EuroPriSe Das Europäische Datenschutz-Gütesiegel Datenschutzrechtliche Anforderungen an Cloud Computing

Transkript

1 EuroPriSe Das Europäische Datenschutz-Gütesiegel Datenschutzrechtliche Anforderungen an Cloud Computing Die Nutzung von Cloud-Diensten ist neben möglichen finanziellen vorteilen und etwaigen Verbesserungen im Bereich der IT- Beim Cloud Computing werden Technologien und Dienst- Sicherheit mit einer Reihe von Datenschutz- Risiken verbunden. Aus diesem Grund hat die leistungsmodelle von Dritten sog. Artikel 29-Datenschutzgruppe (WP29), das angeboten, die auf der Nutzung des Internets basieren unabhängige Beratungsgremium der Europäischen Union für den Datenschutz, am 1. Juli 2012 und IT-Anwendungen, Verarbeitungskapazitäten, eine Stellungnahme zum Thema Cloud Computing Spei- veröffentlicht. Dieses EuroPriSe-Merkblatt basiert auf dieser Stellungnahme und konzentriert sich besonders auf den Normalfall der Auftragsdatenverarbeitungcherplatz sowie Entwicklungsumgebungen umfassen können. Datenschutz-Risiken des Cloud Computing: Cloud-spezifische Risiken lassen sich in zwei Hauptgruppen unterteilen: solche, die einen Kontrollverlust über personenbezogene Daten bei der Nutzung von Cloud-Diensten mit sich bringen und solche, die sich auf eine unzureichende Information über das Wie, Wo und Durch wen der Verarbeitung personenbezogener Daten beziehen. Ein wichtiger Aspekt ist, dass das Cloud Computing oft aus einer Outsourcing-Kette besteht, bei der eine mehr oder weniger große Anzahl von Auftrag- bzw. Unterauftragnehmern involviert ist. Datenschutzrechtlicher Rahmen: Neben dem Bundesdatenschutzgesetz (BDSG) in Deutschland ist auf europäischer Ebene die sog. Datenschutz-Richtlinie 95/46/EG anwendbar. Soweit ein öffentlich verfügbarer Telekommunikations-Dienst (z.b. ein E- Mail-Dienst) über eine Cloud-Lösung angeboten wird, ist neben dem BDSG und der Richtlinie auf europäischer Ebene die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation, zuletzt geändert durch Richtlinie 2009/136/EG) anwendbar. In Deutschland gilt insoweit das Telekommunikationsgesetz (TKG). Anwendbares Recht: Welches nationale Recht im Einzelfall zur Anwendung kommt, bestimmt Art. 4 der Datenschutz-Richtlinie 95/46/EG (einschlägige Norm im BDSG ist 1 Abs. 5). Dazu hat die WP29 ausführlich in ihrem Arbeitspapier 8/2010 über das anwendbare Recht Stellung genommen. Im Zusammenhang mit Cloud-Diensten können zwei Fälle unterschieden werden: (1) Die Cloud-Anwenderin ist in einem EU/EWR Mitgliedstaat niedergelassen: in diesem Fall ist das Recht des Niederlassungsstaates der Cloud-Anwenderin, die als verantwortliche Stelle qualifiziert wird, anzuwenden (vgl. Art. 4(1)(a) RL 95/46/EU. (2) Ist die Cloud-Anwenderin außerhalb der EU/EWR niedergelassen, aber beauftragt sie eine Cloud-Anbieterin, die innerhalb des EWR niedergelassen ist, richtet sich das anwendbare Recht in diesem Fall nach dem Recht des Landes, in dem die Cloud-Anbieterin (Qualifizierung als datenschutzrechtliche Auftragnehmerin und als Mittel im Sinne des Art. 4(1)(c) RL 95/46/EG) seine Niederlassung hat. Rechtliche Beurteilung der Cloud-Anwenderin und der Cloud-Anbieterin: Die Cloud-Anwenderin bestimmt den Zweck der Datenverarbeitung und bestimmt über das Outsourcing der Datenverarbeitung an die Anbieterin eines Cloud-Dienstes. Daher fungiert die Cloud-Anwenderin als datenschutzrechtlich verantwortliche Stelle

2 (vgl. Art. 2(d) RL 95/46/EU bzw. 3 Abs. 7 BDSG) im Rahmen eines Auftragsverhältnisses und hat somit die gesetzlichen Verpflichtungen einer verantwortlichen Stelle im Rahmen der Auftragsdatenverarbeitung zu erfüllen. Dies trifft auch dann zu, wenn die Cloud-Anwenderin ein KMU (kleines oder mittleres Unternehmen) und die Cloud-Anbieterin ein internationaler Konzern ist: Das Ungleichgewicht bei der Vertragsgestaltung einer kleinen verantwortlichen Stelle gegenüber einer großen Dienstleisterin stellt keine Rechtfertigung für die verantwortliche Stelle dar, Vertragsklauseln zu akzeptieren, die nicht mit dem Datenschutzrecht vereinbar sind (Art. 29 Arbeitsgruppe, WP 169, S. 26). Vielmehr ist eine Cloud-Anbieterin, die für die Cloud- Anwenderin Daten verarbeitet, als Auftragnehmerin zu qualifizieren (vgl. Art. 2(e) RL 95/46/EU bzw. 11 BDSG). Dies schließt im Einzelfall allerdings nicht aus, dass es Konstellationen gibt, in denen die Cloud-Anbieterin ebenfalls als (gemeinsam) verantwortliche Stelle zu betrachten ist (z.b. wenn und soweit die Cloud-Anbieterin die Daten zu eigenen Zwecken verarbeitet). Eine Besonderheit des deutschen Rechts besteht darin, dass als Auftragnehmerin i. S. d. 11 BDSG nur Personen oder Stellen in Betracht kommen, die innerhalb des EWR personenbezogene Daten im Auftrag verarbeiten. Außerhalb des EWR ansässige Stellen sind hingegen als Dritte zu qualifizieren ( 3 Abs. 8 S. 3 BDSG), weshalb jegliche Weitergabe personenbezogener Daten an diese Stellen eine Übermittlung i. S. d. 3 Abs. 4 Nr. 3 BDSG darstellt. Somit greift die Privilegierung der Auftragsdatenverarbeitung nicht, vielmehr bedarf diese Übermittlung einer eigenen Rechtsgrundlage. Sofern keine besonderen Arten personenbezogener Daten i. S. d. 3 Abs. 9 BDSG verarbeitet werden, kommt als Rechtsgrundlage 28 Abs. 1 S. 1 Nr. 2 BDSG in Betracht. Wenn der Datenexporteur mit dem Datenimporteur einen Vertrag mit Festlegungen entsprechend 11 Abs. 2 BDSG geschlossen hat, kann dies dazu führen, dass die Datenübermittlung aufgrund der Interessenabwägung gerechtfertigt ist (Orientierungshilfe Cloud Computing der DSB-Konferenz, Version 1.0, S. 11; zu 11 Abs. 2 BDSG bzw. Art. 17 Abs. 3 RL 95/46/EG vgl. unten unter Vertragliche Voraussetzungen ). Eine rechtmäßige Verarbeitung besonderer Arten personenbezogener Daten in der Cloud wird in solchen Fällen allerdings regelmäßig daran scheitern, dass die Voraussetzungen der speziellen Erlaubnistatbestände gemäß 28 Abs. 6 bis 9 BDSG nicht vorliegen. Dieses Merkblatt bezieht sich auf den Regelfall der Auftragsdatenverarbeitung. Im Folgenden werden die Begriffe Cloud-Anwenderin für die Auftraggeberin und Cloud- Anbieterin für die Auftragnehmerin verwendet. Vertragliche Voraussetzungen für das Auftragsdatenverarbeitungsverhältnis: Gem. Art. 17 Abs. 3 RL 95/46/EG muss die Auftragsdatenverarbeitung vertraglich oder durch Gesetz bestimmt sein (einschlägige Vorschrift im BDSG ist 11 Abs. 2 vgl. insoweit die Orientierungshilfe Cloud Computing der DSB-Konferenz, Version 1.0, S. 8). Als Mindestvoraussetzungen nach Art. 17 Abs. 3 sind im Vertrag zu regeln, dass die Auftragnehmerin den Weisungen der Auftraggeberin Folge zu leisten hat und dass letztere technische und organisatorische Maßnahmen zu treffen hat, um die personenbezogenen Daten angemessen zu schützen. Aus Gründen der Rechtssicherheit sollte der Vertrag außerdem Folgendes regeln: S. 2 von 6

3 Detaillierte Angaben zu den Weisungsbefugnissen der Cloud-Anwenderin an die Cloud-Anbieterin, insbesondere im Hinblick auf anwendbare SLAs und relevante Strafen. Regelung der technischen und organisatorischen Maßnahmen, die die Cloud- Anbieterin zu erfüllen hat. Dabei ist eine Beschreibung der konkreten Maßnahmen unbedingt erforderlich. Gegenstand und Laufzeit der Cloud-Nutzung sowie Umfang, Art und Zweck der Verarbeitung personenbezogener Daten und die Art der Daten. Regelung der Bedingungen für die Rückgabe personenbezogener Daten oder zur Zerstörung der Daten nach Vertragsende. Vereinbarung einer Vertraulichkeitsklausel, die verbindlich gegenüber der Cloud- Anbieterin und ihres zugriffsberechtigten Personals ist. Verpflichtung der Cloud-Anbieterin, die Anwenderin dabei zu unterstützen, die Ausübung der Betroffenenrechte im Hinblick auf Auskunft, Berichtigung und Löschung ihrer Daten zu gewährleisten. Der Cloud-Anbieterin ist es untersagt, die Daten an Dritte weiterzugeben, es denn, eine Übermittlung oder Weitergabe an eine Unterauftragnehmerin sind vertraglich geregelt (zu den Anforderungen an Unterauftragsverhältnisse s.u.). Klarstellung der Verpflichtung der Cloud-Anbieterin, die Cloud-Anwenderin im Falle eines Datenschutz-Verstoßes, der die Daten der Cloud-Anwenderin betrifft, zu informieren. Verpflichtung der Cloud-Anbieterin, eine Liste der Orte, an denen die Daten verarbeitet werden können, bereitzustellen. Das Recht der Cloud-Anwenderin, die Einhaltung der Verpflichtungen der Cloud- Anbieterin zu überwachen, und die Verpflichtung zur Kooperation für die Cloud- Anbieterin. Die Cloud-Anbieterin hat die Cloud-Anwenderin des Cloud-Dienstes über relevante Änderungen, wie beispielsweise die Implementierung zusätzlicher Funktionalitäten, zu informieren. Das Loggen und Auditieren wesentlicher Verarbeitungen personenbezogener Daten bei der Cloud-Anbieterin oder ihren Unterauftragnehmerinnen. Verpflichtung der Cloud-Anbieterin, die Cloud-Anwenderin über rechtlich zulässige Zugriffe durch Strafverfolgungsbehörden und andere staatliche Stellen zu informieren (ausgenommen solche Zugriffe, die unter dem Schutz eines Strafgesetzes die Vertraulichkeit der strafrechtlichen Ermittlung schützen) sowie die Verpflichtung, unzulässige und nicht zwingend gesetzlich gebotene Anfragen abzuweisen. Eine allgemeine Verpflichtung der Cloud-Anbieterin zuzusichern, dass ihre interne Organisation und Datenverarbeitungsvorgänge mit den Anforderungen des jeweils geltenden Rechts und mit entsprechenden technischen Standards übereinstimmen. Unterauftragsverhältnisse: Cloud-Computing-Dienste können von mehreren Dienstleistern erbracht werden, die als Auftragnehmerin bzw. als Unterauftragnehmerinnen tätig werden. Nach Auffassung der WP29 darf eine Cloud-Anbieterin einen Unterauftrag nur mit Einwilligung der Cloud-Anwenderin erteilen. Nicht erforderlich ist die Erteilung einer separaten Einwilligung in jedem Einzelfall, eine generelle Einwilligung vor Aufnahme der Dienstleistungstätigkeit genügt grundsätzlich. Die Cloud- Anbieterin ist unmissverständlich dazu zu verpflichten, ihre Anwenderin über vorgesehene Änderungen im Hinblick auf den Einsatz neuer oder den Ersatz von Unterauftragnehmerinnen zu informieren. Dabei muss die Cloud-Anwenderin jederzeit die Möglichkeit haben, den Änderungen zu widersprechen oder den Vertrag zu kündigen. Es sollte eine klare Verpflichtung der Cloud-Anbieterin bestehen, alle Unterauf- S. 3 von 6

4 tragnehmerinnen zu benennen. Ein von der Cloud-Anbieterin und der Unterauftragnehmerin unterzeichneter Vertrag sollte die vertraglichen Regelungen zwischen der Cloud-Anbieterin und der Cloud-Anwenderin widerspiegeln. Technische und organisatorische Maßnahmen: Art. 17(2) RL 95/46/EG überträgt den Cloud-Anwenderinnen die volle Verantwortung, eine Cloud-Anbieterin auszuwählen, die angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen hat und dies auch nachweisen kann. Zu den Datensicherheitsanforderungen der Verfügbarkeit, Vertraulichkeit und Integrität sind zudem die Datenschutzziele der Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit (vgl. EuroPriSe Merkblatt zu den Datenschutz-Schutzzielen) sowie das Cloud-spezifische Schutzziel der Datenportabilität im Hinblick auf den Betroffenenschutz zu prüfen. In einer Cloud-Umgebung kann eine korrekt angewendete Verschlüsselung erheblich zur Vertraulichkeit der Datenverarbeitung beitragen. Allerdings führt sie nicht zu einer unumkehrbaren Anonymisierung personenbezogener Daten. Transparenz muss gegenüber den Betroffenen sowie zwischen der Cloud-Anwenderin, der Cloud- Anbieterin und den Unterauftragnehmerinnen sichergestellt sein. Transparenz in der Cloud bedeutet für die Cloud-Anwenderin, über alle Unterauftragsverhältnisse wie auch über alle Orte, an denen personenbezogene Daten im Rahmen des Dienstleistungsverhältnisses gespeichert oder verarbeitet werden können, informiert zu werden. In bewährter Praxis sollte die Cloud-Anwenderin die Betroffenen über die Cloud- Anbieterin und alle Unterauftragnehmerinnen sowie über die Orte, an denen personenbezogene Daten verarbeitet werden können, informieren. Für eine Nicht-Verkettbarkeit ist die angemessene Verwaltung der Rechte und Rollen für zugriffsberechtigte Personen wesentlich und hängt zudem von technischen Maßnahmen (wie z.b. der Härtung des Hypervisors) ab. Intervenierbarkeit betrifft die Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Sperrung und Widerspruch, wie sie in den Art. 12 und 14 RL 95/46/EG niedergelegt sind. Cloud- Anbieterinnen sollten vertraglich dazu verpflichtet werden, die Cloud- Anwenderinnnen bei der Erfüllung dieser Ansprüche zu unterstützen und dies auch für ihre Unterauftragnehmerinnnen sicherzustellen. Letztlich sollten Cloud- Anwenderinnen vor Vertragsschluss prüfen, ob und wie die Cloud-Anbieterin Portabilität von Daten und Diensten garantieren kann. Grenzüberschreitender Datenverkehr: Cloud Computing basiert zumeist auf dem vollständigen Fehlen von festen Speicherorten der Daten innerhalb des Anbieternetzwerks. Dieses Netzwerk kann aus unterschiedlichen Rechenzentren an verschiedenen Orten rund um die Welt bestehen. Die Cloud-Anwenderin wird selten dazu in der Lage sein, den Speicherort der Daten in Echtzeit zu kennen. Cloud- Anbieterinnen sollten jedoch vertraglich verpflichtet werden, ihren Kunden eine Liste mit den Orten zu Verfügung zu stellen, an denen die Daten verarbeitet werden könnten. Art. 25 und 26 RL 95/46 EG bestimmen die Anforderungen für eine rechtskonforme Übermittlung von personenbezogenen Daten aus der EU/EEA in sog. Drittländer außerhalb der EU/EEA. Rechtskonform kann eine Übermittlung insbesondere auf folgenden Grundlagen erfolgen: S. 4 von 6

5 Angemessenheitsentscheidung der Europäischen Kommission Safe Harbor (nur USA.) Standardvertragsklauseln Verbindliche Unternehmensregeln (BCRs) Ausnahmen gem. Art. 26(1)(a)-(f) RL 95/46/EG Nach Auffassung der Arbeitsgruppe WP29 reicht eine einfache Selbst-Zertifizierung nach Safe Harbor für sich genommen nicht aus, da insoweit keine tatsächliche Durchsetzung der Datenschutz-Anforderungen insbesondere im Bereich des Cloud Computing erfolgt. Die Arbeitsgruppe fordert daher von Cloud-Anwenderinnen, sich nicht alleine auf die Erklärung der Selbst-Zertifizierung zu verlassen, sondern die Zertifizierung und die Einhaltung der Prinzipien nachweislich zu überprüfen. Die WP 29 hat ein Dokument verabschiedet, das eine Tabelle mit Anforderungen an verbindlichen Unternehmensregeln für Auftragsdatenverarbeiter enthält ( BCRs for processors ). Diese Regeln würden die Cloud-Anwenderinnen von Cloud-Anbieterinnen in die Lage versetzen, Cloud-Anbieterinnen mit der Verarbeitung personenbezogener Daten zu betrauen und davon ausgehen zu können, dass diese ein angemessenes Schutzniveau bieten. Die in Artikel 26(1) der Richtlinie 95/46/EG vorgesehenen Ausnahmen sollen nur dann zur Anwendung kommen, wenn Übermittlungen personenbezogener Daten in Drittländer weder wiederholt noch in großem Umfang oder strukturell bedingt erfolgen. Diese Einschränkung macht es im Kontext des Cloud Computing nahezu unmöglich, die Ausnahmen des Artikels 26 heranzuziehen. Risikoanalyse: Organisationen, die Cloud-Computing-Dienste nutzen möchten, sollten vorab eine umfassende Risikoanalyse durchführen. Diese Analyse muss die mit der Verarbeitung personenbezogener Daten in der Cloud verbundenen Datenschutz- Risiken betrachten und die rechtlichen Problempunkte (z.b. Sicherheitsmaßnahmen für Unterauftragsverhältnisse oder Übermittlungen in Drittstaaten) im Hinblick auf das Cloud Computing sorgfältig analysieren. Die Verarbeitung sensitiver personenbezogener Daten (Art. 8 RL 95/46/EG) per Cloud Computing bedarf zusätzlicher Sicherheitsmaßnahmen. Zertifizierung durch Dritte: Eine unabhängige Zertifizierung durch eine anerkannte dritte Organisation kann eine glaubwürdige Maßnahme für Cloud-Anbieterinnen sein, um die Einhaltung rechtlicher Verpflichtungen, wie sie in diesem Merkblatt und durch die WP29 beschrieben sind, nachzuweisen. Organisationen, die Cloud-Computing- Dienste nutzen möchten, sollten prüfen, ob die Cloud-Anbieterin ihnen eine Kopie eines solchen Zertifikates oder besser des dazugehörigen Evaluationsberichts zur Verfügung stellen kann. Die Anerkennung von Datenschutz-Standards und Zertifizierungskriterien ist maßgeblich für die Vertrauensbeziehung zwischen der Cloud- Anbieterin, der Cloud-Anwenderin und den Betroffenen. Die EuroPriSe-Kriterien sind auf Cloud-Dienste anwendbar. Eine Zertifizierung von Cloud-Diensten nach den Anforderungen der WP29 ist möglich und wird angeboten. Sopot Memorandum: Die Internationale Arbeitsgruppe für Datenschutz in der Telekommunikation ( Berlin Group ) hat im April 2012 das sog. Sopot-Memorandum verabschiedet. Dieses Memorandum beschäftigt sich ebenfalls mit Fragen des Cloud Computing und betont ausdrücklich, dass eine Datenverarbeitung in der Cloud nicht S. 5 von 6

6 zu einer Verwässerung der Datenschutzstandards, wie sie für die konventionelle Datenverarbeitung gelten, führen darf. Über EuroPriSe EuroPriSe ist eine Initiative des Unabhängigen Landeszentrums für Datenschutz (ULD). Das ULD ist Aufsichtsbehörde und Servicezentrum für den Datenschutz in Schleswig-Holstein. EuroPriSe wurde durch die Europäische Kommission im Rahmen des eten-programms mit 1,3 Millionen Euro gefördert. Dem EuroPriSe-Projektkonsortium unter Leitung des ULD gehörten neun Partner aus acht EU-Mitgliedsstaaten an: die Datenschutzaufsichtsbehörden von Madrid, Agencia de Protección de Datos de la Communidad de Madrid (APDCM), und Frankreich, Commission Nationale de l Informatique et de Libertés (CNIL), die Österreichische Akademie der Wissenschaften, die London Metropolitan University, Borking Consultancy aus den Niederlanden, Ernst and Young AB aus Schweden, TüV Informationstechnik GmbH aus Deutschland und VaF s.r.o. aus der Slowakei. Weitere Informationen erhalten Sie auf unserer Webseite: S. 6 von 6