Da­ten­schutz-Gr­und­ver­ord­nung – was Cloud-Nut­zer wis­sen müs­sen

Im Mai 2018 tritt die EU-Da­ten­schutz-Gr­und­ver­ord­nung (DS­GVO) in Kraft. Das ist vor al­lem für Cloud-Nut­zer wich­tig, die oft un­si­cher in Com­p­li­an­ce-Fra­gen sind. Le­sen Sie, wor­auf sich Cloud-Nut­zer und Cloud-An­bie­ter jetzt ein­stel­len müs­sen.

Computerwoche - - Pra­xis - Von Oli­ver Schon­schek, frei­er IT-Fach­jour­na­list und IT-Ana­lyst in Bad Ems

Die Uhr tickt: Ab dem 25. Mai 2018 gilt EU-weit die Da­ten­schutz­grund­ver­ord­nung (DS­GVO), in­ter­na­tio­nal auch un­ter dem Kür­zel GD­PR (Ge­ne­ral Da­ta Pro­tec­tion Re­gu­la­ti­on) be­kannt. Was je­doch ge­nau zu tun ist, um der DS­GVO zu ge­nü­gen, dar­über herrscht in vie­len Un­ter­neh­men noch Un­si­cher­heit – ge­ra­de wenn Cloud Com­pu­ting ins Spiel kommt. Das sind die der­zeit drän­gends­ten Fra­gen.

Wie wirkt sich die DS­GVO auf den Cloud-Markt aus?

Der Da­ten­schutz galt lan­ge als größ­tes Hemm­nis für Cloud Com­pu­ting. Trotz­dem steigt die be­trieb­li­che Cloud-Nut­zung in Deutsch­land ra­sant an, wie der „Cloud Mo­ni­tor 2017“von KPMG und Bit­kom Re­se­arch zeigt. Dem­nach hal­ten 57 Pro­zent ih­re Un­ter­neh­mens­da­ten in der Pu­b­lic Cloud für „sehr si­cher“oder „eher si­cher“. Nur vier Pro­zent sa­gen, die Da­ten sei­en dort „sehr un­si­cher“oder „eher un­si­cher“.

Die DS­GVO/GD­PR düf­te die Un­si­cher­heit bei den IT-Ma­na­gern in­des wie­der stei­gen las­sen: Der „Ve­ri­tas 2017 GD­PR Re­port“er­gab, dass sich fast die Hälf­te (48 Pro­zent) der be­frag­ten deut­schen Un­ter­neh­men nicht ge­rüs­tet fühlt für die DS­GVO. Dem­nach sind die Frag­men­tie­rung von Da­ten und der feh­len­de Ein­blick in die Da­ten die größ­ten Her­aus­for­de­run­gen. Vor al­lem die schwer kon­trol­lier­ba­ren Spei­cher­or­te in der Cloud las­sen den Un­ter­neh­men im Hin­blick auf die Com­p­li­an­ce kei­ne Ru­he, so die Ve­ri­tas-Stu­die. Ein Vier­tel der Teil­neh­mer nutzt heu­te Cloud-ba­sier­te Di­ens­te wie Box, Goog­le Dri­ve, Drop­box, EMC Sim­pli­ci­ty oder Mi­cro­soft OneD­ri­ve, ob­wohl das nicht mit den ei­ge­nen Un­ter­neh­mens­richt­li­ni­en kon­form geht.

Deut­sche Clouds im Fo­kus trotz Har­mo­ni­sie­rung des Da­ten­schut­zes?

So­wohl ei­ne Um­fra­ge der Stra­to AG als auch ei­ne Stu­die von Bit­de­fen­der ha­ben er­ge­ben, dass Cloud-Nut­zer vor­zugs­wei­se ei­nen Pro­vi­der wäh­len, der dem deut­schen Da­ten­schutz­recht un­ter­liegt. Laut der Bit­de­fen­der-Stu­die ver­trau­en 89 Pro­zent der deut­schen IT-Ent­schei­der am ehes­ten deut­schen Cloud-Pro­vi­dern, 54 Pro­zent miss­trau­en US-Pro­vi­dern.

Die DS­GVO soll für ei­ne EU-wei­te Har­mo­ni­sie­rung des Da­ten­schut­zes sor­gen, so dass aus Da­ten­schutz­sicht ei­ne EU-Cloud das glei­che

Ver­trau­en ge­nie­ßen könn­te wie ei­ne deut­sche Cloud. Eben­so sorgt die DS­GVO durch das so­ge­nann­te Markt­ort-Prin­zip da­für, dass die DS­GVO auch von Cloud-Pro­vi­dern aus Dritt­staa­ten ein­zu­hal­ten ist, wenn sie ih­re Di­ens­te in­ner­halb der EU an­bie­ten. Trotz­dem dürf­ten deut­sche Un­ter­neh­men wei­ter Di­ens­te aus Deutsch­land be­vor­zu­gen.

DS­GVO: Wor­auf müs­sen Nut­zer bei der Aus­wahl des Cloud-Pro­vi­ders ach­ten?

Cloud Com­pu­ting ist aus Da­ten­schutz­sicht in al­ler Re­gel ei­ne Form der Auf­trags­ver­ar­bei­tung, frü­her Auf­trags­da­ten­ver­ar­bei­tung ge­nannt. Mit der DS­GVO bleibt es da­bei, dass der Cloud-Nut­zer als Auf­trag­ge­ber ver­ant­wort­lich ist für den Da­ten­schutz, auch wenn sich sei­ne Da­ten fern­ab in ei­ner Cloud be­fin­den. Clou­dNut­zer sol­len laut DS­GVO nur sol­che Cloud-An­bie­ter be­auf­tra­gen, „die hin­rei­chend Ga­ran­ti­en da­für bie­ten, dass ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den An­for­de­run­gen der DS­GVO er­folgt und den Schutz der Rech­te der be­trof­fe­nen Per­son ge­währ­leis­tet“.

Da­mit ob­lie­gen dem Cloud-Nut­zer als Auf­trag­ge­ber Prüf­pflich­ten hin­sicht­lich des Da­ten­schut­zes und der Da­ten­si­cher­heit bei dem Cloud-An­bie­ter. Der Ver­trag mit ihm muss ei­ne Rei­he von Vor­ga­ben er­fül­len, die in Ar­ti­kel 28 (Auf­trags­ver­ar­bei­ter) der DS­GVO auf­ge­führt sind. Ge­klärt wer­den muss ins­be­son­de­re auch, ob ei­ne Da­ten­über­mitt­lung in Dritt­staa­ten vor­ge­se­hen ist, wie dann das er­for­der­li­che Da­ten­schutz­ni­veau ge­währ­leis­tet wer­den soll und ob Su­b­un­ter­neh­men ein­ge­setzt wer­den. Schon heu­te be­rei­tet die Über­prü­fung des Cloud-An­bie­ters oft gro­ße Schwie­rig­kei­ten. Hilf­reich ist es des­halb, wenn die DS­GVO vor­sieht, dass die „Ein­hal­tung ge­neh­mig­ter Ver­hal­tens­re­geln oder ei­nes ge­neh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens durch ei­nen Auf­trags­ver­ar­bei­ter als Fak­tor her­an­ge­zo­gen wer­den kann“, um hin­rei­chen­de Ga­ran­ti­en für den Da­ten­schutz und die Da­ten­si­cher­heit in der Cloud nach DS­GVO-Vor­ga­ben nach­zu­wei­sen. Ent­schei­dend ist, dass es sich um ge­neh­mig­te Ver­hal­tens­re­geln oder ge­neh­mig­te Zer­ti­fi­zie­rungs­ver­fah­ren han­deln muss. Nicht je­des Cloud-Zer­ti­fi­kat ist ein ent­spre­chen­der Nach­weis!

Wel­che neu­en Ri­si­ken be­ste­hen bei der Cloud-Nut­zung?

Ne­ben den be­kann­ten Cloud-Ri­si­ken kommt mit der DS­GVO ins­be­son­de­re das Ri­si­ko hin­zu, dass Cloud-Nut­zer bei ei­ner Da­ten­schutz­ver­let­zung in der Cloud mit ei­nem ho­hen Buß­geld be­legt wer­den kön­nen. So fin­det man in der DS­GVO: „Bei Nicht­be­fol­gung ei­ner An­wei­sung der Auf­sichts­be­hör­de (...) wer­den (...) Geld­bu­ßen von bis zu 20.000.000 Eu­ro oder im Fall ei­nes Un­ter­neh­mens von bis zu vier Pro­zent sei­nes ge­sam­ten welt­weit er­ziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Ge­schäfts­jahrs ver­hängt, je nach­dem, wel­cher der Be­trä­ge hö­her ist.“Da­mit wer­den Da­ten­schutz­ver­let­zun­gen noch kri­ti­scher oder so­gar exis­tenz­be­dro­hend für das ver­ant­wort­li­che Un­ter­neh­men.

Wel­che neu­en Ri­si­ken be­ste­hen für Cloud-An­bie­ter?

Die Ver­ant­wor­tung für den Da­ten­schutz trägt der Cloud-Nut­zer nicht al­lei­ne. Kommt es zu ei­ner Da­ten­schutz­ver­let­zung, die der Clou­dAn­bie­ter zu ver­ant­wor­ten hat, oder ge­ne­rell zu ei­nem Ver­stoß ge­gen die DS­GVO durch die Auf­trags­ver­ar­bei­tung, wird der Cloud-An­bie­ter eben­falls zum Ver­ant­wort­li­chen, mit Fol­gen in Sa­chen Haf­tung und Sank­tio­nen. Lei­der wer­den oft deut­li­che Lü­cken in der Da­ten­si­cher­heit bei Cloud-An­bie­tern sicht­bar, die bei An­wen­dung der DS­GVO ho­he Buß­gel­der für den Pro­vi­der be­deu­ten kön­nen. So sag­te zum Bei­spiel der Prä­si­dent des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) Ar­ne Schön­bohm im März 2017: „Cloud-Be­trei­ber sind für die Si­cher­heit ih­rer Cloud ver­ant­wort­lich und soll­ten mit die­ser Ver­ant­wor­tung sorg­sam um­ge­hen. Der Be­trieb von Clouds mit

ver­al­te­ten Soft­ware­ver­sio­nen, für die be­reits seit lan­ger Zeit Up­dates der Her­stel­ler be­reit­ste­hen, ist fahr­läs­sig und macht es Kri­mi­nel­len viel zu leicht, sen­si­ble Da­ten zu steh­len oder Ge­schäfts­pro­zes­se zu be­ein­flus­sen.“

Was brin­gen Cloud-Zer­ti­fi­zie­run­gen?

Die DS­GVO stärkt die Be­deu­tung von Zer­ti­fi­zie­run­gen, denn sie kön­nen als Nach­weis für die not­wen­di­gen Ga­ran­ti­en ge­nutzt wer­den, die ein Cloud-An­bie­ter er­brin­gen muss, um das er­for­der­li­che Da­ten­schutz­ni­veau zu be­stä­ti­gen. Be­kannt­lich gibt es be­reits ei­ne gan­ze Rei­he von Cloud-Zer­ti­fi­ka­ten, die zum Bei­spiel das BSI auf­führt. Wich­tig ist je­doch, dass das Cloud-Zer­ti­fi­kat ex­pli­zit den Da­ten­schutz im Fo­kus ha­ben muss. Das Baye­ri­sche Lan­des­amt für Da­ten­schutz­auf­sicht (BayLDA) zum Bei­spiel hat fol­gen­de Er­fah­rung da­zu be­rich­tet: „Das BayLDA hat in sei­nen auf­sicht­li­chen Kon­trol­len (...) zwar fest­ge­stellt, dass Un­ter­neh­men oft ver­schie­dens­te Zer­ti­fi­ka­te vor­wei­sen konn­ten – je­doch ge­nüg­ten die­se bis­lang in kei­nem ein­zi­gen Fall, um die Fra­gen aus dem Prü­f­um­fang des BayLDA aus­rei­chend zu be­ant­wor­ten.“Bei be­ste­hen­den Zer­ti­fi­zie­rungs­ver­fah­ren muss zwangs­läu­fig ei­ne Über­ar­bei­tung hin­sicht­lich der neu­en Vor­ga­ben der DS­GVO statt­fin­den, so das BayLDA.

Die Zer­ti­fi­zie­rungs­stel­len müs­sen zu­dem ent­spre­chend der DS­GVO (Ar­ti­kel 43) ak­kre­di­tiert sein. Und: Ei­ne Zer­ti­fi­zie­rung ge­mäß DS­GVO min­dert nicht die Ver­ant­wor­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters für die Ein­hal­tung der DS­GVO und be­rührt nicht die Auf­ga­ben und Be­fug­nis­se der Auf­sichts­be­hör­den. Ei­ne Cloud-Zer­ti­fi­zie­rung al­lein sorgt al­so nicht da­für, dass von der Ein­hal­tung der DS­GVO aus­ge­gan­gen wer­den kann.

Was for­dert die DS­GVO für die Cloud-Si­cher­heit?

Wie zu­vor be­schrie­ben, müs­sen Da­ten­schutz und Da­ten­si­cher­heit in der Cloud durch den Cloud-An­bie­ter ga­ran­tiert wer­den kön­nen. Der Cloud-Nut­zer muss dies über­prü­fen. Der Cloud-An­bie­ter muss die Maß­nah­men der Da­ten­si­cher­heit auf­füh­ren. Da­zu ge­hö­ren die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Da­ten, die Fä­hig­keit, die Ver­trau­lich­keit, In­te­gri­tät, Ver­füg­bar­keit und Be­last­bar­keit der Sys­te­me und Di­ens­te im Zu­sam­men­hang mit der Ver­ar­bei­tung auf Dau­er si­cher­zu­stel­len, die Fä­hig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Da­ten und den Zu­gang zu ih­nen bei ei­nem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len, ein Ver­fah­ren zur re­gel­mä­ßi­gen Über­prü­fung, Be­wer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men zur Ge­währ­leis­tung der Si­cher­heit der Ver­ar­bei­tung.

Be­trach­tet man den Sta­tus der Cloud-Si­cher­heit in Un­ter­neh­men, be­steht noch Hand­lungs­be­darf. So er­gab der Cloud Mo­ni­tor 2017 von KPMG und Bit­kom Re­se­arch: Et­wa zwei von drei Un­ter­neh­men ha­ben Maß­nah­men er­grif­fen, um die Da­ten­si­cher­heit in der Cloud zu er­hö­hen. 63 Pro­zent kon­trol­lie­ren die un­er­laub­te Nut­zung von Pu­b­lic-Cloud-Di­ens­ten im Un­ter­neh­men. Neun von zehn Cloud-An­wen­dern (91 Pro­zent) nut­zen spe­zi­el­le Se­cu­ri­ty-Ser­vices, um un­er­laub­te Zu­grif­fe zu ver­hin­dern und die ei­ge­nen Da­ten zu schüt­zen. Da­zu zählt un­ter an­de­rem ei­ne Ver­schlüs­se­lung von Da­ten in der Cloud oder ein Mo­ni­to­ring der ver­wen­de­ten Ge­rä­te und An­wen­dun­gen.

Ein Bei­spiel für den Hand­lungs­be­darf ist die Be­last­bar­keit der Sys­te­me und Di­ens­te, die nach DS­GVO si­cher­ge­stellt sein muss: 40 Pro­zent der deut­schen Or­ga­ni­sa­tio­nen ga­ben an, dass ih­re Wi­der­stands­kraft ge­gen Cy­ber-An­grif­fe in den ver­gan­ge­nen zwölf Mo­na­ten nicht ge­wach­sen sei, so der zwei­te „Po­ne­mon Cy­ber Resi­li­ent En­ter­pri­se Re­port“. Die Be­last­bar­keit von Cloud-Ser­vices muss al­so drin­gend ver­bes­sert wer­den, denkt man an die stei­gen­de Zahl und In­ten­si­tät der Cy­ber-Atta­cken.

Was be­deu­tet das Recht auf Ver­ges­sen­wer­den für die Cloud?

Lösch­pflich­ten be­ste­hen be­reits heu­te, doch das Recht auf Ver­ges­sen­wer­den for­dert zu­sätz­lich, dass die Stel­len, an die die zu lö­schen­den Da­ten über­tra­gen wur­den, in­for­miert wer­den, dass ei­ne Lösch­ver­pflich­tung be­steht. Im Cloud Com­pu­ting be­deu­tet dies, dass auch Links auf die zu lö­schen­den Da­ten und Da­ten­ko­pi­en in ei­ner Cloud von der Lösch­pflicht er­fasst wer­den. Ei­ne um­fas­sen­de Lö­schung im In­ter­net be­rei­tet be­kannt­lich Pro­ble­me. Die­se be­gin­nen be­reits da­mit, dass vie­le Un­ter­neh­men gar nicht wis­sen, wo­hin über­all sie die zu lö­schen­den Da­ten über­tra­gen ha­ben. Doch nicht nur Cloud-Nut­zer müs­sen han­deln, auch die Cloud-An­bie­ter sind ge­for­dert, für ei­ne um­fas­sen­de Da­ten­lö­schung zu sor­gen. Ei­ne Un­ter­su­chung von Sky­high Net­works er­gab: 84 Pro­zent der Cloud-Ser­vices lö­schen Kun­den­da­ten nicht so­fort, wenn der Ver­trag oder das Abon­ne­ment en­det. Cloud-An­bie­ter soll­ten in je­dem Fall um­ge­hend ih­re Lösch­kon­zep­te da­hin­ge­hend prü­fen, ob sie die Lösch­pflich­ten rich­tig er­fül­len.

Was än­dert sich in Sa­chen Cloud-Mi­gra­ti­on?

Das neue Recht auf Da­ten­über­trag­bar­keit in der DS­GVO be­deu­tet, dass es Cloud-Nut­zern mög­lich sein muss, be­stimm­te Da­ten von ei­nem Cloud-An­bie­ter auf ei­nen an­de­ren zu über­tra­gen. Hier­bei muss der bis­he­ri­ge Clou­dAn­bie­ter un­ter­stüt­zen: So weit es tech­nisch mach­bar ist, muss da­bei der bis­he­ri­ge Clou­dAn­bie­ter die de­fi­nier­ten Da­ten an den neu­en Pro­vi­der über­tra­gen. In je­dem Fall müs­sen die be­trof­fe­nen Da­ten in ei­nem struk­tu­rier­ten, gän­gi­gen und ma­schi­nen­les­ba­ren For­mat dem Cloud-Nut­zer be­reit­ge­stellt wer­den. Cloud-An­bie­ter müs­sen sich al­so um Schnitt­stel­len und For­ma­te küm­mern, die Cloud-Nut­zer und Cloud-An­bie­ter um ei­ne um­fas­sen­de Über­sicht, wo sich wel­che Da­ten be­fin­den. An­dern­falls kann kei­ne er­folg­rei­che Über­tra­gung statt­fin­den, da ge­ge­be­nen­falls wich­ti­ge Da­ten feh­len. Bis­her ha­ben aber vie­le Cloud-Nut­zer kei­nen wirk­li­chen Über­blick über ih­re Da­ten­be­stän­de in der Cloud.

Was muss bei ei­ner Da­ten­pan­ne in der Cloud ge­sche­hen?

Kommt es zu ei­ner Da­ten­schutz­ver­let­zung, be­ste­hen nicht nur für den Cloud-Nut­zer Mel­de­pflich­ten (mit 72-St­un­den-Frist) ge­gen­über der Auf­sichts­be­hör­de und den be­trof­fe­nen Per­so­nen, auch der Cloud-An­bie­ter als Auf­trags­ver­ar­bei­ter hat be­stimm­te Mel­de­pflich­ten ge­gen­über dem Cloud-Nut­zer. So be­sagt die DS­GVO: Wenn dem Auf­trags­ver­ar­bei­ter ei­ne Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Da­ten be­kannt wird, mel­det er die­se dem Ver­ant­wort­li­chen (al­so dem Cloud-Nut­zer) un­ver­züg­lich. Hier muss so man­cher Cloud-Pro­vi­der nach­ar­bei­ten, wenn man sich die Da­ten­pan­nen in der letz­ten Zeit an­sieht. Es ist al­so zu prü­fen, ob die Cloud-Nut­zer ih­rer Mel­de­pflicht dann noch ge­recht wer­den kön­nen. Cloud-An­bie­ter dür­fen nicht zum Brems­klotz wer­den.

„Vie­le An­wen­der in Deutsch­land füh­len sich nicht aus­rei­chend ge­rüs­tet für die DS­GVO.“

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.