Vertrauen in eine Cloud darf nicht allein auf der Reputation eines Anbieters und seiner Kunden basieren, sondern muss systemisch begründet sein. Nur wenn ein System sowohl technisch wie auch organisatorisch so angelegt ist, dass es die Schutzziele des Datenschutzes erfüllt, kann ihm vertraut werden.
Dazu zählen insbesondere die drei Schutzziele der Vertraulichkeit, der Integrität und Verfügbarkeit. Dies sind drei zentrale IT-Sicherheits-Schutzziele, an denen jeder Cloud-Anbieter im Wettbewerb gemessen wird. Wer diese erste Hürde in der Auswahl genommen hat, muss auch bei den vier datenschutzspezifischen Schutzzielen der Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit und der Datensparsamkeit zeigen, wie es mit Blick auf Verfahrensabläufe um die Leistungsfähigkeit bestellt ist.
1. Schutzziel Transparenz
Nutzt der Anwender ein Software-as-a-Service-Angebot, muss er sich auf die Infrastruktur, die Plattform und die Anwendungssoftware des Anbieters verlassen. Er muss prüfen können, ob der Anbieter hinreichende Maßnahmen in Bezug auf alle Schutzziele hat. Transparenz ist dann gegeben, wenn die Datenverarbeitung des Anbieters anhand von Systemdokumentation und Protokollen nachvollzogen, geprüft und bewertet werden kann. Dabei geht es etwa um die Frage, wer auf die Daten zugreifen kann und welche technischen und organisatorischen Sicherheitsmechanismen greifen. Bestandteil einer einfachen Prüfbarkeit ist auch der Nachweis der Revisionsfähigkeit.
2. Schutzziel Intervenierbarkeit
Der Anwender muss wissen, welche Daten unter welchen Voraussetzungen zu welchen Zwecken übertragen werden. So kann er festlegen, welche Daten lokal gespeichert und welche in die Cloud übermittelt werden. Er muss außerdem kontrollieren können, wer von wo auf was wie zugreifen darf. Außerdem sollte der Anwender vertraglich regeln, dass der Anbieter ihn über Sicherheitsvorfälle informiert, die seine Anwendung betreffen.
3. Schutzziel Vertraulichkeit
Vertraulichkeit ist gegeben, wenn nur Befugte personenbezogene Daten sehen und nutzen können. Eine Lösung kann bloß dann wirklich „Vertraulichkeit“ herstellen, wenn der Anbieter gewährleistet, dass ständig kontrolliert wird, ob nur Befugte personenbezogene Daten verarbeiten können. So sollte etwa ein Administrator des Anbieters nicht befugt sein, auf Inhaltsdaten Zugriff zu nehmen. Ein weiteres Kriterium besteht darin, dass Datenbestände separiert und verschlüsselt gespeichert werden. Außerdem muss die Datenübertragung verschlüsselt erfolgen. Zudem gilt es zu klären, wer auf die Krypto-Schlüssel zugreifen kann.
4. Schutzziel Integrität
Aus Datenschutzperspektive ist ein System dann integer, wenn personenbezogene Daten während der Datenverarbeitung unversehrt, vollständig und aktuell bleiben. Die Authentizität ist ein Aspekt der Integrität, die darauf zielt, dass der Ursprung der Daten festgestellt werden kann. Ein Hilfsmittel bezogen auf Dokumente sind beispielsweise digitale Wasserzeichen oder ein „Information Rights Management“. Die „Integrität“ eines Systems lässt sich nur dann einschätzen, wenn der Anbieter eine permanente Kontrolle gewährleisten kann, Datenbestände, Schnittstellen und Prozesse zu sichern. Personenbezogene und -beziehbare Daten dürfen nur exakt so verarbeitet werden, wie es der Anbieter gewährleistet. Es kommt also auf die Zweckbindung an.
5. Schutzziel Verfügbarkeit
Die außerordentlich hohe und endgeräteunabhängige Verfügbarkeit von Daten ist eines der Hauptmotive für Anwender, Cloud-Lösungen zu nutzen. Sie müssen deshalb darauf achten, ob der Anbieter in den relevanten vertraglichen Vereinbarungen auch eine zeitgerechte Verfügbarkeit des Dienstes vorhält. Dies kann in Form von Service Level Agreements erfolgen.
6. Schutzziel Nichtverkettbarkeit
Die Nichtverkettbarkeit ist schließlich das klassische Schutzziel des Datenschutzes, das verhindern soll, dass personenbeziehbare Verkettungen von Dritten vorgenommen werden können. Dabei geht es speziell um die Nutzung von Adress- und Profildaten. So stellen sich folgende Fragen: Ist die Cloud-Lösung etwa mit weiteren Diensten des Anbieters verknüpft, sodass er über die Zusammenführung verschiedener Nutzungsdaten ein Personenprofil erstellen kann? Und wer kontrolliert die Verknüpfbarkeit oder eben die Nichtverkettbarkeit der personenbezogenen Nutzungsdaten? Das Schutzziel der Nichtverkettbarkeit kann sich auch auf das Identitätsmanagement beziehen: Erlaubt der Anbieter anonyme Nutzung oder die Verwendung von Pseudonymen? Reicht es, wenn der Nutzer etwa nur die Attribute angibt, die zur Authentifizierung absolut notwendig sind?
7. Schutzziel Datensparsamkeit
Der Grundsatz der Datensparsamkeit wird verwirklicht, wenn nicht mehr personenbezogene Daten erhoben, verarbeitet und genutzt werden, als unbedingt erforderlich ist. Das gilt für die Daten, die innerhalb der Anwendung verarbeitet wie auch für die Protokolldaten, die erzeugt werden. Deshalb müssen die Anwendungen auch ein Löschprozedere anbieten. Beim Löschen geht es darum, wie schnell und durchgreifend Benutzer ihre Daten auf der Ebene der Plattform löschen können. Zu den einschlägigen Cloud-Risiken gehört es, dass eventuell an unterschiedlichen Verarbeitungsorten Datensicherungen vorgenommen werden.
Fazit
Die 2014 von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlichte „Orientierungshilfe Cloud Computing“ richtet sich nach diesen sieben Schutzzielen und ist nach Inkrafttreten der DSGVO weiterhin gültig. Grundsätzlich sollten Unternehmen immer wissen, welche Anwender oder welche Cloud-Dienste im Unternehmen personenbezogene Daten verarbeiten. Hierfür sollten sie erfassen, welche Cloud-Dienste unternehmensintern sowie in Beziehung zu Kunden und Lieferanten genutzt werden. In einem nächsten Schritt müssen sie evaluieren, inwieweit die genutzten Cloud-Dienste, mit denen personenbezogene Daten verarbeitet werden, die Datenschutz-Vorgaben erfüllen.
Geschrieben von Michael Jacob