Standards und Zertifikate für die Cloud

Neue Technik trifft auf alte Gesetze

09.10.2012
Von Markus  Vehlow und Dr. Jan-Peter  Ohrtmann
Standards und Zertifikate können helfen, juristische und organisatorische Fallstricke beim Cloud Computing zu meistern.
Foto: Ye Liew, Fotolia.de

Unternehmen verarbeiten Informationen mit Hilfe komplexer IT-Systeme. Dabei müssen sie Anforderungen des Datenschutzes, der Datensicherheit, der ordnungsgemäßen Geschäftsführung sowie die eigene Compliance beachten. Mit Cloud Computing trifft eine neue Technik auf alte Gesetze. Das kann zu Problemen führen, da einige Vorschriften diesen technischen Wandel nicht adäquat abbilden. Die Folgen sind Rechtsunsicherheit und Compliance-Verstöße. Cloud Computing stellt die Unternehmen bei den internen oder externen Anforderungen oft vor große Hürden. Diese lassen sich jedoch in der Regel meistern. Helfen können dabei Zertifikate und Standards.

Datenschutz und Cloud Computing

Beim Einsatz von Cloud Computing im Unternehmen kann es sein, dass so genannte personenbezogene Daten (beispielsweise Name, Geburtsdaten, Anschriften) an den Cloud-Provider weitergegeben werden. In diesem Fall unterliegen die Unternehmen insbesondere den Vorschriften des Bundesdatenschutzgesetzes (BDSG). Daneben sind aber auch die Regelungen des Telemediengesetzes, der einzelnen Landesdatenschutzgesetze, des Strafgesetzbuches oder des Sozialgesetzbuches zu berücksichtigen.

Das BDSG gestattet eine solche Weitergabe an Dritte nur, wenn der Betroffene eingewilligt hat oder dies durch Gesetz erlaubt ist. Zulässig ist eine Weitergabe immer im Fall der so genannten Auftragsdatenverarbeitung. Dabei ist der Cloud Provider der "verlängerte Arm" des Unternehmens. Der Vorteil ist, dass keine individuelle Interessenabwägung stattfinden muss und die Probleme der Einwilligung, zum Beispiel im Arbeitsverhältnis, umgangen werden können.

Dabei bleibt das Unternehmen - und nicht der Cloud Provider- für die Einhaltung des Datenschutzes verantwortlich. Es muss rechtzeitig und umfassend für die rechtskonforme Ausgestaltung der Verträge mit dem Cloud Provider sorgen, wobei unter anderem Kontroll- und Weisungsbefugnisse, die Maßnahmen zur Datensicherheit und die Löschung der Daten vereinbart werden sollten. In der Praxis zeigt sich jedoch, dass diese Anforderungen, insbesondere in der Diskussion mit Cloud-Providern aus dem nicht-europäischen Ausland, nicht immer ohne weiteres umzusetzen sind. In diesem Fall muss gegebenenfalls auf eine gesetzliche Erlaubnis oder die Einwilligung des Betroffenen zurückgegriffen werden.

Ein besonderer rechtlicher Aspekt besteht darin, dass die großen Cloud Provider ihre Dienstleistungen über ihre weltweite Infrastruktur bereitstellen, so dass es zu länderübergreifenden Datenübermittlungen kommt. Das Unternehmen kann dann in der Regel nicht nachvollziehen, wo der Server steht, auf dem die personenbezogenen Daten liegen. Dabei stehen die Unternehmen vor der Herausforderung, für Transparenz der Datenverarbeitung sorgen zu müssen. Gleichzeitig muss ein angemessenes Datenschutzniveau sichergestellt werden.

Vor allem beim Datenaustausch mit den Nicht-EU-Staaten ist auf die Herstellung eines angemessenen Datenschutzniveaus zu achten, welches mit dem in der EU üblichen vergleichbar sein muss. Hierfür kann zum Beispiel bei Übermittlungen in die USA auf die "Safe Harbor" Vereinbarung zwischen den USA und der EU oder die EU-Standardvertragsklauseln zurückgegriffen werden. Problematisch ist in der Praxis allerdings, dass die Aufsichtsbehörden die Angemessenheit aufgrund des "US-Patriot-Act" in Frage gestellt haben.

Diese Vorschrift erlaubt US-amerikanischen Behörden den Zugriff auf (Kunden-)Datenbestände in international agierenden US-amerikanischen Konzernen. Für Cloud Provider, die ausschließlich in der EU oder dem Europäischen Wirtschaftsraum tätig werden, ergeben sich gegenüber dem nationalen Datenschutzrecht insoweit keine Besonderheiten, da in diesen Ländern infolge der EU-Datenschutzrichtlinie 95/46/EG ein harmonisiertes Datenschutzniveau gilt.

Zur Bewertung der Datenschutzkonformität könnten sich Unternehmen bei der Providerauswahl zum Beispiel am "EuroPriSe"-Siegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) orientieren. Das Siegel bestätigt die Übereinstimmung mit geltendem europäischem Datenschutzrecht. In der Praxis ist dieses Zertifikat jedoch noch zu wenig verbreitet.

Datensicherheit in der Cloud – welche Standards helfen?

Unabhängig von den Vorschriften zu angemessenen technischen und organisatorischen Maßnahmen zum Datenschutz muss der Vorstand oder die Geschäftsführung einer Aktiengesellschaft oder einer GmbH ein Informations Sicherheits Management System (ISMS) einrichten, das Vorgaben zur Einhaltung der Informationssicherheit im Unternehmen enthält. Das Unternehmen haftet schließlich gegenüber Dritten auch für Schäden, die durch die ausgelagerte IT verursacht wurden.

Geschäftsführer und Vorstandsmitglieder können hier unter gewissen Voraussetzungen persönlich haften; bei Sorgfaltspflichtverletzungen unter Umständen auch gegenüber dem eigenen Unternehmen. Als zentrale Ziele der Datensicherheit gelten Vertraulichkeit, Integrität und Verfügbarkeit. Durch Cloud Computing hat sich an den Zielen nichts geändert, doch mit Zugriffsmöglichkeiten über das Internet oder dem Einsatz dynamischer Technologien wie Multi Tenancy und Virtualisierung, sind die Daten einem höheren Gefährdungspotenzial ausgesetzt.


Ein anerkannter und auch unter Cloud Providern verbreiteter Standard für den Aufbau eines ISMS sind die Normen der ISO/IEC 27000-Serie und darauf aufbauende nationale Handlungsempfehlungen, wie die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). In der ISO-Serie, veröffentlicht im Jahr 2005, sind Besonderheiten von Cloud Computing jedoch noch nicht umfassend berücksichtigt.

So finden sich darin keine Anforderungen zum sicheren Management einer virtuellen Infrastruktur. Solange sich eine entsprechende Erweiterung der Norm in Entwicklung befindet (ISO/IEC 27017), sollten Unternehmen daher für die Provider-Auswahl auf Cloud-spezifische Standards und Leitfäden zurückgreifen. Einen Fragenkatalog und entsprechende Anforderungen liefern etwa das "Cloud Computing Information Assurance Framework" der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), das Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" des BSI oder die "Security Guidance for Critical Areas of Focus in Cloud Computing" der Cloud Security Alliance (CSA).