Cloud – Rechtliche Anforderungen im Jahre "Null" nach Safe Harbor
"Wie komme ich denn dazu, irgendeinem Fremden mein Geld zu überlassen? Kommt gar nicht in Frage! Bei mir daheim ist das viel sicherer!"
Als im 13. Jahrhundert die ersten Banken entstanden und damit warben, für die Bürger und Unternehmen deren Geld und das Ersparte aufzubewahren, werden diese oder ähnliche Aussagen sicher zunächst vielerorts zu hören gewesen sein. Es herrschte große Skepsis gegenüber einer Institution, der man das eigene Geld anvertrauen sollte[1]. "Wie steht es mit der Sicherheit? Wann und wie komme ich an mein Geld? Wer kann auf meine Geld- und Goldreserven womöglich zugreifen?" Zugegeben, wir wissen nicht, ob und inwieweit diese Fragen tatsächlich Gegenstand von Diskussionen waren. Aber es zeigt doch gewisse Parallelen mit der heutigen Diskussion über die "Cloud" und ihre Einsatzmöglichkeiten.
Nun weiß man, dass sich das Geschäftsmodell "Bank" zumindest im Hinblick auf die sichere Aufbewahrung von Wertgegenständen über die Jahrhunderte hinweg etabliert hat. Die Sicherheitsvorkehrungen wurden erhöht, erfolgreiche Banküberfälle durchzuführen wurde über die Jahrhunderte immer schwieriger. Diese Entwicklung – und davon bin ich überzeugt – wird sich auch im Cloud-Umfeld in naher Zukunft durchsetzen. Egal ob "Private-, Hybrid- oder Public-Cloud", die Vorteile werden letztlich überwiegen. Bis dahin müssen sich aber sowohl Anwender, als auch Betreiber von Cloud-Diensten mit sicherheitstechnischen, wie rechtlichen Bedenken befassen. Nichts ist derzeit kontroverser in der Diskussion, als die rechtlichen Anforderungen an die Nutzung der Cloud.
Im Fokus: Vertraulichkeit, Verfügbarkeit und Integrität.
Im Hinblick auf die Nutzung von externen IT-Infrastrukturen wie der Cloud-Dienste werden und können dieselben Fragen, Bedenken und Sorgen geäußert werden, wie es bei den Banken im 13. Jahrhundert passiert sein kann. Wieso Daten und Informationen "outsourcen"? Wie sieht es mit der Sicherheit aus und sollte ich nicht meine eigene IT-Infrastruktur vorhalten, um einen unbefugten Zugriff zu verhindern? Wer kann auf meine Daten zugreifen? Die Frage ist: Wenn nun niemand mehr behaupten würde, dass es sicher sei, sein gesamtes Erspartes daheim unter dem eigenen Kopfkissen zu verstecken, warum sollte man dies dann im Hinblick auf "Daten in der Cloud" tun?
Für jeden Nutzer und Anbieter von Cloud-Services stehen heutzutage die folgenden drei Begriffe im Fokus: Vertraulichkeit, Verfügbarkeit und Integrität. Egal ob es um die eigenen oder fremde Unternehmensinformationen geht oder um personenbezogene Daten. Die Frage, ob man einen Cloud-Dienst nutzen darf und sollte, hängt immer davon ab, ob und inwieweit die Daten vor dem Zugriff Dritter geschützt sind (Vertraulichkeit der Daten), ob und inwieweit jederzeit auf die Daten zugegriffen werden kann und über diese verfügt werden kann (Verfügbarkeit von Daten) und schließlich davon, ob die Daten nicht durch Dritte verändert werden können (Integrität von Daten)[2].
Allgemeine rechtliche Anforderungen
Die Auswahl eines Cloud-Dienstes (egal ob in Form einer Hybrid- oder einer Public-Cloud) ist im Hinblick auf Fragen der IT-Sicherheit ein elementarer Bestandteil der IT-Compliance. Zur IT-Compliance zählen neben den Vorgaben der bekannten Sicherheitsstandards wie ISO 27001 oder ISO 27018 grundsätzlich alle Gesetze und rechtliche Bestimmungen, die einen zumindest mittelbaren Bezug zur Informationssicherheit von Unternehmen herstellen. Davon umfasst sind damit sogar Bestimmungen im GmbH-Gesetz, die vorgeben, dass jeder Geschäftsführer in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden hat. Die IT-Sicherheit im Zusammenhang mit der Nutzung von Cloud-Diensten ist eine solche Sorgfaltspflicht.
Im Hinblick auf den Schutz personenbezogener Daten gibt das BDSG einen entsprechenden Anforderungskatalog vor (§ 9 BDSG i.V.m. der Anlage zu § 9 BDSG). Weitere gesetzliche Pflichten enthält z. B. § 8a BSIG des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Hiernach sind Betreiber sog. "kritischer Infrastrukturen" i.S.v. § 2 Abs. 10 BSIG verpflichtet, innerhalb bestimmter Fristen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der besagten Verfügbarkeit, Integrität (Authentizität) und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Nicht zu unterschätzen ist dabei der Umstand, dass derartige Sicherheitspflichten inzwischen auch normale Websitebetreiber treffen kann. Anbieter von sog. Telemediendiensten sind gem. § 13 Abs. 76 TMG nämlich verpflichtet, für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass ihre technischen Einrichtungen nach dem Stand der Technik vor unerlaubtem Zugriff geschützt sowie vor Datenschutzverletzungen und Störungen durch äußere Angriffe gesichert sind.
Der Geschäftsführer ist insgesamt für die IT-Sicherheit verantwortlich und muss quasi auf Zuruf nachweisen, dass er alle geforderten sicherheitsrelevanten Maßnahmen umgesetzt hat, um sich keiner rechtlichen Inanspruchnahme auszusetzen. Dies gilt auch bei der Nutzung von Cloud-Diensten.
Verstoßen Vertragspartner gegen derartige IT-Sicherheitspflichten oder kümmern sich nicht um die Einhaltung der erforderlichen Sicherheitsstandards, kommen zudem vertragliche Ansprüche wegen Verletzung von Pflichten des jeweils zugrundeliegenden Vertragsverhältnisses in Frage. Der Vertragspartner riskiert schlichtweg seine geschäftliche Grundlage, wenn sich herausstellt, dass die Daten seiner Kunden und Auftraggeber nicht ausreichend geschützt sind. Neben den rechtlichen Risiken droht Unternehmen, spätestens bei Bekanntwerden von Datenzugriffen oder Datensicherheitsvorfällen, ein nicht unerheblicher Image- und Reputationsschaden.
Cloud und Datenschutz
Die Nutzung von Cloud-Technologie muss sich ganz besonders und fortwährend an den Vorgaben des Datenschutzes messen lassen. Zu unterscheiden ist hierbei zwischen nationalen und internationalen Sachverhalten und zwar dahingehend, ob die Daten innerhalb der EU (EWR) verarbeitet werden oder außerhalb (sog. Drittstaaten). Für rein nationale und innereuropäische Datenverarbeitungen bedarf es in jedem Fall der Vereinbarung zur Auftragsdatenverarbeitung (§ 11 BDSG). Das Datenschutzgesetz gibt dem Cloud-Anbieter hierbei diverse Vorgaben, bestimmte Datensicherheitsstandards einzuhalten. Der Cloud-Anwender – und nicht der Cloud-Anbieter – ist dabei für die Einhaltung dieser Voraussetzung verantwortlich (§§ 3 Abs. 1, 7, 11 BDSG). Er hat also dafür Sorge zu tragen, dass alle Anforderungen tatsächlich eingehalten werden.
Der Cloud-Anwender muss sich von der Datensicherheit überzeugen.
Den Cloud-Anwender trifft nach § 11 Abs. 2 S. 1 BDSG die Pflicht, den Auftragnehmer (Cloud-Anbieter) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Hiervon hat er sich sogar regelmäßig zu überzeugen (Kontrollpflicht) (§ 11 Abs. 4 S. 4 BDSG). Neben der Überprüfung vor Ort kann und sollte man zumindest entsprechende Zertifizierungen oder Audits verlangen, die beschreiben, wie die Daten vor einem unbefugten Zugriff Dritter geschützt werden. Der Cloud-Anwender muss sich durch Einsicht in die Zertifikate von der Datensicherheit überzeugen [3]. Sind derartige Zertifizierungen oder Audits nicht umfassend oder eingehend genug, muss der Auftraggeber weitergehende Kontrollen vornehmen. Andernfalls drohen Bußgelder (§ 43 Abs. 1 Nr. 2b, Abs. 3 BDSG), wenn er dadurch seinen Auswahl- und Kontrollpflichten nicht nachkommt.
Werden Daten außerhalb der EU in einer entsprechenden Cloud-Umgebung verarbeitet, handelt es sich zunächst um eine rechtfertigungsbedürftige Übermittlung von Daten an einen Dritten. Der Vertrag über eine Auftragsdatenverarbeitung, wie in der EU oder in Deutschland, hilft hier nicht. Die Zulässigkeit der Übermittlung richtet sich nach § 4b bzw. § 4c BDSG, sowie einer entsprechenden Rechtsgrundlage. Hiervon abgesehen bleibt auch hier der Nutzer der Cloud rechtlich verpflichtet. Eine Datenverarbeitung in der Cloud wäre damit zunächst dann zulässig, wenn die Datenverarbeitung als Mittel für die Erfüllung eigener Geschäftszwecke dient, sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt (§ 28 Abs. 1 S. 1 Nr. 2 BDSG). Bereits bei dieser Lesart wird deutlich, dass eine Datenübermittlung in der Regel hieran scheitern wird, da die Auslagerung in den meisten Fällen nicht erforderlich sein wird. Effizienzsteigerung und Kostenreduktion werden hier keine ausreichenden Argumente sein. Es könnte natürlich das Argument vorgebracht werden, dass gerade bei derartigen Dienstleistern ein verbessertes IT-Sicherheitsniveau herrscht, als bei einer internen Datenverarbeitung. In Zeiten von NSA & Co. ist man mit dieser Argumentation leider noch auf verlorenem Posten. Es bleibt abzuwarten, ob dies für eine Datenübermittlung zukünftig herangezogen werden kann. Bei der Datenübermittlung ins Ausland scheitert die Zulässigkeit jedoch in der Regel (noch) aufgrund der überwiegenden schutzwürdigen Interessen des Betroffenen.
Nach § 4b Abs. 2 S. 1 BDSG kann sich die Zulässigkeit der Übermittlung auch aus einem bilateralen Abkommen oder einem internationalen Übereinkommen ergeben, wobei hier neben der Existenz einer solchen Vereinbarung ebenfalls die schutzwürdigen Interessen des Betroffenen zu berücksichtigen sind. Zum anderen scheitert eine solche Datenübermittlung, wenn bei der verarbeitenden Stelle kein angemessenes Datenschutzniveau gewährleistet ist. Das Datenschutzniveau ist in der Regel als angemessen anzusehen, wenn es den Grundsätzen der Europäischen Datenschutzrichtlinie entspricht. Während die Kommission dies bei einer Reihe von Ländern bejaht hat, attestiert die Kommission den USA allerdings seit jeher grundsätzlich kein angemessenes Schutzniveau [4].
Darüber hinaus kann eine Datenübermittlung an einen Cloud-Anbieter auch durch die zuständige Datenschutzbehörde genehmigt werden, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbunden Rechte vorweist (§ 4c Abs. 2 BDSG). Diese Garantien könnten sich aus der Verwendung der EU-Standardvertragsklauseln oder aus sog. Binding Corporate Rules (BCR) ergeben. Diese müssten nach Ansicht der deutschen Aufsichtsbehörden vom Cloud-Anbieter und Cloud-Anwender zwingend verwendet werden.
Die Cloud nach Safe-Harbor – Safe Harbor ist tot, lang lebe Safe Harbor!
Im letzten Jahr hat der EuGH eine für Cloud-Anbieter, wie Cloud-Nutzer weitreichende Entscheidung getroffen, die bis heute politisch, wie rechtlich, nachhallt. Der Ausgang ist völlig ungewiss. Der EuGH hat festgestellt, dass eine Zertifizierung nach Safe Harbor für ein angemessenes Schutzniveau ungültig ist. Bis zu dieser Entscheidung konnten sich Anbieter von Cloud-Lösungen in den USA über den Umstand, dass in diesen Ländern kein angemessenes Datenschutzniveau herrscht, mit dem Schlagwort "Safe Harbor" aus der Affäre ziehen. Die Aufnahme in die Safe Harbor-Liste erfolgte dabei auf der Grundlage des Beitritts zu einem selbstregulierenden Datenschutzprogramm oder einer selbstbindenden Datenschutzerklärung (Privacy Policy), welche die Unternehmen selbst veranlassen konnten. Zwar stand eine solche "Selbstzertifizierung" bereits seit mehreren Jahren in der Kritik [5], diente jedoch bis zur Entscheidung des EuGH als adäquates Mittel, Cloud-Anbieter in Drittstaaten mit der Verarbeitung von (personenbezogenen) Daten zu beauftragen.
Nach dem vorläufigen Aus für Safe Harbor müssen sich alle Beteiligten die Frage stellen, ob und inwieweit eine transnationale Datenverarbeitung in der Cloud überhaupt noch möglich ist.
Wie es nach Safe Harbor weitergeht, ist derzeit noch völlig offen. Den europäischen Datenschutzbehörden liegt derzeit noch kein neuer Entwurf für eine Nachfolgeregelung über das Safe-Harbor-Abkommen über den Austausch von Daten zwischen der EU und den USA vor. Die bisherigen Gespräche und Diskussionen beschränken sich auf politische Ebenen. Insoweit gibt es bislang lediglich Verhandlungen zwischen der EU-Kommission und den USA, die unter der Bezeichnung "EU-US-Privacy Shield" geführt werden. Insoweit ist geplant, eine Art "Ombudsmann" einzusetzen, der die Datenverarbeitung nach Maßgabe europäischer Datenschutzvorgabe überwacht. Wie die Kompetenzen dieses Ombudsmanns ausgestaltet werden und wie eine effektive Rechtsdurchsetzung aussehen soll, ist noch unklar. Die Zeit drängt. Es bleibt zu hoffen, dass die EU eine für Unternehmen klare Regelung schafft und den transatlantischen Datenaustausch sowie damit auch die Nutzung entsprechender Cloud-Dienste schnellstmöglich wieder auf eine rechtssichere Grundlage stellt.
Im Zirkelschluss ist aber auch klar, dass sich jedes Unternehmen hinsichtlich des eigenen Datenaustausch hinterfragen muss. Sollte hier noch auf Safe Harbor zurückgegriffen werden oder der Datentransfer hiermit gerechtfertigt werden, drohen Sanktionen. Etwaige Schonfristen sind bereits abgelaufen und sollten zum Anlass genommen werden, den Bestand von entsprechenden EU-Standardvertragsklauseln im Unternehmen zu prüfen. In diesem Fall und ist ein Datentransfer (auch in die USA) rechtlich zulässig, soweit im Übrigen die IT-Sicherheit gewährleistet ist. Dies wird bei den bekannten Cloud-Anbietern der Fall sein.
Banken können Infrastrukturen aufbauen, die Wertgegenstände von Dritten vor unbefugten Zugriff zu schützen. Große Cloud-Anbieter mit ihren Hochsicherheitsrechenzentren können die Daten schützen. Hierauf sollte man zurückgreifen.
Dies ist der erste Teil einer dreiteiligen Reihe von Dr. Philipp Herrmann zum Thema Cloud & IT-Recht. Der zweite Teil ist unter "Die EU-Datenschutz-Grundverordnung – Herausforderungen und Auswirkungen für Unternehmen" erschienen und der dritte Teil unter "Cloud und das neue IT-Sicherheitsgesetz".
- Planet Wissen: Banken
- Auf die ebenfalls wichtige Authentizität von Daten soll nicht gesondert eingegangen werden. Für die Betreiber von Cloud-Infrastrukturen, ebenso wie für die Nutzer, wird in naher Zukunft auch noch der Punkt der "Datenwiederherstellbarkeit" besondere Bedeutung erlangen. Diese Anforderung sieht die neue EU-Datenschutz-Grundverordnung vor.
- Einsicht in die Zertifikate: s. Petri, in: Simitis, BDSG, 2014, § 11 Rn. 59
- Entscheidung der Kommission vom 26.07.2000 gemäß der Richtlinie 95/46/EG über die Angemessenheit des von den Grundsätzen des sicheren Hafens und der diesbezüglichen häufig gestellten Fragen (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, bekannt gegeben unter K(2000) 2441).
- Dhont/Pérez Asinari/Poullet, Safe Harbour Decision Implementation Study, 19.4.2004, 62 ff., 105.
Connolly, The US Safe Harbor – Fact or Fiction?, 2008, 7f.
Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Pressemitt. v. 24.7.2013.
Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe Cloud Computing, Version 2.0? v. 9.10.2014, Nr. 3.1.3, 21.