All About Security

18.06.2010 Compliance & Recht, Managed-Security-Services & Outsourcing, Fachartikel

Datenschutz bei Cloud Computing? Bisher Fehlanzeige!

Bei der personenbezogenen Datenverarbeitung im Rahmen des Cloud Computing treten rechtliche und technische Fragestellungen auf, die bisher nur unzureichend aufgearbeitet sind. Da sich diese Form der Datenverarbeitung immer größerer Beliebtheit erfreut, ist es nötig, die Rahmenbedingungen des Datenschutzes abzuleiten und zu benennen.

Die folgende Ausarbeitung basiert auf dem Beispiel von Datenverarbeitungen durch nicht-öffentliche Stellen mit Sitz in Deutschland, für die das Bundesdatenschutzgesetz (BDSG) anwendbar ist. Für die Verarbeitung durch öffentliche Stellen des Bundes und der Länder gelten regelmäßig entsprechende Normen im BDSG bzw. in den Landesdatenschutzgesetzen (LDSG).

Zweck und Erscheinungsformen des Cloud Computing

„Cloud Computing“ steht für „Datenverarbeitung in der Wolke“. Die Wolke schwebt nicht am Himmel, sondern beschreibt eine zunächst noch nebulös bleibende, über Netze, v.a. über das Internet angeschlossene Rechnerlandschaft, in die die eigene Datenverarbeitung ausgelagert wird. Ziel ist es, informationstechnische (IT-) Dienstleistungen dynamisch und skalierbar nutzen zu können, d.h. externe Hard- und Software sowie Know-how im Interesse des Einsparens von Ressourcen zu nutzen. Im Idealfall soll es dem Nutzer egal sein können, ob gerade der eigene oder ein weit entfernter Computer eine Aufgabe löst. Teilweise werden ganze Verfahren in die Cloud verlagert; teilweise geht es auch nur darum, Bedarfsspitzen abzudecken, mit denen die eigene IT-Infrastruktur überfordert ist. Bezahlt wird regelmäßig neben einer Grundgebühr skaliert für die jeweilige Nutzung und Dienstleistung, zumeist nach Rechenleistung und Rechenzeit. Denkbar ist auch die Bezahlung pauschaler Flatrates.

Dieser Ansatz ist in der Informationstechnik nicht neu. Ihn gibt es unter dem Begriff „Outsourcing“, seit es Datenverarbeitung gibt. Datenschutzrechtlich diskutiert wurde und wird dieser Ansatz mit den Begriffen „Auftragsdatenverarbeitung“ und „Funktionsübertragung“. Ein aktueller Vorläufer des Cloud Computing ist das Grid Computing, das „Rechnen aus der Steckdose“. Das Grid Computing ist inspiriert von der Idee, Rechenleistung ähnlich der Versorgung mit Wasser oder Strom aus dem Netz zu beschaffen. Während aber beim Grid regelmäßig Rechner statisch gekoppelt sind, werden Cloud-Ressourcen zumeist flexibel bereit gestellt.

Beim Cloud Computing wird unterschieden zwischen Software-as-a-Service (SaaS), Storage-as-a-Service, Platform-as-a-Service (Paas), Infrastructure-as-a-Service (IaaS). Davon abgeleitet sind weitere Begriffe wie z.B. HPC-as-a-Service (HPC steht für High Performance Computing). Beim SaaS wird Software nicht auf dem eigenen Rechner installiert, sondern für den Bedarfsfall im Netz bereitgestellt. Storage-as-a-Service dient der Datensicherung und der Archivierung, entweder durch regelmäßige oder durch endgültige Speicherung von Datenbeständen. Eine Sonderform sind Replikationsdienste, also das Abspeichern von Daten im Netz, um hierauf im Bedarfsfall zugreifen zu können. PaaS stellt umfassende Anwendungen (Applikationen) fremden Nutzenden zur Verfügung, z.B. ein ganzes Customer Relation Management-(CRM-)System. Bei IaaS wird umfassende IT-Infrastruktur zur Verfügung gestellt.

Im Zusammenhang mit Cloud Computing fällt immer wieder der Begriff der „Virtualisierung“. Damit wird das Betreiben eines „virtuellen Computers“ auf einer (fremden) Hardware gemeint. Dabei erfolgt eine logische Trennung eines Programms vom Betriebssystem des genutzten Rechners.

Ein weiterer im Kontext auftauchender Begriff ist Service-orientierte Architektur (SOA). Dabei geht es um die einheitliche Abbildung von Geschäftsprozessen auf einer heterogenen IT, mit der organisationsübergreifend Prozesse abgewickelt werden können. SOA steht zumeist im Kontext von Webservices, also mit der Sprache XML definierte Standards, mit denen Daten zwischen unabhängigen Organisationen ausgetauscht werden können.

Unterschieden werden kann zwischen Private und Public Clouds. Private Clouds sind vernetzte Rechner, die sämtliche unter der rechtlichen Verantwortung einer einzigen Daten verarbeitenden Stelle stehen. Eine besondere Form von In-House Clouds als Private Clouds sind virtualisierte Desktops mit einem Betriebssystem der verantwortlichen Stelle, auf das Mitarbeiter über Thin Clients, mobile Laptops oder PCs zugreifen und hierüber Daten verarbeiten können. Als Private Clouds werden auch Rechnernetze von rechtlich zueinander in einem engen Verhältnis stehenden Stellen bezeichnet, z.B. Stellen der öffentlichen Verwaltung oder eines Unternehmenskonzerns.

Bei Public Clouds wird die Rechenleistung von Dritten im Sinne des Datenschutzrechtes (§ 3 Abs. 8 S. 2 BDSG; s.u. 2.4) angeboten. Anbieter von Public Clouds sind die ganz großen globalen IT-Unternehmen, u.a. Amazon (EC2), Google, Microsoft, IBM oder Hewlett-Packard (zusammen mit Intel und Yahoo). Diese verarbeiten die Daten auf weltweit verteilten Servern bzw. Serverfarmen, die einem oder auch unterschiedlichen Anbietern gehören.

Neben kommerziellen Angeboten gibt es öffentliche, zumeist akademische Einrichtungen, die Cloud Computing zur Verfügung stellen. Hybride Clouds sind eine Mischung von Private- und Public Clouds, also eine Nutzung sowohl von eigenen wie auch fremden Ressourcen. Eine Besonderheit stellen die Community Clouds dar, bei denen eine Cloud-Infrastruktur gemeinsam genutzt wird, wobei gemeinsame Anforderungen, z.B. zur Sicherheit, zum Datenschutz oder zu weiteren Compliance-Anforderungen kollektiv vereinbart und festgelegt werden.

Hinsichtlich der agierenden Stellen kann i.d.R. zwischen dem Cloud-Nutzer, dem Cloud-Anbieter und den Ressourcen-Anbietern unterschieden werden. Der Cloud-Nutzer ist die Stelle, die Rechenleistung von Cloud-Diensten in Anspruch nimmt. Der Cloud-Anbieter stellt diese Dienste dem Cloud-Nutzer bereit. Dieser kann sich von den Ressourcen-Anbietern unterscheiden, die i.d.R. dem Cloud-Anbieter für die Cloud-Datenverarbeitung ihre Hard- oder Software zur Verfügung stellen, damit diese zusammengefasst dem Nutzer angeboten werden können.

Praktische Probleme und rechtliche Fragestellungen

Bei der Realisierung des Cloud Computing gibt es eine Vielzahl von technischen Herausforderungen. Dauert das Rechnen im Netz zu lange, gehen eingesparte Ressourcen an anderer Stelle wieder verloren.

Das zentrale Problem des Cloud Computing besteht darin, die Integrität und Vertraulichkeit der Datenverarbeitung des Cloud-Nutzers zu gewährleisten. Dies gilt nicht nur für die Verarbeitung personenbezogener, sondern sämtlicher Daten, bei denen es auf Vertraulichkeit und Integrität ankommt, z.B. für Betriebs- und Geschäftsgeheimnisse, für Forschungsdaten oder für anderweitig immateriell-rechtlich geschützte Daten. Es geht um das Unterbinden unberechtigter und schädigender Zugriffe Dritter.

Ein zentraler Aspekt jedes Cloud-Vertrages ist die Sicherheit der  Datenverarbeitung. Hierzu gehören Pflege- und Fehlerbeseitigungsmaßnahmen sowie Maßnahmen zur Abwehr von Angriffen und Störungen. Schon aus haftungsrechtlichen Gründen ist es von Bedeutung, dass die Verantwortlichkeit für spezifische Sicherheitsmaßnahmen eindeutig zugewiesen wird. Sicherheitszusagen können über Security-Service-Level-Agreements (SSLA) verabredet werden. Tatsächlich bleiben die Cloud-Anbieter bei ihren Garantien für Sicherheitsmaßnahmen „wolkig“.
SSLA haben regelmäßig den Charakter von allgemeinen Geschäftsbedingungen (AGB).

Rechtlich erfolgt die Bereitstellung und Nutzung von Clouds im Rahmen eines Schuldvertrags, bei dem sich eine Vielzahl von juristischen Fragestellungen ergeben können, die hier nicht näher behandelt werden können (z.B. Haftung, Gewährleistungsansprüche, Urheberrecht). Cloud-Verträge sind nicht eindeutig zuordenbar, sondern eine Typenmischung mit Anteilen eines Mietvertrags, einer Leihe und eines Dienst- und/oder eines Werkvertrages (Schulung, Pflege, Schnittstellenanpassung).

Die Archivierung von Daten in grenzüberschreitenden Clouds hat bzgl. steuerlich relevanter Aufzeichnungen Bedeutung, da diese nach § 146 Abs. 2 S. 1 AO grundsätzlich im Inland zu führen und aufzubewahren sind. Auf Antrag kann die zuständige Finanzbehörde nach dem zum 01.01.2009 eingefügten § 146 Abs. 2a AO bewilligen, dass die Dokumente in einem Mitgliedstaat der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums mit Amtshilfeübereinkommen (EWR) archiviert werden. Die ausländische Finanzbehörde muss zustimmen, und die deutsche Finanzbehörde muss auf die Dokumente zugreifen können. Nach § 148 AO dürfen steuerrechtliche Unterlagen außerhalb des EU/EWR-Raumes nach Bewilligung der Finanzbehörde nur aufbewahrt werden, wenn das Aufbewahren im Inland für den Steuerpflichtigen Härten mit sich brächte und die Besteuerung nicht beeinträchtigt wird.

Nach dem Handelsrecht müssen Buchungsbelege und Handelsbriefe im Inland aufbewahrt werden. Es besteht nach § 257 Abs. 4 HGB eine gesetzliche Aufbewahrungsfrist von 6 bzw. 10 Jahren. Ein explizites Verbot zur Nutzung eines Cloud Archiving besteht nicht.

Einige Cloud-Angebote richten sich direkt an die Verbraucherinnen und Verbraucher (z.B. Google Apps), so dass das nationale und das internationale Verbraucherrecht zu beachten ist.

Für die Ermittlung von Straftaten und Ordnungswidrigkeiten stellt die Speicherung von Daten in der Cloud dann ein Problem dar, wenn durch die Art und den Ort der Datenverarbeitung ein Zugriff für die Ermittlungs- und Sanktionsbehörden nicht möglich ist.

Wegen der Vielzahl der mit Cloud-Datenverarbeitungen verbundenen rechtlichen Fragen, die bisher keiner gesetzlichen Regelung zugeführt worden sind, kommt der Gestaltung dieser Beziehungen durch IT-Vertrag eine zentrale Bedeutung zu.

<< Erste < Vorherige 1 2 3 4 5 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Thilo Weichert
Cloud Computing in Deutschland wächst – und polarisiertDie repräsentative Unternehmensbefragung unter mehr als 400 IT-Entscheidern zeigt, dass mehr als ein Drittel (37 Prozent) der Unternehmen in Deutschland die neuen webbasierten Formen des Bezugs von IT-Leistungen („aus der Cloud“) aktiv einsetzt. Bei weiteren 29 Prozent der Unternehmen steht das...
Zukunftsforscher: Der unverstandene Megatrend Cloud-Computing ist aktuell einer der meistgebrauchten Begriff auf Technologiekongressen. Doch gleichzeitig wird die wahre, strategische Bedeutung dieses Mega-Trends bislang kaum reflektiert. Dies ist das Ergebnis einer neuen Trendanalyse des deutschen Trendforschungsinstituts „2b AHEAD ThinkTank“....

Keine Artikel in dieser Ansicht.