Datenschutz in China, Indien und USA
Finger weg von der Cloud im Ausland
USA - Problemfall Patriot Act
Neuen Zündstoff erhielt die Diskussion um den Zugriff staatlicher Behörden durch die Verlautbarung von GoogleGoogle und MicrosoftMicrosoft im Sommer 2011, dass sie unter Umständen verpflichtet seien, auch die in europäischen Rechenzentren gespeicherten Daten gegebenenfalls an US-Behörden weiterzugeben. Auf den Internetseiten von Microsoft heißt es dazu: "Unter bestimmten Umständen kann Microsoft Daten ohne Ihre vorherige Zustimmung weitergeben". Alles zu Google auf CIO.de Alles zu Microsoft auf CIO.de
Diese Weitergabepflicht kann sich unter anderem aus dem so genannten Patriot Act ergeben, der nach den Terroranschlägen in September 2001 geschaffen wurde, um die Eingriffsbefugnisse der amerikanischen Sicherheitsbehörden zu erweitern. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden.
Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, sollen - so das US-Gesetz - auch die Tochterunternehmen die Verpflichtungen aus dem Patriot Act treffen. Nach Ermittlungen des Unabhängigen Landeszentrums für DatenschutzDatenschutz Schleswig-Holstein (ULD) treffe diese Verpflichtung Unternehmen selbst dann zu, wenn noch nicht einmal die Konzernmutter ihren Sitz in den USA hat, sondern überhaupt eine irgendwie geartete Konzernverbindung in die USA besteht. Alles zu Datenschutz auf CIO.de
- Was taugen Cloud-Zertifikate?
Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a> - Das EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen. - Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter. - In Europa weniger genutzt: SAS 70 vom AICPA
Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist. - Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben. - Der Patriot Act und der Cybersecurity Act
Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>
US-behördliche Zugriffsrechte auf europäische Daten ergeben sich darüber hinaus auch aus anderen Gesetzen, etwa dann, wenn es um Steuerermittlungen oder Wirtschaftskriminalität geht. So ermöglicht zum Beispiel auch der so genannte Foreign Intelligence Surveillance Act den Zugriff des Generalstaatsanwaltes und des Direktors der nationalen Geheimdienste auf Nicht-US-Daten, sofern sie die Sicherheit der USA gefährdet sehen. Aber auch außerhalb von Behörden kann sich die Frage der Herausgabe von Emails und Dateien stellen, so etwa bei einer E-Discovery.
Dies zeigt, dass Anwendern von Cloud-Lösungen mit US-Bezug nicht garantiert werden kann, dass die strengen deutschen beziehungsweise europäischen Datenschutzgrundsätze (hier: Vertraulichkeit der Daten und grundsätzliches Übermittlungsverbot in unsichere Drittstaaten) von den Cloud-Dienstleistern eingehalten werden können. Cloud-Anbieter mit gesellschaftsrechtlichen Verbindungen in die USA befinden sich also in einer Zwickmühle: entweder sie verstoßen gegen US-Recht oder gegen das Datenschutzrecht ihrer Cloud-Kunden und damit gegen vertragliche Obliegenheiten.