Datenschutz bei Cloud Computing

Das Thema Cloud Computing gewinnt immer größere Bedeutung. Hiermit einher wird Datenschutz immer schwieriger.

Offene rechtliche, insbesondere datenschutzrechtliche Fragen zur Verarbeitung personenbezogener Daten beim Cloud Computing sind indes nur schwer zu beantworten. Dieser Beitrag gibt einen Überblick über die rechtliche Lage.

Cloud Computing bietet neben wirtschaftlichen Vorteilen auch beachtenswerte Möglichkeiten zur Steigerung der Verfügbarkeit von Anwendungen und der IT-Effizienz. Nicht nur die geringeren Kosten für Support und Administration, sondern auch die erhöhte Flexibilität machen Cloud Computing immer attraktiver. Darüber hinaus müssen einmal in die "Cloud" geladene Daten nicht mehr lokal auf den Rechnern abgelegt werden und sind jederzeit weltweit verfügbar, wodurch sich Cloud-Systeme gerade für internationale Unternehmen als äußerst interessant erweisen.

Diesen Vorteilen steht jedoch auch eine Reihe von Risiken gegenüber, die durch die Inanspruchnahme der Cloud-Dienstleistungen entstehen. Das Hauptproblem liegt im Schutz der Datenübertragung zwischen den lokalen Rechnern und den Clouds sowie im Schutz der Daten in den Clouds selbst, also im Bereich der IT-Sicherheit.

Ein Cloud-Vertrag lässt sich aufgrund der Funktionsweise der Clouds nicht eindeutig einem Vertragstypus wie etwa einem Miet- oder Werkvertrag zuordnen. Vielmehr handelt es sich regelmäßig um einen typengemischten Vertrag mit Elementen aus Mietvertrag, Leihe, Dienstvertrag und Werkvertrag. Um die rechtlichen Beziehungen zwischen den beteiligten Akteuren einordnen zu können, ist stets zwischen Nutzer, Cloud-Dienstleister und den innerhalb der Clouds bestehenden Vertragsverhältnissen zu unterscheiden. Sobald personenbezogene Daten im Sinne des § 3 Absatz 1 BDSG verarbeitet werden, sind die einschlägigen Datenschutzgesetze zu beachten. Problematisch ist, dass beim Cloud Computing Daten und Ressourcen theoretisch von überall auf der Welt verteilt und gespeichert werden können, so dass sich zunächst die Frage der rechtlichen Zulässigkeit von Datentransfers in weltweite Clouds stellt.

Aufgrund der oben geschilderten Problematik im Umgang mit Cloud Computing hat das Bundesamt für Sicherheit und Informationstechnik (BSI) bereits am 27. September 2010 ein Eckpunktepapier mit BSI-Mindestanforderungen an Cloud Computing-Anbieter formuliert und zur Diskussion gestellt. Dieses konnte bis zum 3. Januar 2011 sowohl in direktem Kontakt mit dem BSI als auch über ein eigens dazu eingerichtetes Forum diskutiert und kommentiert werden. Ziel war es, in Zusammenarbeit mit den Akteuren am Markt angemessene Sicherheitsanforderungen für Cloud Computing-Anbieter zu etablieren. Zudem plant das BSI, Cloud Dienste in Zukunft in den BSI-Grundschutz aufzunehmen und so die Grundlage für eine ISO-Zertifizierung zu schaffen.

Basierend auf den Rückmeldungen bezüglich des im September 2010 veröffentlichten Diskussionspapieres hat das BSI Anfang Mai 2011 das finale Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)" veröffentlicht. Dieses stellt einen ersten Schritt zur Schaffung von Standards dar, auf deren Grundlage die Sicherheit von Cloud Diensten überprüft werden kann.

Cloud Computing kann mit entsprechendem technischem und juristischem Know-how mit den bestehenden gesetzlichen Vorgaben in vielen Fällen in Einklang gebracht werden. Bei der Auslagerung von sensiblen Informationen, insbesondere von personenbezogenen Daten in Public Clouds, ist Cloud Computing jedoch ohne entsprechende vertragliche Regelungen mit dem aktuellen deutschen Datenschutzrecht kaum in Einklang zu bringen. Denn häufig werden beim Cloud Computing diverse Subunternehmer involviert, so dass kaum nachvollziehbar ist, wann, wo und vor allem durch wen personenbezogene Daten verarbeitet werden. Insoweit ist vor Nutzung eines Cloud Systems genau zu prüfen, wie die jeweilige Cloud aufgebaut ist und in welchen Ländern sich die jeweiligen Server befinden, wo genau also die Daten verarbeitet werden. Zum jetzigen Zeitpunkt sind aufgrund der erwähnten Unsicherheiten Private Clouds den Public Clouds vorzuziehen. In jedem Fall bedürfen Cloud-Dienste aufgrund der umfassenden rechtlichen Regelungen detaillierter vertraglicher Vereinbarungen, die wiederum nur mit umfangreichem technischem sowie juristischem Fachwissen bewältigt werden können.

Technisch gesehen steckt Cloud Computing zwar noch in den Kinderschuhen, wird sich jedoch in den kommenden Jahren rasant weiterentwickeln. Trotz oder gerade wegen dieser rasanten Entwicklung bestehen weiterhin viele offene Fragen: So besteht beispielsweise weiterhin keine einheitliche und klare Definition von Cloud Computing und den einzelnen Services. Dies sorgt sowohl bei den Dienstanbietern als auch bei den Nutzern für ein erhöhtes Maß an Unsicherheit, was die rechtliche Qualifizierung und damit auch die Beurteilung der datenschutzrechtlichen Zulässigkeit erschwert.

Politik und Wirtschaft stehen vor der Herausforderung, internationale Cloud-Standards zu entwickeln und festzulegen, damit ein angemessenes Datenschutzniveau gewährleistet und Risiken für alle Beteiligten minimiert werden können. Vielleicht wäre hier auch eine Ergänzung des § 11 BDSG um cloudspezifische Anforderungen ein praktikabler Weg.

Quelle: it-Administrator.de