgaben, bei denen Zertifizierungen wertvoll sind. Neben dem Nachweis von Self-Audits der Anbieter existieren verschiedene Zertifikate und Standards, wobei sich leider noch kein generelles Format durchgesetzt hat. Insofern empfiehlt es sich, mithilfe des betrieblichen Datenschutzbeauftragten den Cloud-Anbieter aufzufordern, die Einhaltung der Datenschutzvorgaben, insbesondere nach §§ 9 und 11 BDSG nachzuweisen.

ITM: Welche Rahmenbedingungen muss die deutsche bzw. europäische Politik schaffen, damit die Cloud sicherer wird?
Voß:
Es wäre sehr hilfreich, wenn die geplante EU-Datenschutzgrundordnung die Vorgaben für Auslandsdatenübertragung und Auftragsdatenverarbeitung so regelt, dass Cloud-Anbieter sichere Rahmenbedingungen bieten müssen, die auch für Mittelständler handhabbar sind. Hierzu würde  eine Verpflichtung zu Selbst-Audits beitragen sowie klare Regelungen zu der Information über Auslandsdatenübertragungen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok