Ergebnispapier Cloud Computing der Arbeitsgruppe 4 im nationalen IT-Gipfel

Transkript

1 Ergebnispapier Cloud Computing der Arbeitsgruppe 4 im nationalen IT-Gipfel Cloud Computing ist derzeit eines der am meisten diskutierten Themen in der Informationstechnik. Hinter diesem Begriff stehen weniger neue Technologien, sondern vielmehr deren Kombination und konsequente Weiterentwicklung. Dadurch werden neue IT-Dienstleistungen und neue Geschäftsmodelle ermöglicht. Zahlreiche Umfragen und Studien zeigen jedoch, dass mögliche Nutzer bei den Themenfeldern Informationssicherheit und Datenschutz Bedenken haben, die dem verstärkten Einsatz von Cloud Computing derzeit noch entgegenstehen. Die durch Cloud Computing entstehenden Skaleneffekte sind für den Industriestandort Deutschland zentral: Sowohl von der Anwender- als auch von der Herstellerseite können substantielle Potentiale erschlossen werden. Es kommt daher darauf an, sowohl in technologischer als auch in rechtlicher Hinsicht den Nutzer- und Anwendergruppen Handreichungen zur Informations- und Datensicherheit bereitzustellen. In Anbetracht dieser Entwicklung hat daher die Arbeitsgruppe 4 als ein Schwerpunktthema Cloud Computing ausgewählt. Durch das Zusammenspiel der im Bereich Cloud Computing kompetenten Akteure der Arbeitsgruppe 4 und deren Expertise für den deutschen und internationalen Markt wird sichergestellt, zeitnah relevante Lösungen und Publikationen bereitzustellen. Das Thema Cloud Computing wird durch zwei Unterarbeitsgruppen (UAG) bearbeitet: UAG 1 Definition von technischen Anforderungen zur Nutzung von Cloud-Services UAG 2 Rechtliche Anforderungen an Cloud Computing Sichere Cloud-Dienste Schwerpunkt der UAG 1 ist die Herausarbeitung von technischen Anforderungen, die aus Sicherheitssicht beim Einsatz von Cloud Computing beachtet werden sollten. Diese richten sich an Cloud-Service-Provider (CSP), die diese Dienste für Unternehmen und Behörden zur Verfügung stellen sowie an professionelle Anwender. Mit diesen Empfehlungen zur Konzeption einer sogenannten Trusted Cloud erfolgt der Übergang von der allgemeinen Idee einer Cloud zu einer für den Anwender akzeptablen und vertrauenswürdigen Cloud- Technologie. Das Konzept der Trusted Cloud schafft den Rahmen zur Verbreitung von Cloud-Systemen und der Steigerung der Nutzungsakzeptanz. Um dies zu erreichen, sind erweiterte technische Anforderungen, qualifizierte und überprüfbare Entwicklungs-, Zulassungs- und Nutzungsprozesse sowie moderne Sicherheitsstandards erforderlich. In den technischen Rahmenbedingungen wurden diese Anforderungen für den Aufbau und Betrieb von Trusted Clouds herausgearbeitet. Trusted Cloud orientiert sich an der Bereitstellung unterschiedlicher Servicemodelle (SaaS, PaaS, IaaS). Trusted Cloud bedeutet die Schaffung von Kontrollfähigkeit und Einflussnahme für den Cloud-Anwender bei der Ausführung von IT-Verarbeitungsprozessen und die Sicherstellung von Compliance-Anforderungen im Umgang mit Cloud-Anwenderdaten. Unter Berücksichtigung der Differenzierung der Servicearten und der Betrachtung unterschiedlicher Schutzbedürfnisse im Umgang mit Daten der Cloud-Anwender wird eine skalierbare sowie technisch angemessene Beschreibung von Anforderungen an die Entwicklung, die Bereitstellung und die Betriebsprozesse von Cloud-Systemarchitekturen möglich. Als Ergebnis erhält man, je nach Art der Nutzung, eine Auswahl an technischen Anforderungen: Stand November

2 Technische Konzepte zur Bereitstellung von Software Nutzungsrechten Die Arbeitsgruppe beschreibt Anforderungen an verlässliche Cloud-Architekturen. Die Verlässlichkeit bildet den Anker für die Gewinnung von Vertrauenswürdigkeit in der Nutzung von Cloud-Technologien und bildet einen wesentlichen Teil der Trusted Cloud Strategie. Im Mittelpunkt stehen die technischen Anforderungen, wie Zuverlässigkeit, Verfügbarkeit und Sicherheit, wobei ebenso die Betriebssicherheit der angebotenen IT-Ressourcen und Dienstleistungsanwendungen gewährleistet werden muss. Technische Konzepte zur Sicherstellung der IT-Ressourcenbereitstellung und Software-Verteilung Die Bereitstellung sowie technische Umsetzung von Software-Nutzungsrechten ist ein weiteres Kernkonzept der Trusted Cloud Strategie. Die Durchsetzung von Nutzungsrechten stellt hohe Anforderungen an die sichere Identifizierbarkeit von Akteuren und Geschäftsobjekten. Die Einbeziehung von Cloud-Lösungen für die Umsetzung von Geschäftsstrategien wird ohne eine sichere Bestimmung der Prozessbeteiligten und deren Befugnisse nur auf geringe Akzeptanz stoßen. Im Mittelpunkt dieser Themengruppe stehen technische Anforderungen, die eine Vergabe, Nutzung und Abkündigung von Nutzungsrechten auf Grundlage vertrauenswürdiger elektronischer Identitäten beschreiben. Technische Konzepte zur Sicherstellung der vertraulichen Datenspeicherung, Weitergabe und Kenntnisnahme Die Absicherung von Unternehmensdaten und die Wahrung der Anforderungen an die Vertraulichkeit stellen hohe technische Ansprüche an zukünftige Cloud-Technologien. Das Themengebiet beschäftigt sich mit technischen Anforderungen, damit die Vertraulichkeit unter Einbeziehung des Cloud-Anwenders für alle Prozessphasen der Datennutzung auf Grundlage moderner Verschlüsselungstechnologien gewährleistet wird. Neben den technischen Anforderungen an die Identifizierbarkeit der Prozessbeteiligten nimmt dieser Themenbereich ein weiteres Kernkonzept der Trusted-Cloud-Strategie auf, die sichere Nachweisführung. Das Zusammenspiel moderner Verschlüsselungstechnologien mit Anforderungen an eine sichere Nachweisführung schafft den Rahmen für eine Kontrollfähigkeit im Bereich der sicheren Verarbeitung von Daten in der Cloud. Konzepte zur Definition und technischen Umsetzung zu Compliance sowie Gewährleistung des Datenschutzes Aus Sicht der Compliance spricht bei Vorhandensein der richtigen Sicherheitsfunktionen nichts gegen die Nutzung von Cloud Computing. Da die Datenhoheit im Regelfall beim Cloud-Anwender liegt, ist dieser verpflichtet, exakte Richtlinien zu definieren, wo z.b. ausgewählte Daten wie in einem Cloud-Service abgespeichert und verarbeitet werden dürfen. Auch aus rechtlicher Sicht sollte im Einzelfall überprüft werden, welche Einschränkungen bei bestimmten Daten gelten und ob die Verwendung eines Cloud-Services in Betracht gezogen werden kann. Technische Konzepte zur Wahrung der Datenhoheit Der Verlust der Datenhoheit steht als eines der großen Hindernisse bei der Verbreitung von Cloud Computing im Raum. Die Konzepte dieser Rubrik beschreiben technische Anforderungen an die Datenhoheit, jedoch ohne Einschränkung des flexiblen Cloud-Serviceangebotes. Unter anderem werden technische Konzeptionen zur Trennung von Verarbeitungsleistung und Datenhaltung aufgenommen. Neben technischen Anforderungen an eine redundante und verteilte Datenhaltung, werden auch Forderungen an Schnittstellen für Cloud-Anwender beschrieben. Diese sollen eine leichtere Integration bestehender IT-Systeme in Cloud-Architekturen ermöglichen. Technische Regelungen und Konzepte für den Umzug von Daten bei Cloud-Providerwechsel Stand November

3 Damit die Daten bei einem Provider-Wechsel rückstandsfrei aus der Datenwolke entfernt und in eine andere eingefügt werden können, werden hier die notwendigen Prozesse konform zur Compliance beschrieben. Die technischen Anforderungen berücksichtigen sowohl Aspekte der Bereitstellung von Ressourcen für die Ausführung, wie auch der Kontrolle des Datentransfers zwischen unterschiedlichen Cloud-Providern. In allen Fällen gilt es, die Kontrollfähigkeit durch den Cloud-Anwender sicherzustellen. Ein weiterer Schwerpunkt umfasst die Einhaltung von technischen Nachbedingungen nach Beendigung der Vertragsbeziehung. Hierzu werden Forderungen formuliert, die eine Sicherstellung der erforderlichen Maßnahmen, wie z.b. die vollständige Löschung bestehender Geschäfts- bzw. Identitätsdaten, gewährleisten. Die UAG 2, welche sich aus Vertretern der Wirtschaft unter Beteiligung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zusammensetzt, hat die rechtlichen Rahmenbedingungen für die Nutzung und das Angebot von Cloud-Diensten durch Unternehmen untersucht. Aus Sicht der Wirtschaft werden neben der für jede Art von Unternehmen als Nutzer und Anbieter von Cloud-Dienstleistungen allgemein gültigen rechtlichen Rahmenbedingungen anhand der drei Beispielbranchen Versicherungswirtschaft, Kreditwirtschaft und Telekommunikation die ergänzend branchenspezifischen rechtliche Anforderungen untersucht. Die Ausführungen zur Versicherungswirtschaft gehen auch auf die besonderen Anforderungen der Träger von Berufsgeheimnissen (Ärzte, Anwälte, Lebens-, Kranken- oder Unfallversicherer)ein. Die Untersuchung des Rechtsrahmens umfasst das Zivilrecht für die Gestaltung der Vertragsbeziehung, das Datenschutzrecht als mögliches Alleinstellungsmerkmal der Cloud Security Made in Germany, ferner das Patent-, Urheber- und Nutzungsrecht, besondere Aufsichtsregelungen der betrachteten Branchen sowie die steuerrechtlichen und handelsrechtlichen Anforderungen. Abgerundet wird der Rechtsrahmen für Cloud Computing mit einem Blick auf die Verantwortung und Haftung auf Vorstand und Geschäftsführung. Als Resümee wurde der aus Sicht der Wirtschaft für ein zukünftig erfolgreiches Cloud Computing erforderliche Handlungsbedarf für den Gesetzgeber in Form rechtspolitischer Thesen herausgearbeitet. Diese umfassen: Flexibilisierung des AGB-Rechts Die Wirtschaft empfiehlt eine Flexibilisierung des AGB-Rechts im unternehmerischen Verkehr mit Blick auf die folgenden zwei Punkte: (a) Es soll dem Cloud-Anbieter (= Verwender der AGB) ermöglicht werden, bei einer typengemischten Leistung nach dem Schwerpunkt der geschuldeten Leistung das ihm angemessen erscheinende Vertragsregime einschließlich zugehöriger Sekundäransprüche (Haftung und Gewährleistung) abschließend in den AGB zu bestimmen, die Anwendbarkeit der Regelungen für andere Vertragstypen abzubedingen und im Rahmen des für den gewählten Vertragstyp AGB-rechtlich Zulässigen wirksam zu modifizieren. (b) Es soll dem Cloud-Anbieter ermöglicht werden, in AGB die Haftung und Gewährleistung im unternehmerischen Verkehr auf das industrieübliche Maß wirksam zu beschränken, insbesondere für einfache Fahrlässigkeit Haftungsobergrenzen ( caps ) festzulegen und bestimmte Schadensarten (insbesondere indirekte und Folgeschäden) von der Haftung auszunehmen. Modernisierung des Datenschutzrechts Stand November

4 Das Cloud Computing lässt sich zwar unter dem Rechtsrahmen des Bundesdatenschutzgesetzes einordnen und bewerten, doch wird hierbei deutlich, dass das in seinen Grundzügen aus den 70er Jahren des letzten Jahrhunderts stammende Datenschutzgesetz nicht mehr auf der Höhe der informationstechnischen Entwicklung ist und gerade einer Internetgestützten Datenverarbeitung nur bedingt den Interessen von Unternehmen und Betroffenen gerecht wird. Das Cloud Computing zeigt exemplarisch die Notwendigkeit, das Datenschutzrecht zu modernisieren, um die richtigen und angemessenen Rahmenbedingungen für die Technik des 21. Jahrhunderts zu setzen. Zulassung weiterer elektronischer Unterschriftsmechanismen Der Gesetzgeber wird aufgefordert, in 11 Abs. 2 Satz 2 BDSG neben dem bisherigen Schriftformerfordernis alternative elektronische Mechanismen neben der qualifizierten elektronischen Signatur zuzulassen, um mittels starker Authentifizierung die elektronischen Prozesse medien-bruchfrei zu gestalten. Aufhebung telekommunikations- und telemedienspezifischer Ungleichbehandlungen An der Streichung des 92 TKG ist im Rahmen der TKG-Novelle festzuhalten. Denn aufgrund der Abgrenzungsschwierigkeiten zwischen TKG und TMG führt die Regelung in 92 TKG zu einer unnötigen Verkomplizierung und zusätzlicher Rechtsunsicherheit im Kontext der ohnehin schwierigen Abgrenzung zwischen TKG und TMG. Schaffung einer Einheitlichkeit der Informationspflicht bei Datenpannen Im Rahmen der für 2011 anstehenden TKG-Novelle soll in 109a TKG-E einer Sonderregelung für die bereits heute in 42a BDSG, 15a TMG und 93 Abs. 3 TKG einheitlich geregelten Fälle der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten - auch bezeichnet als Security Breach Notification - eingefügt werden. Sowohl in ihren Voraussetzungen als auch in ihren Rechtsfolgen weichen 109a TKG und die unverändert bleibenden 42a BDSG, 15a TMG von einander ab. Eine solche Divergenz ist im Interesse der Rechtsanwendungssicherheit nicht hinnehmbar. Denn die Abgrenzung der Anwendungsbereiche des BDSG, TMG und des TKG sind gerade bei Online-Sachverhalten nicht abschließend eindeutig. Da die zukünftige Regelung in 109a TKG der Umsetzung einer EU-Richtlinie dient und daher hierauf nicht vollständig verzichten werden kann, ist dringend eine gleichzeitige oder kurzfristig nachfolgende Anpassung der 42a BDSG, 15 TMG geboten. Ermöglichung der Auftragsdatenverarbeitung in Drittstaaten bei Gewährleistung eines angemessenen Schutzniveaus Die für den Anwendungsbereich der Auftragsdatenverarbeitung bedeutende Abgrenzung zwischen Dritten und den der verarbeitenden Stelle zuzuordnenden Empfängern von Daten in 3 Abs. 8 BDSG sollte angesichts der Richtlinie 95/46/EG (EU-Datenschutzrichtlinie) und der von der EU-Kommission für Drittstaatenverarbeitungen entwickelten Instrumente dahingehend ausgeweitet werden, dass eine Auftragsdatenverarbeitung auch außerhalb der EU und des EWR möglich ist, wenn ein angemessenes Datenschutzniveau sichergestellt ist. Anpassung der Bestimmungen zum Schutz von Berufsgeheimnissen ( 203 StGB) Um sicherzustellen, dass auch Träger von Berufsgeheimnissen, wie z. B. Ärzte und Unternehmen der Lebens-, Kranken- und Unfallversicherung, in einem geschützten Rahmen, wie z.b. innerhalb der Unternehmensgruppe oder in einem anderen gesicherten Bereich, Cloud-Technologien Stand November

5 nutzen können, sollte 203 StGB angepasst werden. Es sollte geregelt werden, dass ein unbefugtes Offenbaren von Privatgeheimnissen nicht vorliegt, wenn der Geheimnisträger im Rahmen des ordnungsgemäßen Geschäftsbetriebs rechtlich selbstständige Stellen hinzuzieht, denen geschützte Daten zur Kenntnis gelangen, wenn die Stellen unter Berücksichtigung der von ihnen zum Geheimnisschutz getroffenen Maßnahmen sorgfältig ausgewählt wurden und der Geheimnisschutz bei ihnen aufgrund vertraglicher Vereinbarungen oder gesetzlicher Bestimmungen ebenso gewährleistet ist, wie bei dem Geheimnisverpflichteten selbst. Anpassungen der Bestimmungen zum Schutz besonderer Arten personenbezogener Daten Im Hinblick auf die gerade bei der Verwendung von Cloud-Technologien nicht einfache Abgrenzung zwischen Auftragsdatenverarbeitung und Datenübermittlung sollte eine Übermittlung von besonderen Arten personenbezogener Daten, insbesondere Gesundheitsdaten, unter eng gezogenen Grenzen legitimiert werden. Voraussetzung sollte in Anlehnung an 11 BDSG sein, dass der Dienstleister unter Berücksichtigung der zu Datenschutz und Datensicherheit getroffenen Maßnahmen sorgfältig ausgewählt wurde und der Datenschutz in gleicher Weise gewährleistet ist, wie es bei dem Auftraggeber selbst der Fall sein muss. Mitwirkende der UAG 1: Mitwirkende der UAG 2: - Bundesamt für Sicherheit in der Informationstechnik - Bird & Bird LLP - Bundesverband deutscher Banken e.v. - BITKOM - Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit - Bundesverband deutscher Banken e.v. (Federführung) - Gesamtverband der Deutschen Versicherungswirtschaft e.v. - Büro Bundesbeauftragter für den Datenschutz und die Informationsfreiheit - T-Systems International GmbH - Eurocloud Deutschland_eco e.v. - secunet Security Networks AG (Federführung) - Gesamtverband der Deutschen Versicherungswirtschaft e.v - JUCONOMY Rechtsanwälte - secunet Security Networks AG Stand November