Datenschutz und Cloud Computing – ein Widerspruch?

Der Schutz personenbezogener Daten von Mitarbeitern und Kunden steht nach Ansicht der Nutzer im Zentrum der Bedenken und beherrscht daher auch die Diskussion rechtlicher Aspekte des Cloud Computing. Es entspricht allgemeiner Ansicht unter den IT-Juristen, dass eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG vorliegt, wenn der Datenverarbeiter ein gewisses Maß an Einfluß auf Art und Weise der Datenverarbeitung und Kenntnisnahmemöglichkeit der personenbezogenen Daten des Nutzers hat. Dies ist bei den marktgängigen Cloud-Angeboten stets der Fall.

In diesem Fall ist eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung zwischen Cloud-Nutzer und Cloud-Anbieter abzuschließen, in der konkrete technische und organisatorische Maßnahmen zu vereinbaren sind (§ 9 BDSG). Diese sollen dem Schutzzweck des BDSG dienen, nämlich dem Schutz des Einzelnen vor der Beeinträchtigung seiner Persönlichkeitsrechte.

Der Aufwand der Maßnahmen muß in einem angemessenen Verhältnis zum Schutzzweck stehen. Und genau hier setzt die Unsicherheit ein. Denn welche Sicherheitsmaßnahmen nun angemessen sind, wird vom Gesetzgeber oder Gerichten nicht näher definiert. Deshalb ist in Abhängigkeit vom Risiko im Einzelfall zu überprüfen und festzulegen, welche Maßnahmen dies sind. Eine der Voraussetzungen der zulässigen Auftragsdatenverarbeitung ist, dass der Anbieter nach Weisung handelt und eben nur Hilfsfunktionen im Verhältnis zum Kunden ausüben darf. Deshalb besteht in der Ausgestaltung der Vereinbarung nach § 11 BDSG eine gewisse Herausforderung, da der Anbieter ja gerade Flexibilität bezüglich der Ressourcenallokation benötigt, um die Skaleneffekte des Geschäftsmodells ausnutzen zu können.

Verschlüsselungstechniken sind mittlerweile bei allen marktstarken Anbietern im Einsatz. Die Juristen diskutieren derzeit noch, wie sie rechtlich zu bewerten sind. Die Verschlüsselung von Daten ist jedenfalls als eine Maßnahme nach § 9 BDSG anerkannt, mittels derer man Zugang zu, Zugriff auf und Weitergabe von personenbezogenen Daten kontrollieren kann. Das Verwaltungsgericht Berlin (VG Berlin v. 24.5.2011 - 1 K 133.10 ) hat kürzlich die Investition in eine Verschlüsselungssoftware als im Verhältnis zum Schutzzweck ”überobligatorische” und damit nicht erforderliche Investition angesehen. Es ging hier um die – einvernehmliche – Versendung von unverschlüsselten Lebensläufen von Leiharbeitnehmern über das Internet, das Urteil ist nicht rechtskräftig.

Noch konnte sich keine Mehrheit der juristischen Stimmen dafür finden, das BDSG auf verschlüsselt übertragene und gespeicherte Daten erst gar nicht anzuwenden (dem Argument folgend, dass gar keine personenbezogenen Daten transportiert würden, sondern nur für den Verarbeiter unlesbare Datensätze, weil es auf die subjektive Kenntnisnahmemöglichkeit ankomme). Als eine zukunftsweisende Methode wird zwar die homomorphe Verschlüsselung propagiert, bei der die Daten beim Anbieter zu keinem Zeitpunkt entschlüsselt werden müssen. Ob dieses ressourcenintensive Verfahren aber ausreichend skaliert und damit kurzfristig marktgängig sein wird, wird von Fachleuten kritisch gesehen.

Falls diese Methode sich durchsetzt, aber auch dann, wenn auf dem Stand der Technik arbeitende, aktuell gehaltene herkömmliche Verschlüsselungssoftware lückenlos eingesetzt wird, müssen sich die Juristen, allen voran die Datenschützer, mit der Frage auseinandersetzen, ob es wirklich gerechtfertigt ist, die volle Anwendung des BDSG zu verlangen. Allerdings wäre dazu wohl auch erforderlich, dass die Anbieter damit aufhören, sich in ihren AGB mittels schwammiger Formulierungen vorzubehalten, die Daten zu entschlüsseln und weiterzugeben.

Innerhalb der EU beziehungsweise des Europäische Wirtschaftsraums (EWR) ist die Übertragung personenbezogener Daten datenschutzrechtlich ohne weiteres zulässig, sofern die übrigen Voraussetzungen der Auftragsdatenverarbeitung vorliegen. Im internationalen Bereich können nach dem Safe-Harbour-Abkommen zertifizierte Unternehmen oder Vertragsparteien mittels

Datenschutzvereinbarungen nach dem Vorbild der sogenannten EU-Modell-Verträge eine zulässige Auftragsdatenverarbeitung auch ausserhalb der EU vornehmen. Gleichwertig daneben stehen die Kombination aus Safe Harbor und Verträgen zur Auftragsdatenverarbeitung, Binding Corporate Rules und eine eigene Vertragslösung. Zukünftig kommt möglicherweise noch die Lösung der ”Binding Processor Rules” hinzu. Bei der Übertragung in Drittstaaten sollte vorab eine sorgfältige Analyse des Rechtsrahmens durchgeführt werden.

In Summe sind einige Voraussetzungen zu erfüllen, die aber auch schon zu Zeiten des Outsourcings erfüllbar waren und auch genutzt wurden. Eine unabdingbare Voraussetzung für die rechtliche Gestaltung ist allerdings, dass die Vertragspartner des Cloud-Vertrags päzise Kenntnis darüber haben, welche Arten von Daten wo gespeichert und verarbeitet werden. Vielfach wird darauf hingewiesen, dass es einen unaufgelösten Konflikt zwischen den Anforderungen des ”US Patriot Act” (2001) und denen des europäischen Datenschutzrechts gebe, den primär Anbieter mit Konzernstrukturen und Sitz oder Niederlassungen sowohl in Europa als auch den USA aushalten müssten. Denn deren Unternehmensleitungen würden im Falle des Verdachts terroristischer Straftaten gegebenenfalls.

Aufforderungen zur Datenherausgabe durch das FBI erhalten, denen sie nur folgen könnten, wenn sie ”sehenden Auges” geltendes Datenschutzrecht brechen würden. Unternehmen wie Google und Microsoft haben ihre diesbezügliche Bereitschaft zur Herausgabe im Einklang mit dem geltenden (US-)Recht bereits im Sommer 2011 öffentlich kundgetan. Ob die Furcht vor diesem Konflikt begründet ist und Beschaffungsentscheidungen tatsächlich beeinflussen sollte, wird in Zweifel gezogen. Eine namhafte US-Kanzlei hat nachgewiesen, dass beispielsweise Frankreich sehr viel niedrigere gesetzliche Zugriffshürden auf Daten durch Strafverfolgungsbehörden vorsieht, als dies der US Patriot Act tut. Auch hier spielen also Annahmen über Rechtssituationen eine Rolle, die nicht immer juristisch-fachlich abgesichert sind.

Zahlreiche Cloud-Anbieter haben mittlerweile geographisch dedizierte ”Availability Zones” eingerichtet, die den aus der genannten Datenschutzproblematik EU/USA resultierenden Länderzonungen folgen. Die für eine rechtskonforme Datenverarbeitung in der Cloud erforderlichen Vereinbarungen sind mittlerweile keine ”Geheimwissenschaft” mehr, sie werden üblicherweise von kompetenten (IT-)Juristen beherrscht.

Sicherheit und Compliance: Was ist in der Cloud zu beachten?

Weil zunehmend Geschäftsleiter für Rechtsverstöße in ihren Unternehmen persönlich haftbar gemacht werden, ist die Aufmerksamkeit der Leitungsebene für die Rechtstreue in allen Unternehmensteilen gestiegen. Seit aber auch Mitarbeiter von Abteilungen, die für die Compliance zuständig sind, zur Verantwortung gezogen werden, herrscht zunehmende Verunsicherung und Sorge vor Haftung (vergleiche dazu das teilweise als zu weit gehend kritisierte Urteil des BGH vom 17. Juli 2009, AZ 5 StR 394/08, in dem einem Compliance-Beauftragten die Pflicht zugewiesen wurde, aktiv Rechtsverstöße aus dem Unternehmen heraus zu verhindern).

Hier muß mit Augenmaß, gleichwohl schnell und entschlossen gehandelt werden, wenn tatsächlich Sicherheitslücken für die eigenen Unternehmensinformationen bestehen oder Kundendaten dem unberechtigten Zugriff Dritter anheimfallen könnten. Das deutsche Recht kennt keinen einheitlichen rechtlichen Sicherheitsbegriff. Vielmehr wird (richtigerweise) nach den zu regelnden Materien unterschieden (Beispiel: im Luftverkehrsgesetz, dem Gentechnikgesetz und dem Atomgesetz werden unterschiedliche Sicherheitsbegriffe verwendet). Das BDSG bleibt hier vage.

Die Frage, wieviel Sicherheit bei der Verarbeitung personenbezogener oder anderer Unternehmensdaten erforderlich ist, sollte sich auch beim Cloud Computing primär am Risiko ausrichten. Die Einschätzung eines Risikos folgt zunächst ausschliesslich aus der Relation des zu schützenden Wertobjekts zu dessen Gefährdung und den potentiellen Schäden. Ergänzend können in diese Risikobewertung subjektive, unternehmensspezifische Gewichtungsfaktoren einfliessen, wie ewta der Wunsch, als besonders vertrauenswürdiger Dienstleister zu gelten. Der Gesetzgeber mag bei seinen Setzungen rechtspolitische oder gar standortpolitische Überlegungen einfliessen lassen. Insgesamt wirken die Sicherheitsbegriffe und Risikoanalysen (soweit zum Cloud Computing vorhanden) jedenfalls nicht konsistent.

Im BDSG klafft zwischen dem Schutzzweck (Persönlichkeitsrechte) und den Anforderungen an die Kontrolleffektivität (Schutzmaßnahmen) die Lücke des ”wie”. Aus der EU-Datenschutzrichtlinie ist nur abzuleiten, dass die verlangten Maßnahmen dem ”Stand der Technik” zu entsprechen haben, was das technisch Mögliche umfasst. Dies geht mithin weiter als das, was gängig und der Mehrzahl der Fachleute bekannt und von diesen anerkannt ist (”anerkannte Regeln der Technik”). Leider behandelt das BDSG diese Frage losgelöst vom so definierten Risiko, denn es bestimmt die Erforderlichkeit der Schutzmaßnahmen nach einer Kosten-Nutzen-Relation im Verhältnis zum Schutzzweck (Schutz des Einzelnen vor Beeinträchtigungen seiner Persönlichkeitsrechte). Es geht jedoch nicht konkret auf das tatsächliche Risiko für das Schutzgut ein, also ob zum Beispiel ein Datenverlust einer Adresse, die auch aus einem öffentlich zugänglichen Verzeichnis stammt, vorliegt oder ein Verlust von Kreditkartendaten oder gar einer elektronischen Krankenakte. Bei Gesundheitsdaten bestehen übrigens besondere rechtliche Anforderungen.

Festzuhalten bleibt, dass auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der sogenannte Düsseldorfer Kreis (informelle Vereinigung der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich) in ihren Empfehlungen dazu tendieren, im Zweifel höhere Schutzmaßnahmen und Prüfpflichten der Unternehmen anzunehmen. Sie treten also für ein differenziertes, nach Risiken abgestuftes Schutzsystem ein. Das ist rollenadäquat, sollte aber weder Nutzer noch Anbieter dazu zwingen, kategorisch immer nur höchste Sicherheitsmaßnahmen anzubieten oder zu fordern.

Zertifizierungen sind ein Resultat der verbreiteten Sicherheitsbedenken. Diese Zertifizierungen sind weithin an die Stelle ausgehandelter Sicherheits- und Vertraulichkeitsregelungen getreten. Die Vertragswerke nehmen meist, jedoch nicht immer auf diese Zertifizierungen Bezug, sodass im Einzelfall sorgfältig geprüft werden muß, welchen Aussagen- und rechtlichen Stellenwert diese in der Vertragsbeziehung haben. Datenschutzrechtlich kann es ausreichen, die eigene Prüfung durch zuverlässige, bezüglich des Datenschutzkonzeptes präzise Zertifikate zu ersetzen. Ein Standard hat sich hier noch nicht etabliert, sodass stets eine eigene Einschätzung der CIOs oder Geschäftsleiter erfolgen sollte und bei Zweifeln oder besonders sensiblen Daten eigene Überprüfungen vorzunehmen sind.