Datensicherheit in Zeiten des CLOUD Acts – Was bedeutet der Gesetzesvorstoß für deutsche Unternehmen?

bei

 / 14. August. 2019

Die Datensicherheit spielt für Unternehmen – unabhängig von ihrer Größe und Branche – eine immer größere Rolle. Vor allem seit Einführung der EU-DSGVO im Mai 2018 muss ein großes Regelwerk beachtet werden, damit gerade personenbezogene oder andere sensible Daten korrekt gespeichert und verarbeitet werden. Deswegen müssen auch Software-Tools, die in Unternehmen genutzt werden, auf ihre Konformität hin überprüft werden. Auch bei der Anschaffung einer Cloud-Lösung sollte man dem Thema Datenschutz besondere Beachtung schenken. Die Tatsache, dass dieses Bewusstsein immerhin in deutschen Firmen schon vorhanden ist, bestätigte eine Presseinformation der Bitkom Research zum Thema „Cloud-Nutzung auf Rekordniveau bei Unternehmen“. Hier geben fast alle teilnehmenden Unternehmen (90 Prozent) an, dass für sie die Konformität mit der Datenschutz-Grundverordnung bei Cloud-Lösungen unverzichtbar ist. Für acht von zehn (79 Prozent) ist eine transparente Sicherheitsarchitektur essentiell, drei Viertel (76 Prozent) sehen die Integrationsfähigkeit der Lösungen als Must-have. Auch die Standortfrage beschäftigt die Cloud-User und -Planer. Für jeweils zwei Drittel müssen der Hauptsitz des Cloud-Anbieters (67 Prozent) sowie das Rechenzentrum im Rechtsgebiet der EU sitzen (66 Prozent).

 

Gesetzesvorstoß aus den USA: Kunden -und andere Geschäftsdaten in Gefahr?

Der letzte Punkt dürfte auch deshalb für Unternehmen von großer Bedeutung sein, weil es im letzten Jahr in den USA zu einer bedeutenden Umwälzung in Sachen Datenschutz gekommen ist. Im März 2018 wurde in den Vereinigten Staaten der sogenannte CLOUD (Clarifying Lawful Overseas Use of Data) Act unterzeichnet. Er stellt quasi eine Weiterentwicklung des sogenannten Patriot Acts von 2001 dar, der die Herausgabe personenbezogener Daten von US-Unternehmen an amerikanische Behörden vorsieht. Im Rahmen des neuen Gesetzes sind IT-Dienstleister aus den USA nun dazu verpflichtet, den Zugriff auf gespeicherte Daten bei Bedarf auch dann zuzulassen, wenn diese außerhalb der Vereinigten Staaten gespeichert wurden. Das Gesetz verpflichtet US-Unternehmen sogar dann zur Herausgabe der gewünschten Daten, wenn lokale Gesetze am Ort des Datenspeichers dies untersagen. Somit dürfte klar sein, dass die neue Richtlinie in einem völligen Konflikt mit der EU-Datenschutzgrundverordnung steht. Denn das europäische Gesetz besagt deutlich, dass Betriebe ihre in der EU gespeicherten Daten ohne Rechtshilfeabkommen nicht übergeben dürfen. Diese Tatsache ist vor allem dann fatal, wenn man die hohen Bußgelder im Rahmen der Verordnung bedenkt, die sich auf die unerlaubte Weitergabe von Daten beziehen. Laut Artikel 83 Absatz 5 DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 („Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung“) die außergewöhnlich hohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes – abhängig davon, welcher Betrag höher ist. Und genau das stellt für Betriebe einen massiven Interessenskonflikt dar.

Aktuell bedeutet das: wählt man als Firma einen US-amerikanischen Cloud-Anbieter, bucht man den Riskiofaktor „Datenabfluss sensibler Unternehmensdaten“ gleich mit. Das belegte auch eine Datenschutzfolgeabschätzung (DSFA), die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit von Privacy Company – einem Schulungsanbieter aus dem Bereich Datenschutz – durchgeführt wurde. Konkret ging es um eine Folgenabschätzung für Microsoft Office ProPlus (Office 2016 MSI und Office 365 CTR). Die Ergebnisse geben durchaus Grund zur Sorge, denn die Veröffentlichung offenbarte, dass Microsoft personenbezogene Daten über das Verhalten einzelner Personen im großen Umfang ohne jegliche öffentliche Dokumentation sammle. Nachdem es sich bei Microsoft Office um die gängigste Datenverarbeitungssoftware handelt, ist es schwer, als Anwender gegen diese Praxis vorzugehen. Dennoch liegt zumindest die Entscheidung, wo die bearbeiteten Daten gespeichert werden, in der Hand des Users. Deswegen sollten Betriebe genau prüfen, welchen Speicherdienst sie einsetzen, um ihre Daten maximal abzusichern.

 

Datenschutz und Cloudspeicher: Firmen müssen Risiken kennen, um ihnen zu begegnen

Grundsätzlich ist die Anwendung von Cloud-Anwendungen in Hinblick auf den Datenschutz mit Risiken verbunden. Die Speicherung von Daten auf internetbasierten Speichermedien bei einem externen Dienstleister setzt die Einhaltung spezieller datenschutzkonformer Bedingungen voraus. Denn beim Cloud Computing speichern Unternehmen ihre Anwendungen und Daten nicht mehr im eigenen Rechenzentrum, sondern bei einem beauftragten Provider, auf dessen Services über das öffentliche Internet zugegriffen werden kann. Dies bringt entscheidende Vorteile mit sich, denn Firmen sparen Kosten für die Anschaffung und Administration eigener Hard- und Software und die Betriebe selbst müssen keine IT-Infrastrukturen mehr betreiben. Dadurch werden zum einen Kosten eingespart, aber auf der anderen Seite entstehen Risiken im Hinblick auf den Datenschutz und die IT-Sicherheit. Die IT-Komponenten sind in der Cloud grundsätzlich jedem über das Internet zugänglich und der einzige Schutz vor Zugriffen ist die Einwahl mithilfe von Username und Passwort sowie diversen Verschlüsselungstechniken.

Außerdem ermöglichen eventuelle Sicherheitslücken einen unbefugten Zugang auf die Datenbestände des Unternehmens. All diese Schwachstellen führen zwangsweise zu Problemen, etwa wenn der unzulässige Zugriff auf die Daten durch den Cloud-Anbieter selber erfolgt, oder aber durch Ermittlungsbehörden und Geheimdienste sowie unbefugte Dritte. Nicht selten kommt es durch diese Schwachstellen zu einer Manipulation oder gar zu einem Verlust von Daten, aber auch dem Diebstahl von Identitäten, weil Zugangserkennungen missbraucht werden.

 

Technische Datensicherheit muss oberste Priorität haben

Nutzt ein Unternehmen einen Cloud-Dienst, beispielsweise zum internen und externen Datenaustausch, gehen mehrere Parteien vertragliche Verpflichtungen ein, die jeweils Einfluss auf datenschutzrelevante Aspekte haben. Auf diese Weise entstehen nicht nur zwischen dem Cloud-Anbieter und dem Cloud-Anwender Verbindungen, sondern auch zwischen dem Anwender und seinen Geschäftspartnern sowie Kunden, deren Datenschutzrechte ebenfalls berührt werden. Grundsätzlich lassen sich datenschutzrechtliche Anforderungen nur erfüllen, wenn der Cloud-Provider ein vorgegebenes Maß an technischer Datensicherheit anbieten kann. Dies wird durch die Hard- und Software des Dienstleisters bestimmt. So kommen Verschlüsselungstechnologien für Daten und Zugänge, Authentifizierungsmethoden und auch Firewall-Komponenten zum Einsatz. Darüber hinaus regelt die organisatorische Sicherheit die Absicherung des physikalischen Zugriffs auf die IT-Komponenten des Cloud-Anbieters.

Abgesehen von der Bereitstellung der technischen Voraussetzungen zur Datensicherheit, müssen Anbieter aus dem Bereich Cloud auch die rechtlichen Datenschutzbedingungen einhalten. Diese sind innerhalb der europäischen Union durch die EU-DSGVO geregelt. Wichtig ist hierbei der juristische Fakt, dass beim Cloud-Computing der Anwender als Unternehmen im Verhältnis zu seinen Kunden für die Datensicherheit verantwortlich ist. Details zwischen dem Cloud-Provider und dem User werden in einem Vertrag zur Auftragsdatenverarbeitung geregelt. Der Cloud-Anwender sollte sich die Einhaltung vertraglich zugesicherter Anforderungen beispielsweise durch eine Datenschutz-Zertifizierung garantieren lassen. Der Cloud-Kunde bleibt somit Eigentümer seiner Daten, was bei gängigen Cloud-Services oftmals keine Selbstverständlichkeit ist.

 

Fazit: Standort des Anbieters spielt eine zentrale Rolle

Nutzen Unternehmen einen Cloud-Anbieter, der seinen Sitz in einem nicht-EU-Land wie etwa den USA hat, laufen sie Gefahr, die hiesigen strengen Datenschutzgesetze zu verletzen. Gerade die Compliance mit der EU-Datenschutzgrundverordnung ist hier gefährdet. Denn US-amerikanische Cloud-Provider sind seit Anfang letzten Jahres gesetzlich dazu verpflichtet, Kundendaten an amerikanische Behörden auf Anforderung auszuliefern. In diesen Fällen greift die EU-DSGVO nicht mehr und es müssen ergänzende Vereinbarungen mit dem Anbieter getroffen werden. So müssen Cloud-Anbieter in den Vereinigten Staaten sicherstellen, dass sie die Vorgaben des EU-US-Privacy-Shields erfüllen. In dieser Datenschutz-Compliance sichert die US-Regierung zu, im Datenaustausch mit Europa das hiesige Datenschutzniveau einzuhalten. Ob dadurch die Weitergabe von Daten an US-Behörden verhindert wird, mag bezweifelt werden. Daher ist es in jedem Falle ratsam, auf europäische Cloud-Provider zurückzugreifen, die ihre Rechenzentren innerhalb der EU betreiben.

Als CIO bei DRACOON leitet Marc Schieder den Produktlebenszyklus von Innovation, Konzeption und Entwicklung zur Qualitätssicherung. Der studierte Informatiker/Kommunikationsdesigner hat 15 Jahre Erfahrung u.a. als Geschäftsführer und Vorstandsvorsitzender in den Bereichen SaaS und Cloud-Computing.