Cloud Computing - was Juristen raten

Frage von Wolfgang Hinrichs (Evonik Industries): Viele Unternehmen würden gern die wirtschaftlichen Vorteile globaler Clouds nutzen, fürchten aber Datenklau und Verstöße gegen datenschutzrechtliche Bestimmungen. Welche rechtlichen Best Practices oder kreativen Lösungen gibt es hier?

Antwort von Thomas Jansen (DLH Piper): Es ist zunächst einmal zu einer deutschen oder europäischen Cloud zu raten. Cloud Computing ist üblicherweise eine Auftragsdatenverarbeitung nach Paragraf 11 des Bundesdatenschutzgesetzes (BDSG). Die ist aber grundsätzlich nur mit Anbietern innerhalb des europäischen Wirtschaftsraums möglich.

Wichtig ist dabei nicht nur der Firmensitz, sondern auch der genaue Speicherort der Daten, also der Server-Standort. Rechtlich gibt es enorme Unterschiede, je nachdem, ob der Cloud-Anbieter die Daten oder deren Sicherheitskopien auf IT-Systemen in Deutschland, der Schweiz, Malta, Kanada, den USA, Indien oder China speichert. Oft sind die Daten auch an mehreren Standorten gleichzeitig gelagert. Hier sind eindeutige und verbindliche vertragliche Zusicherungen wichtig - und eine rechtliche Überprüfung ist unentbehrlich.

Eine Möglichkeit, die immer berücksichtigt werden sollte, besteht darin, die Daten vor Ort und vor der Übertragung in die Cloud zu verschlüsseln - zusätzlich zur Verschlüsselung der Übertragung. Das kann vieles erleichtern, gerade bei der Nutzung der Cloud für Backup-Szenarien.

Die Verwendung von Public-Cloud-Diensten wie Dropbox sollte in Unternehmensumgebungen unbedingt vermieden werden. Eine Public Cloud erfüllt fast nie alle rechtlichen Anforderungen.

Bezüglich des Themas Datenklau ist zu beachten, dass die Übertragung von Daten in die Cloud immer ein zusätzliches Risiko birgt. Daher ist von Anfang an und auf allen Ebenen auf eine technisch hervorragende Verschlüsselung zu achten. Dabei sollte auch vertraglich abgesichert sein, dass die Verschlüsselungstechnik regelmäßig und zügig auf den aktuellen Stand der Technik gebracht wird. Das gilt in Zeiten der Geheimdienst-skandale mehr denn je.

Bei Clouds mit Datenspeicherung in Niedriglohnländern ist das Risiko zu beachten, dass Dritte durch Bestechung von Mitarbeitern oftmals schnell und einfach an Daten gelangen können. Und bei Daten, die Ausfuhrbeschränkungen unterliegen, zum Beispiel für militärbezogene Bauanleitungen, kann eine Speicherung in der Cloud ernste Folgen haben.

Über die Safe-Harbor-Vereinbarung der EU mit den USA und durch eine Vertragsgestaltung, die EU Model Clauses einschließt, kann eine Cloud außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums teilkompatibel zu den Datenschutzbedingungen der EU werden. Aber wirklich sicher ist meistens nur die deutsche Cloud und teilweise die Cloud in anderen EU-Ländern.

Ergänzende Antwort von Jochen Notholt (comp/lex - Beratung im IT-Recht, München): Best Practice aus rechtlicher Sicht ist ein Vertrag mit dem Anbieter, der klar und deutlich regelt, was der Kunde erwarten kann - für den Fall, dass alles gut geht, oder auch, wenn etwas schiefläuft. Das ist jedoch in der Paxis leichter gesagt als getan.

Je unternehmenskritischer die Daten und Prozesse in der Cloud sind, umso sorgfältiger ist dabei vorzugehen. Der Kunde muss hier eigene Worst-Case-Szenarien entwickeln und kritisch prüfen. Das erfordert allerdings Kreativität und Mut.

Firmendaten in der Cloud

Noch eine Frage von Wolfgang Hinrichs: Welche konkrete Verantwortung übernimmt der Auftraggeber, wenn seine Firmendaten vom Cloud-Dienstleister weitergegeben oder "verloren" werden?

Thomas Jansen: Verlust im Sinne einer Preisgabe der Daten an unberechtigte Dritte, oft auch als Datenpanne bezeichnet, ist ein ernstes Problem. Das Bundesdatenschutzgesetz (BDSG) verbietet grundsätzlich jedes Verwenden von personenbezogenen Daten. Anschließend erlaubt es die Verwendung unter bestimmten Bedingungen. Dieses "Verbot mit Erlaubnisvorbehalt" verlangt sowohl vom Auftraggeber als auch vom Auftragnehmer, dass sie sich das Recht zur Verwendung von Daten entweder durch eine Rechtsvorschrift wie das BDSG oder eine Einwilligung der betroffenen Person explizit einräumen lassen (Paragraf 4 Absatz 1 BDSG). Beide Parteien tragen demnach Verantwortung dafür, dass sie nur zulässigerweise Daten erheben, verarbeiten und nutzen.

Cloud-Daten sicher löschen
Daten in der Public Cloud nach Vertragsende unwiederbringlich zu löschen ist keine große Sache, könnte man meinen. Doch der Teufel steckt im Detail. Die virtualisierten Storage-Technologien machen es genau genommen unmöglich, Daten physikalisch und damit wirklich sicher zu überschreiben. Dennoch lassen sich Vorkehrungen treffen, damit es nicht zum Worst Case kommt.

Laxer Umgang mit Datenlöschung in der Cloud
In der Regel fordern nur sicherheitssensible Unternehmen die Löschung der Daten explizit beim Cloud-Dienstleister ein.

Rechtliche Regelung für Cloud-Daten
Juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. Das heißt, wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden.

Kundendaten sind schwer zu löschen
Da der Kunde Zugriff auf seine Daten hat, kann er sie ändern und auch löschen. Zu glauben, dass die Daten deshalb beseitigt sind, wäre jedoch sehr blauäugig. Der Grund: Die Kundendaten graben sich tief in die Datenbanken und Sicherungssysteme des Providers ein, auf die der Nutzer keinen direkten Zugriff hat.

Löschung vertraglich absichern
Weil die Kundendaten tief in den Datenbanken und Sicherungssystemen der Provider gespeichert sind, kommt der Cloud-Kunde nicht umhin, die Löschung der Daten dem Provider zu übertragen. Deshalb sollte er die Löschung auch vertraglich absichern. In der Regel schließen Unternehmen mit dem Provider einen Auftragsdaten-Verarbeitungsvertrag (ADV), der meist Teil des Kundenvertrags und der Service-Level-Agreements (SLAs) ist.

Exit-Bedingen klar formulieren
Zwingend notwendig ist der Abschluss solcher Verträge nicht. Aber Experten vom Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und vom Verband der deutschen Cloud-Industrie, Eurocloud, raten dringend dazu, die Exit-Bedingungen klar ausformulieren. EuroCloud macht sich dafür stark, dass die Datenlöschung als grundsätzlicher Bestandteil der Service-Levels in die Cloud-Verträge aufgenommen wird.

Procedere des Löschvorgangs
In der Praxis verläuft das Procedere zum Löschen der Kundendaten überall ähnlich. Gängige Praxis ist es, dass der Kunde per E-Mail die Datenlöschung in Auftrag gibt. Dann wird beim Provider für sämtliche Informationen, die mit einem Kunden zusammenhängen, ein Löschauftrag erstellt und der Prozess nachts ausgeführt. Nach erfolgter Annullierung wird der Kunde automatisch per E-Mail benachrichtigt.

Kundendaten werden überschrieben
Mit der Eliminierung der Kundendaten gibt die Datenbank beim Cloud-Dienstleister den Speicherplatz frei, so dass er komplett wieder mit anderen Daten überschrieben werden kann. Mit jedem neuen Kunden wird dann die Wahrscheinlichkeit größer, dass die abgelegten Daten überschrieben werden. Der Provider kommt dann an die Daten nicht mehr heran.

Kontrolle des Kunden ist theoretisch
Theoretisch könnte sich der Kunde selbst überzeugen, dass die Daten gelöscht wurden oder dass zumindest alle technischen und organisatorischen Maßnahmen ordnungsgemäß eingehalten werden. Dazu müsste er sich aber vertragsrechtlich Audit-Rechte einräumen lassen. Doch das ist pure Theorie. Abgesehen davon, dass es technisch kaum machbar ist, sich von der Datenlöschung zu überzeugen, würde kein Cloud-Anbieter einem Kunden ein solches Recht einräumen.

Audit-Rechte festlegen
Es kann jedoch sinnvoll sein, wenn sich der Kunde Audit-Rechte auf Dokumente, Beschreibungen und Protokolle einräumen lässt, um zum Beispiel den korrekten Ablauf von Löschprozessen nachvollziehen zu können.

Zertifizierungen einfordern
Neben Audit-Rechten können vom Kunden Zertifizierungen gefordert werden, die einen Mindeststandard bezüglich der Informationssicherheit gewährleisten. Eurocloud bietet beispielsweise mit dem „Eurocloud Star Audit“ solche Zertifizierungen an. Dadurch wird ein Prozess etabliert, womit die Kundendaten komplett gelöscht werden, sobald ein Kunde ausscheidet.

Keine sichere Löschung in der Public Cloud
Den Security-Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Zertifizierungen zu wenig. Sie geben zu bedenken, dass mit dem gängigen Löschprocedere die Daten keineswegs sicher gelöscht würden. Der Grund: Werden in Cloud-Umgebungen Datenbanken oder virtuelle Festplatten gelöscht, wird in der Regel nur die Referenz auf die Daten entfernt, die Informationen sind aber weiterhin physikalisch auf den Speichersystemen vorhanden. Bis die Daten wirklich von dem Speichersystem gelöscht sind, dauert es, und es gibt kaum Methoden, dies vorherzusagen und sicherzustellen.

BSI rät zur Zeitangabe
Das BSI rät, sich von den Providern die Zeit nennen zu lassen, bis zu der die Kundendaten mit hoher Wahrscheinlichkeit überschrieben worden sind. Diese Zeit hängt vor allem von der Größe des SAN ab. Eine Aussage wie „Nach 1,5 Jahren können wir mit 95-prozentiger Wahrscheinlichkeit sagen, dass die Kundendaten gelöscht sind“, ist etwas anderes als die Aussage „Unser SAN ist so klein, nach zwei Monaten ist alles sicher überschrieben.“

Nach Paragraf 11 BDSG, also der Vorschrift zur Auftragsdatenverarbeitung, bleibt der Auftraggeber die verantwortliche Stelle, haftet also gegenüber den Betroffenen. Deshalb muss er sicherstellen, dass der Auftragnehmer angemessene Datenschutzstandards einhält. Zudem sollte er den Dienstleister auch verpflichten zu prüfen, ob die Daten, die er an ihn schickt, überhaupt in der Cloud gespeichert werden dürfen. Einige Daten, bei denen eine Übertragung technisch möglich und sinnvoll ist, sind nämlich rechtlich nicht "Cloud-kompatibel". Werden sie dennoch in der Cloud gespeichert und anschließend an Dritte preisgegeben, drohen vertraglich wie datenschutzrechtlich ernste Probleme - etwa Bußgelder und Strafverfahren nach den Paragrafen 43 und 44 BDSG.

Aber trotz aller Absicherung - rechtlich gesehen bleibt der Auftraggeber die verantwortliche Stelle bei der Auftragsdatenverarbeitung. Auch die Presse wird eine Datenpanne meist mit dem Auftraggeber in Verbindung bringen, wodurch ein erheblicher Imageschaden droht.

Jochen Notholt: Gegenüber den eigenen Endkunden und dem Staat - der Jurist spricht hier vom "Außenverhältnis" - bleibt der Cloud-Kunde immer in der Verantwortung. Er steht also nach außen für Fehler des Dienstleisters gerade. In welchem Umfang der Dienstleister dann den Kunden im "Innenverhältnis" entschädigen muss, hängt vom Vertrag zwischen beiden ab. Das ist der zentrale und kritische Aspekt der "Cloud Compliance."

Insolvenz des Cloud-Dienstleisters

Eine dritte Frage von Wolfgang Hinrichs: Meldet der beauftragte Cloud-Dienstleister Insolvenz an, drohen dem Auftraggeber einige Konsequenzen. Welche davon sind juristisch relevant, und wie stellen sie sich dar?

Thomas Jansen: Im schlimmsten Fall droht ein Datenverlust. Der kann zu Betriebsausfällen und zusätzlich zur Haftung gegenüber den eigenen Kunden führen. Dabei ist zu beachten, dass man seine Forderung - zum Beispiel auf Schadensersatzzahlung - an ein insolventes Unternehmen meist nur teilweise erfüllt bekommt. In dieser Situation ist es besonders hilfreich, wenn die Daten nur verschlüsselt vorliegen. Denn in einem solchen Fall ist es durchaus möglich, dass IT-Systeme samt den kundeneigenen ungeschützten Daten veräußert werden oder sonst Dritte unerlaubt Zugriff darauf erlangen.

Jochen Notholt: Das wesentliche Problem ist, dass der Anbieter über seinen Insolvenzverwalter die Möglichkeit hat, Kundenverträge kurzfristig zu kündigen. Diesen Fall des außerplanmäßigen Vertragsendes muss der Kunde in seinen Planungen berücksichtigen. Er sollte sich die Möglichkeit offenhalten, kurzfristig Daten zu exportieren und komplikationslos zu einem anderen Anbieter zu wechseln.

Frage von Bernd Hilgenberg (SHD): Wie kann der Kunde eine vertragliche Garantie auf Ausfallsicherheit bekommen?

Thomas Jansen: Anders als im klassischen IT-Outsourcing sind Cloud-Anbieter nur in Ausnahmefällen bereit, Service-Levels zu garantieren. Aber selbst wenn, sollte man sich nicht blind darauf verlassen. Zu den Grundanforderungen gehört es sicherzustellen, dass der Kunde im Notfall Zugang zu seinen Daten hat oder dass es ein lokales Backup gibt. Der Standardservice in der Public Cloud bietet selten die für Unternehmensanwender wichtigen Service-Levels. Deshalb sollte ein Unternehmen gerade für kritische Applikationen lieber auf die Enterprise Cloud ausweichen, in der es sich von den Anbietern Service-Levels zusichern lassen kann.

Jochen Notholt: Eine Garantie kann es immer nur dergestalt geben, dass der Anbieter die Ausfallsicherheit (Verfügbarkeit) im Vertrag verspricht und die Kunden bei Ausfällen angemessenen Ersatz erhalten. In der Praxis tendieren die Anbieter aber dazu, bei solchen Versprechen zu tricksen und Kompensationen auf Nachlässe bei der Vergütung zu beschränken. Wenn der Anbieter eine Haftung auf Schadensersatz zusagt, hat der Kunde zudem regelmäßig das Problem, Ausfallschäden zu beziffern und zu belegen.

Frage von Bernhard Thomas: Gibt es hinsichtlich der Datenspeicherung in der Cloud einen verlässlichen Kriterien-katalog, mit dem der Auftraggeber die Erfüllung der einschlägigen Regelungen und Gesetze beim Provider abprüfen kann?

Thomas Jansen: Die Fragen sind regelmäßig zu individuell, als dass allgemeine Antworten möglich wären. Es gibt vereinzelt Kriterienkataloge wie den für das Internet-Zeitalter schon "alten" Bitkom-Leitfaden zum Cloud Computing von 2009. Aktueller ist das BSI-Eckpunktepapier "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" vom Februar 2012.