Finger weg von der Cloud im Ausland

Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Kann ich überhaupt meinen Pflichten als in datenschutzrechtlicher Hinsicht verantwortliche Stelle in vollem Umfang nachkommen? Diese Fragen stellen sich vor allem diejenigen Unternehmen, die ihre Daten schon in die Cloud verschoben haben oder dies beabsichtigen. Dies gilt insbesondere, nachdem im Sommer 2011 nun auch "offiziell" bekannt wurde, dass beispielsweise US-Behörden nach dem so genannten Patriot Act auf Cloud-Daten europäischer Unternehmen zugreifen können.

Datenschutzrechtlicher Hintergrund

"Anwender dürfen Cloud-Services nur dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutzanforderungen und Informationssicherheitsanforderungen geprüft haben. Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung", lautet die offizielle Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, die am 28. und 29. September 2011 in München stattfand.

Tipps zur datenschutzrechtlichen Vorsorge
Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Fünf Tipps für mehr Sicherheit beim Cloud Computing.

Tipp 1:
Nutzen Sie nur europäische Clouds, um Konflikte mit dem hiesigen Datenschutz zu vermeiden

Tipp 2:
Bei internationalen Cloud-Modellen mit Bezug zu unsicheren Drittstaaten müssen ausreichende Garantien des Cloud-Dienstleisters eingefordert werden.

Tipp 3:
Machen Sie gegebenenfalls von dem Ihnen möglicherweise zustehenden Sonderkündigungsrecht Gebrauch. Als erste Orientierungshilfe gibt es dazu es ein Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ULD, vom 15. November 2011

Tipp 4:
Prüfen Sie bevor sie sich für einen Cloud-Dienstleisters entscheiden dessen Beteiligungsverhältnisse in möglicherweise unsichere Drittstaaten.

Tipp 5:
Gestalten Sie Ihre Verträge mit den Cloud-Anbietern auch in datenschutzrechtlicher Hinsicht rechtssicher, indem Sie (neben den Mindestanforderungen aus Paragraf 11 BDSG) auch den Speicher- und Verarbeitungsort Ihrer Daten genau festlegen und Übermittlungsverbote Ihrer Daten in unsichere Drittstaaten vereinbaren und mit Vertragsstrafen verbinden.

Diese von den Datenschützern postulierten Anforderungen sind allerdings insbesondere dann nicht mehr einzuhalten, wenn sich Anwender für Cloud-Angebote mit internationalen Verflechtungen entscheiden, weil sie sich dann unversehens ausländischen Rechtsordnungen gegenüber sehen. Damit kann etwa die Situation entstehen, dass der Cloud-Provider ausländischen Behörden Zugriffsrechte einräumen oder Daten in unsichere Drittstaaten übermitteln muss (Übermittlungsobliegenheit).

Unsichere Drittstatten sind datenschutzrechtlich die Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR; das sind die EU-Länder plus Norwegen, Island und Liechtenstein), bei denen laut EU-Kommission kein angemessenes Datenschutzniveau herrscht.

USA - Problemfall Patriot Act

Neuen Zündstoff erhielt die Diskussion um den Zugriff staatlicher Behörden durch die Verlautbarung von Google und Microsoft im Sommer 2011, dass sie unter Umständen verpflichtet seien, auch die in europäischen Rechenzentren gespeicherten Daten gegebenenfalls an US-Behörden weiterzugeben. Auf den Internetseiten von Microsoft heißt es dazu: "Unter bestimmten Umständen kann Microsoft Daten ohne Ihre vorherige Zustimmung weitergeben".

Diese Weitergabepflicht kann sich unter anderem aus dem so genannten Patriot Act ergeben, der nach den Terroranschlägen in September 2001 geschaffen wurde, um die Eingriffsbefugnisse der amerikanischen Sicherheitsbehörden zu erweitern. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden.

Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, sollen - so das US-Gesetz - auch die Tochterunternehmen die Verpflichtungen aus dem Patriot Act treffen. Nach Ermittlungen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) treffe diese Verpflichtung Unternehmen selbst dann zu, wenn noch nicht einmal die Konzernmutter ihren Sitz in den USA hat, sondern überhaupt eine irgendwie geartete Konzernverbindung in die USA besteht.

Was taugen Cloud-Zertifikate?
Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>

Das EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen.

Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.

In Europa weniger genutzt: SAS 70 vom AICPA
Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist.

Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben.

Der Patriot Act und der Cybersecurity Act
Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>

US-behördliche Zugriffsrechte auf europäische Daten ergeben sich darüber hinaus auch aus anderen Gesetzen, etwa dann, wenn es um Steuerermittlungen oder Wirtschaftskriminalität geht. So ermöglicht zum Beispiel auch der so genannte Foreign Intelligence Surveillance Act den Zugriff des Generalstaatsanwaltes und des Direktors der nationalen Geheimdienste auf Nicht-US-Daten, sofern sie die Sicherheit der USA gefährdet sehen. Aber auch außerhalb von Behörden kann sich die Frage der Herausgabe von Emails und Dateien stellen, so etwa bei einer E-Discovery.

Dies zeigt, dass Anwendern von Cloud-Lösungen mit US-Bezug nicht garantiert werden kann, dass die strengen deutschen beziehungsweise europäischen Datenschutzgrundsätze (hier: Vertraulichkeit der Daten und grundsätzliches Übermittlungsverbot in unsichere Drittstaaten) von den Cloud-Dienstleistern eingehalten werden können. Cloud-Anbieter mit gesellschaftsrechtlichen Verbindungen in die USA befinden sich also in einer Zwickmühle: entweder sie verstoßen gegen US-Recht oder gegen das Datenschutzrecht ihrer Cloud-Kunden und damit gegen vertragliche Obliegenheiten.

China - Schutz nur in der Sonderzone

Auch bei der Auswahl von Cloud-Dienstleistern, die ihren Sitz in anderen unsicheren Drittländern haben, besteht die Gefahr, dass auf europäische Daten, vorrangig durch Behörden der inneren Sicherheit wie Polizei, Geheimdienste und Finanzbehörden Zugriff genommen wird. Dabei gilt der Grundsatz, je niedriger das Datenschutzniveau dieser Länder selbst ist, desto größer ist die Gefahr behördlicher Zugriffe und damit auch der etwaigen Gefährdung der Betroffeneninteressen. Dies gilt umso mehr für diktatorische Länder, die ihre Einwohner umfangreich überwachen.

Es liegt auf der Hand, dass dort gespeicherte beziehungsweise zu verarbeitende Daten nicht vertraulich bleiben. Gesetzliche Regelungen in Ländern außerhalb der EU und EWR gehen vielmehr auch nach Ansicht des ULD teilweise so weit, dass Cloud-Anbieter unter Androhung rechtlicher Sanktionen verpflichtet werden, "Schutzvorkehrungen gegen unberechtigten Zugriff entweder völlig zu unterlassen oder auf behördliche Aufforderung aufzuheben".

Die Gefahr, dass sogar auf in europäischen Rechenzentren gespeicherte Daten Zugriff genommen wird (Verarbeitungsort), ist daher nicht auszuschließen. Mangelnde Informationspolitik und Intransparenz dieser Länder tragen zusätzlich dazu bei, dass Cloud-Anbieter aus diesen Ländern als in datenschutzrechtlicher Hinsicht "insecure" eingestuft werden.

Gute Hinweise darauf, wie es um den Datenschutz in den Ländern bestellt ist, liefert ein Blick länderspezifischer Ereignisse der vergangenen Jahre. Sie unterstreichen die unbedingte Notwendigkeit hiesiger Unternehmen, bei der Inanspruchnahme internationaler Cloud-Lösungen Vorsicht walten zu lassen.

So machte beispielsweise China Mitte des letzten Jahres auf sich aufmerksam, als die Stadtverwaltung in Chongqing ankündigte, eine filterfreie "Sonderzone" für Cloud-Dienste (Rechenzentren) anzubieten. Diese Sonderzone soll sich über rund zehn Quadratkilometer erstrecken und das einzige Gebiet in China sein, das durch Glasfaserkabel direkt und ungefiltert mit dem Internet im Ausland verbunden ist. Dabei sollen jedoch lediglich ausländische Unternehmen in den überwachungsfreien, zensurfreien Genuss kommen. China will dadurch auch im Cloud Computing international wettbewerbsfähig sein.

Indien - nahezu ohne Datenschutz

Da Indien faktisch keinen gesetzlichen Datenschutz hat (der einzige Versuch zur Schaffung eines Gesetzes auf Privatheit scheiterte 2006 im Oberhaus), ist auch die indische Cloud als besonders heikel einzustufen. Die Überwachungsmethoden haben sich insbesondere nach dem Terrorangriff in Bombay in 2009 noch deutlich verschärft (hier benutzten die Attentäter Blackberrys als anonymes Kommunikationsmittel).

So versuchte Anfang 2011 die indische Regierung nach vorangegangenen gescheiterten Versuchen erneut, uneingeschränkten Zugriff zu den indischen Blackberry-Kundendaten zu bekommen und droht offenbar seitdem dem kanadischen Blackberry-Hersteller RIM mit der Abstellung der E-Mail- und Messenger-Dienstleistungen. RIM hatte sich diesbezüglich bisher verweigert und angeboten, technische Lösungen zu entwickeln. Die indische Hackergruppe "Lords of Dharmaraja" hat nun zu Jahresanfang ein Dokument veröffentlicht ("Taktisches Netzwerk für Handy-Überwachung"), aus dem hervorgehen soll, dass führende Software-Anbieter dem indischen Staat Abhörschnittstellen bereitstellen.

Genannt werden unter anderem RIM, Apple und Nokia. Sie sollen zugunsten des indischen TANCS-Programms (Tactical Network for Cellular Surveillance) und CBI (Central Bureau of Investigation) Vereinbarungen unterzeichnet haben sollen, um das Abhören von Mobilfunk- und Datenverkehr in Indien zu ermöglichen. Im Gegenzug soll den Softwareherstellern der Zugang zum indischen Markt gewährt worden sein.

Die Software-Hersteller wehren sich gegen die unterstellte Beteiligung am "indischen Lauschangriff". Die Hacker-Community in Indien droht nun mit weiteren Veröffentlichungen. Die Echtheit des veröffentlichten Dokuments und der darin enthaltenen Informationen ist derzeit noch nicht bewiesen.

Finger weg von unsicheren Drittstaaten

Umfassende Zugriffe auf mobile Daten sollen darüber hinaus auch (wenn man diesen Quellen vertrauen darf) auch in Länder wie zum Beispiel China, Bahrain, Pakistan, Libanon, die Vereinigten Arabischen und Saudi Arabien, Emirate, der Libanon, Algerien und in Indonesien möglich sein. Beispielhaft für Zensur- und Abhörmethoden in unsicheren Staaten sei hier der Iran genannt. Die staatlichen Behörden erweitern insbesondere ständig ihre Internet-Kontroll- und Filtersysteme, um eine umfassende Kontrolle über das Internet zu gelangen.

Auch wenn dieses ausgeklügelte Filtersystem vorrangig der Kontrolle von Meinungsäußerungen dient, ist nicht auszuschließen, dass über dieses Installationen auch Zugriffe auf fremde, ausländische Daten stattfinden, die in den Clouds iranischer Anbieter verarbeitet werden.

Die Beispiele zeigen, dass bei Cloud-Anbietern mit Sitz in unsicheren Drittstaaten aus datenschutzrechtlicher Sicht Vorsicht geboten ist. Die Unternehmen können die Vertraulichkeit und Integrität der anvertrauten personenbezogenen Daten aufgrund der oben geschilderten Hintergründe nicht rechtssicher gewährleisten. Auch die beispielsweise durch den Patriot Act veranlasste Datenweitergabe aus dem Gebiet der EU und dem EWR hinaus in ein unsicheres Drittland stellt in der Regel einen Verstoß gegen deutsches und europäisches Datenschutzrecht dar.

Was tun? Tipps zur datenschutzrechtlichen Vorsorge

• Nutzen Sie nur europäische Clouds, um Konflikte mit dem hiesigen Datenschutz zu vermeiden.

• Bei internationalen Cloud-Modellen mit Bezug zu unsicheren Drittstaaten müssen ausreichende Garantien des Cloud-Dienstleisters eingefordert werden.

• Machen Sie gegebenenfalls von dem Ihnen möglicherweise zustehenden Sonderkündigungsrecht Gebrauch. Als erste Orientierungshilfe gibt es dazu es ein Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ULD, vom 15. November 2011.

• Prüfen Sie bevor sie sich für einen Cloud-Dienstleisters entscheiden dessen Beteiligungsverhältnisse in möglicherweise unsichere Drittstaaten.

• Gestalten Sie Ihre Verträge mit den Cloud-Anbietern auch in datenschutzrechtlicher Hinsicht rechtssicher, indem Sie (neben den Mindestanforderungen aus Paragraf 11 BDSG) auch den Speicher- und Verarbeitungsort Ihrer Daten genau festlegen und Übermittlungsverbote Ihrer Daten in unsichere Drittstaaten vereinbaren und mit Vertragsstrafen verbinden. (Computerwoche)