CW: Herr Professor Bräutigam, auf einer Veranstaltung zum Thema Cloud Computing haben Sie Ihren Vortrag kürzlich unter das Motto "Cloud Computing - aber sicher!" gestellt. Wie ist das zu verstehen - sehen Sie Cloud Computing schon als selbstverständlich sicher an?
Foto: Finanz Informatik Technologie Service
Bräutigam: Cloud Computing muss in jeder Hinsicht sicher realisiert werden - rechtssicher und datentechnisch sicher. Das müssen Nutzer beachten. Doch diese Sicherheitsanforderungen lassen sich mit den heutigen Cloud-Technologien und -Produkten durchaus erfüllen, insofern ist Cloud Computing vielleicht heute noch keine Selbstverständlichkeit, aber aus meiner Sicht auf dem besten Wege, eine zu werden.
Ich kann natürlich nicht über die Gesamtheit aller am Markt verfügbaren Angebote sprechen. Aber bei einem Anbieter wie zum Beispiel Microsoft kann ich auf Basis der mir vorliegenden Informationen sagen, dass die datenschutzrechtlichen Anforderungen an Cloud-Dienste etwa bei Office 365 erfüllt werden.
CW: Welches sind denn nach Ihrer Einschätzung die größten Risiken für Unternehmen, die IT-Services aus der Cloud nutzen?
Bräutigam: Das erste und wichtigste Risiko ist für viele Anwender der gefühlte Kontrollverlust aufgrund der Tatsache, dass die Daten räumlich nicht im Unternehmen lagern. Deshalb ist Transparenz so wichtig bei Cloud-Angeboten. Zum Beispiel beim ServerStandort: Die Verantwortlichen wollen wissen, wo ihre Daten liegen. Aber wenn man sich einmal einen ganz rationalen Blick auf die Fakten gestattet, wird man in vielen Fällen erkennen, dass ein Handelsunternehmen, ein Maschinenbauer oder ein Dienstleistungsunternehmen, in dem die IT kein Kernprozess ist, viel weniger in der Lage ist, seine IT im erforderlichen Maße abzusichern, als ein Rechenzentrumsbetreiber, dessen gesamtes Geschäftsmodell auf dem sicheren IT-Betrieb fußt.
Dabei geht es um eine Vielzahl von physischen und logischen Schutzmaßnahmen wie zum Beispiel die Lage und Beschaffenheit des Gebäudes, die Sicherung des Zugangs mit mehrstufigen Sicherungssystemen, spezielle Klimatisierungssysteme, Spiegelung des kompletten Datenbestandes an einem geografisch getrennten Ort, Verschlüsselung der Daten und Zugriffskontrollen auf allen Ebenen. Wer sich einmal mit der Komplexität dieser Systeme befasst hat, wird schnell erkennen, dass ein Spezialist mit IT als Kerngeschäft rein technisch ein höheres Sicherheitsniveau liefern kann als ein durchschnittliches Anwenderunternehmen.
CW: Liegt es demnach an einer zu nachlässigen Behandlung des Themas Sicherheit, wenn Sicherheitsbedenken als Argument gegen Cloud Computing verwendet werden?
Bräutigam: Ich weiß nicht, ob man von Nachlässigkeit sprechen kann. Das hat viel mit Emotionen zu tun, für die ich durchaus Verständnis habe. Aber aufgrund meiner Erfahrung kann ich nur jedem empfehlen, das Thema so sachlich wie möglich anzugehen. Dabei hilft es vielleicht, sich einmal die juris-tische Sicht des Ganzen bewusst zu machen. Die besagt: Wenn die Sicherheit eines Rechenzentrums und der dortigen Prozesse technisch auf aktuellem Stand gewährleistet ist, ist damit auch eine wichtige Anforderung des Datenschutzrechts gewahrt.
CW: Sie sagten "ein Rechenzentrum" - allerdings ist das Phänomen Cloud ja nicht auf ein bestimmtes Rechenzentrum beschränkt. Was folgt daraus für die Sachlage aus juristischer Sicht?
Bräutigam: In der Praxis haben Cloud-Anbieter mehrere global verteilte Rechenzentren. Damit kommt das Thema Internationalität ins Spiel. Ein wichtiger Aspekt sind hier die unterschiedlichen Rechtsräume im Datenschutz, mit denen wir es zu tun bekommen - insbesondere wenn der Server-Standort und der Unternehmenssitz des Anbieters außerhalb Deutschlands oder außerhalb der EU liegen.
CW: Um diesen Punkt gab es ja in den vergangenen Monaten einige Auseinandersetzungen. Wie wichtig ist der geografische Standort des Rechenzentrums denn?
Bräutigam: Zunächst würde ich jedem Anwender empfehlen, Angebote von Cloud-Dienstleistern immer darauf zu prüfen, wo die Daten gespeichert werden. Diese Transparenz ist eine Grundvoraussetzung. Im nächsten Schritt muss der Cloud-Service-Nehmer dann für sich entscheiden, ob er damit einverstanden ist, wenn seine Daten beispielsweise innerhalb oder außerhalb der EU, etwa in den USA, gespeichert werden. Bei der Beurteilung dieser Frage geht es vor allem um datenschutzrechtliche Aspekte. Zunächst steht fest: Ein Standort innerhalb der EU ist rechtlich unproblematisch, da hier prinzipiell ein im Wesentlichen gleiches Datenschutzniveau gilt.
Dies bedeutet konkret: Alle Daten, die ein deutsches Unternehmen verarbeiten darf, kann es bei Einhaltung der gebotenen vertraglichen Regelungen in allen Ländern der EU speichern und verarbeiten lassen. Dabei bleibt das Unternehmen Herr der Daten, die dem Cloud-Anbieter zur Verarbeitung auf Weisung überlassen werden. Dieser Vorgang fällt unter den Terminus Auftragsdatenverarbeitung und muss durch Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung vertraglich geregelt werden
CW: Und wie sieht das in der Praxis aus? Die Unternehmen sind ja unter anderem zur Kontrolle der Einhaltung der getroffenen Vereinbarung verpflichtet. Wie kann das funktionieren, zumal Datenschutz ja in Deutschland auf Bundes- und Landesbehörden verteilt ist, die in Einzelfällen immer wieder uneinheitlich entscheiden?
Bräutigam: Seit Ende September 2011 gibt es die Orientierungshilfe "Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder". Diese die Verwaltungspraxis vereinheitlichende Übereinkunft bietet praktische Hinweise.
Einige Stichworte sind Transparenz, Zertifikate, eindeutige vertragliche Regelungen und hinreichend abgestimmte Sicherheitsmaßnahmen. Die Empfehlung zu Zertifikaten beinhaltet, dass die Anbieter sich von unabhängigen Experten zertifizieren lassen sollten, die beispielsweise die Sicherheitsstandards zu Infrastruktur und Informationssicherheit prüfen und bestätigen. Ein solches Zertifikat, das in regelmäßigen Abständen neu ausgestellt werden sollte, erspart dem einzelnen Kunden die eigene Prüfung vor Ort im Rechenzentrum, zu der ihm in vielen Fällen das notwendige Know-how nicht zur Verfügung stehen dürfte.
Ähnlich ist es übrigens beim Thema Weisungsgebundenheit: Es ist praktisch nicht möglich, den Anbieter häufigen Änderungswünschen seiner zahlreichen Cloud-Kunden im Hinblick auf das Sicherheitskonzept auszusetzen. Die Weisungsgebundenheit kann daher so verwirklicht werden, dass im Vertrag die Sicherheits-Features vereinbart werden, die dann für die Laufzeit des Vertrages gelten.
Datenschutz und Sicherheit in der EU
CW: Und wie sieht es außerhalb der EU-Staaten aus?
Bräutigam: Auch diesem Thema haben sich die Behörden gestellt. Hier gelten grundsätzlich die gleichen Bestimmungen, sofern der Cloud-Dienstleister unabhängig vom jeweiligen Landesrecht die Bedingungen des europäischen Datenschutzrechts erfüllt. Umsetzen kann man das mit den sogenannten EU-Standardvertragsklauseln. Dabei kommen im Cloud-Dienstleistungsvertrag Standardklauseln zum Einsatz, die zu diesem Zweck von der Europäischen Kommission auf ihrer Website bereitgestellt werden.
Wenn ein außereuropäischer Dienste-Anbieter diese Klauseln in seinem Vertrag hat, unterwirft er sich damit den europäischen Datenschutzbestimmungen. Im Übrigen lässt sich dieses Verfahren auch auf Subunternehmer des Cloud-Anbieters ausdehnen, entsprechende Standardklauseln der EU stehen ebenfalls zur Verfügung. Eine zweite Möglichkeit zur Umsetzung ist die Zertifizierung nach dem Safe-Harbour-Abkommen zwischen der EU und den USA. Auch hierbei wird zugesichert, die europäischen Datenschutzbestimmungen einzuhalten.
CW: Gelten diese Regelungen für alle Branchen?
Bräutigam: Grundsätzlich sind die EU-Standardverträge anwendbar auf alle Unternehmen. Für bestimmte Branchen sind allerdings Regelungen zu beachten, wonach Daten aus strafrechtlichen Gründen nicht ausgelagert werden dürfen. Dies sind zum Beispiel insbesondere Ärzte, Krankenhäuser, Anwälte, Lebens- und Krankenversicherungen, die das Mandats- beziehungsweise Arztgeheimnis beachten müssen. Aber der Deutsche Anwaltverein hat nun eine Gesetzesänderung vorgeschlagen. Sie sieht vor, dass die Strafbarkeit dieser Berufsgruppen im Falle einer Datenweitergabe auf deren unabhängige Dienstleister ausgeweitet wird. Auch wenn dieser Ansatz derzeit noch diskutiert wird, ist diese Initiative, die bei einem Symposium in Berlin Ende März auch die Aufmerksamkeit der Bundesjustizministerin auf sich gezogen hat, sehr zu begrüßen.
CW: Welche Rolle spielt aus Ihrer Sicht der Patriot Act für die Beurteilung US-amerikanischer Cloud-Anbieter?
Bräutigam: Ich halte die Diskussion um dieses Thema für übertrieben und einseitig. Dass staatliche Behörden oder Geheimdienste in begründeten Ausnahmefällen auf Daten zugreifen, die eigentlich gegen Zugriff geschützt sind, ist eine weltweit geübte Praxis - übrigens auch in Deutschland. Dieses Vorgehen ist weder national noch auf bestimmte Branchen begrenzt. Juristisch betrachtet, gibt es keinen Grund, diese Tatsache gegen Cloud Computing allgemein oder eine bestimmte Gruppe von Anbietern einzuwenden. Zu bedenken ist weiter, dass die großen Cloud-Anbieter alle international vernetzt arbeiten, so dass ein US-Geheimdienst im Einzelfall möglicherweise über eine Konzerngesellschaft in den USA auch Zugriff auf die Daten eines deutschen Anbieters erhalten könnte.
CW: Was muss ein Unternehmen tun, wenn es Cloud Computing sicher nutzen möchte?
Bräutigam: Das A und O beim Cloud Computing sind die Transparenz, die Sicherheit und der Vertrag. Hinsichtlich der technischen Sicherheit kann der Kunde sich auf die Zertifikate unabhängiger Institutionen verlassen, sollte sich aber natürlich davon überzeugen, was genau geprüft und bestätigt wurde sowie dass die Zertifikate aktuell sind und sich auf die von ihm genutzten Ressourcen und Leistungen beziehen. Weitere Themen wie Volumenzusagen, Verfügbarkeit der genutzten Ressourcen, Qualität und Ausfallsicherheit der Dienste sowie Backup und Recovery bis hin zu Häufigkeit und Dauer von wartungsbedingten Downtimes sind in den Service-Level-Agreements genau festzulegen. Und ein gutes Angebot erkennt der Kunde immer an klaren Angaben zu diesen Punkten.