Merkblatt "Cloud Computing"

Transkript

1 AUFSICHTSSTELLE DATENSCHUTZ Merkblatt "Cloud Computing" Cloud Computing ist heutzutage in aller Munde. Schnell und kostengünstig soll es sein. Doch was hat es mit dieser sog. Wolke auf sich? Was geschieht, wenn Daten nicht mehr vor Ort gespeichert, sondern via Internet irgendwo auf der Welt in einer Wolke abgelegt werden? Was, wenn Hard- und Software nicht mehr lokal zur Verfügung stehen, sondern als Dienste via Netz genutzt werden? Birgt die Wolke am Ende mehr Gefahren, als dass sie Nutzen bringt? Diese und ähnlich Fragen stellen sich nicht nur Datenschutz- und Datensicherheitsexperten. Das vorliegende Merkblatt wendet sich an Entscheidungsträger der Behörden des Kantons Basel-Landschaft, die sich, ohne vertiefte IT-Kenntnisse, in vereinfachter Form mit dem Thema Cloud Computing und dessen Einsatz im staatlichen Umfeld beschäftigen wollen. 1. Cloud Computing, um was geht es? Cloud Computing ist keine neue Technologie, sondern ein neuer Weg bestehende IT zu nutzen. Die Cloud besteht in der Regel aus riesigen Rechenzentren mit standardisierter Hard- und Software. Man unterscheidet zwischen der privaten Cloud, die nur innerhalb einer Organisation zur Verfügung steht, der Community Cloud, die von mehreren Organisationen genutzt wird, der öffentlichen Cloud eines externen Anbieters oder einer hybriden Cloud, welche Elemente mehrerer Arten von Clouds umfasst. Die primär privaten Anbieter, welche eine Public Cloud betreiben, bieten privaten und öffentlichen Datenbearbeitern die Möglichkeit, diese Infrastruktur mittels eines Netzwerks (meist das Internet) gratis oder gegen Entgelt zu nutzen. Die nachfolgenden Ausführungen beziehen sich auf diese Art von Cloud. In der Cloud unterscheidet man im Wesentlichen folgende unterschiedliche Service- Angebote: Infrastructure as a Service Der Anbieter stellt dem Kunden in der Cloud virtuelle Server, Computer oder Remote- Massenspeicher zur Verfügung, die via Internet genutzt werden können. Platform as a Service Bedarfsorientierte Bereitstellung von Plattform-IT-Ressourcen. Diese Ressourcen zeichnen sich dadurch aus, dass sie eine Plattform für den Betrieb von Anwendungen bereitstellen. Software as a Service Der Anbieter ermöglicht den Benutzern einen Fernzugriff auf Anwendungen, vom einfachen bis zu Ressourcenmanagement-Systemen einer Organisation. AUFSICHTSSTELLE DATENSCHUTZ RATHAUSSTR. 45, POSTFACH, 4410 LIESTAL TEL FAX datenschutz@bl.ch http: //

2 AUFSICHTSSTELLE DATENSCHUTZ 2 Bei allen Cloud Computing-Lösungen wird Rechen-, Speicher- und Netzwerkkapazität gemeinsam von mehreren Anwendungen genutzt. Der Nutzer kann sich vom Anbieter rasch und einfach Ressourcen, wie z.b. Rechenleistung oder Netzwerk-Speicher bereitstellen lassen. Diese Services sind über das Netz weltweit erreichbar und können über unterschiedlichste Endgeräte wie Laptops, Smartphones, PCs oder Tablet-PCs genutzt werden. Die Ressourcennutzung wird in der Regel gemessen und als Basis für die Verrechnung der Dienste verwendet. 2. Vorteile von Cloud Computing Im Vergleich zum Betrieb einer eigenen IT hat Cloud Computing vor allem ökonomische Vorteile. So werden in der Organisation keine leistungsstarken teuren Rechner benötigt. Zudem entfallen Kosten für Installation und Wartung und man bezahlt nur, was man tatsächlich nutzt (pay as you go). In Sachen Flexibilität ist Cloud Computing ebenfalls attraktiv, weil die benötigte Infrastruktur einfach und rasch angepasst werden kann. Schliesslich sind die Daten aus der Cloud via Internet zugänglich und stehen damit grundsätzlich jederzeit und ortsunabhängig zur Verfügung. Zusammenfassend hebt sich Cloud Computing durch die finanziellen Vorteile, die Flexibilität der Cloud und den weltweiten Zugang zu Daten deutlich von der herkömmlichen IT ab. Die Behörden müssen jedoch auch eine Risikoanalyse durchführen, d.h. sie müssen abhängig vom Inhalt der Datenbearbeitung die Schutzziele (zumindest bzgl. Vertraulichkeit, Verfügbarkeit und Integrität) bestimmen und das Gefährdungspotenzial ermitteln. 3. Allgemeine Risiken von Cloud Computing Die Risiken von Cloud Computing werden im Folgenden am Beispiel der Auslagerung von Daten durch eine Behörde dargestellt: Die Auslagerung von Daten in eine Public Cloud ist eine Form des Outsourcing. Dadurch werden die Daten nicht mehr im Herrschaftsbereich der Behörde bearbeitet, sondern liegen in der Regel irgendwo auf einem Server des Anbieters. Oft wissen die Nutzer nicht, in welchem Land sich die Daten befinden. Vertraulichkeit der Daten Die Behörden sind aufgrund des Amtsgeheimnisses und des Datenschutzgesetzes verpflichtet, die Vertraulichkeit der Daten sicherzustellen. Im Falle der Auslagerung in eine Public Cloud wird es faktisch schwierig diese Vertraulichkeit zu gewährleisten, denn es kann nicht ausgeschlossen werden, dass Mitarbeitende des Anbieters die Daten einsehen und allenfalls an Dritte weitergeben. Weiter ist zu beachten, dass sich i.d.r. verschiedene Nutzer ein System teilen (sog. Multi Tenant Architektur). Bei fehlerhafter bzw. ungenügender Trennung der verschiedenen Datenbearbeitungen entsteht das Risiko, dass andere Nutzer Zugriffsmöglichkeiten auf die Daten der Behörde erhalten. Verfügbarkeit der Daten Unter Verfügbarkeit von Daten ist zu verstehen, dass die Daten für den Nutzer jederzeit zugriffsbereit und nutzbar sind. Die Behörde hat nach der Auslagerung der Daten jedoch nur noch wenig Einfluss auf deren Verfügbarkeit. So können Anbieter von Cloud Computing, welche unter Umständen irgendwo auf der Welt sind, insolvent werden und den Betrieb der Cloud einstellen. Im Streitfall können die Anbieter den Behörden zudem den Zugang zu den Daten sperren. Und schliesslich hat die Vergangenheit gezeigt, dass auch bei grossen Anbietern Betriebsstörungen auftreten. Beispielsweise waren die aus-

3 AUFSICHTSSTELLE DATENSCHUTZ 3 gelagerten Daten bei Amazon im Jahr 2011 zum Teil über Tage nicht verfügbar oder gingen gar ganz verloren. Integrität der Daten Daten sollten weder bewusst noch zufällig von Unbefugten verändert werden können. Werden Daten in einer Public Cloud, d.h. ausserhalb des direkten Einflussbereichs der Behörden, bearbeitet, kann die Integrität nicht garantiert werden. Sowohl Mitarbeitende des Anbieters als auch Hacker von aussen könnten unrechtmässig Schreibrecht erlangen und die Daten verändern. Lock-in-Effekt Ein weiteres Risiko bei der Nutzung einer Cloud ist die Abhängigkeit vom jeweiligen Anbieter, da die angebotenen Schnittstellen meist herstellerspezifisch sind. Dadurch wird der Wechsel zu einem anderen Anbieter - oder zurück zu einer eigenen IT-Infrastruktur - erschwert (sog. Lock-in Effekt), was mit einem erheblichen finanziellen und personellen Aufwand verbunden wäre. 4. Rechtliche Risiken und Unsicherheiten Werden Daten nicht auf dem lokalen Computer gespeichert, sondern in Rechenzentren ausgelagert, welche sich irgendwo auf der Welt befinden, stellen sich komplexe Rechtsfragen. Vereinfacht gesagt, ist die volle Rechtssicherheit bei der Nutzung der Public Cloud nur dann gegeben, wenn die Rechenzentren in der Schweiz stehen und schweizerisches Recht gilt. Zudem besteht in diesem Fall für den Nutzer die Möglichkeit die Einhaltung der datenschutzrechtlichen Vorgaben regelmässig vor Ort zu überprüfen. Nutzen Behörden beispielsweise einen Anbieter mit Sitz in den USA (z.b. Amazon, Google oder Microsoft), stellt sich die Situation völlig anders dar. Diese Firmen unterstehen dem US Recht und können gezwungen werden, Daten an amerikanische Behörden weiterzugeben. Zudem lehnen diese Unternehmen beinahe jede Haftung ab und überlassen die Verantwortung dem Nutzer. Letztlich müssten schweizerische Behörden für Fehler der Unternehmen einstehen und die Haftung übernehmen. Cloud Angebote ausländischer Anbieter können von den Behörden deshalb kaum genutzt werden. 5. Verantwortlichkeit der Behörde für die Einhaltung des Datenschutzes Werden Personendaten in eine Cloud ausgelagert, so ist die Behörde, die dies veranlasst für die Einhaltung der datenschutzrechtlichen Vorgaben und damit auch für die Datensicherheit verantwortlich ( 6 und 7 IDG). Wie bei jedem Outsourcing üblich, muss die Behörde gewährleisten können, dass der Cloud-Anbieter das Datenschutzrecht beachtet und die Daten sicher bearbeitet. Die Sorgfaltspflicht der Behörde umfasst mehrere Punkte, auf die im Folgenden kurz eingegangen wird.

4 AUFSICHTSSTELLE DATENSCHUTZ 4 Frage der Datenart Zunächst stellt sich die Frage, welche Daten in eine Cloud ausgelagert werden sollen. Werden Sachdaten ausgelagert, muss geprüft werden, ob die Daten vertraulich, intern oder öffentlich sind. Werden Personendaten ausgelagert, kommt zudem noch das kantonale Datenschutzgesetz zur Anwendung. Aber auch bei den Personendaten selbst gilt es zu differenzieren. So wäre eine Auslagerung von Stundenplänen anders zu bewerten als eine Auslagerung von Gesundheitsdaten. Die Behörde muss sich also im Klaren sein, welche Daten sie in eine Cloud auslagern will und dann prüfen, ob eine Cloud- Lösung zulässig wäre. Zur Zeit dürfte eine Auslagerung von Personendaten in eine Public Cloud kaum zulässig sein. Wahl des Anbieters Ist geklärt, was ausgelagert werden soll und lässt das Gesetz eine Auslagerung grundsätzlich zu, muss als nächstes geprüft werden, wohin die Datenauslagerung zu erfolgen hat. Der Anbieter muss sorgfältig ausgewählt werden. In diesem Zusammenhang gibt es unzählige Fragen, die zu klären sind: Wo hat der Anbieter seinen Sitz? Welches Recht ist anwendbar? Hat der Anbieter Standardverträge, die an das staatliche Umfeld angepasst werden könnten? Wie sieht es mit den Schnittstellen aus? Beschäftigt der Anbieter Subunternehmer? Standort der Bearbeitung Im Gegensatz zum gewöhnlichen Outsourcing werden bei der Nutzung einer Public Cloud Daten oft ins Ausland weitergegeben. Oft weiss der Nutzer nicht, wo seine Daten genau gespeichert werden. Damit verbunden stellt sich zunächst die Frage des anwendbaren Rechts. Es ist kaum vorstellbar, dass sich eine Behörde ausländischem Recht unterwirft, weil dadurch die Rechte der Bürgerinnen und Bürger beeinträchtigt werden könnten. Darüber hinaus stellt sich aber auch die Frage, wie die staatlichen Kontrollrechte (Parlamentarische Kontrolle, Datenschutzkontrolle etc.) wahrgenommen werden können, wenn die Daten irgendwo auf der Welt bearbeitet werden. Schliesslich sind, wie bereits erwähnt, die Daten u.u. den Standortstaaten zugänglich. Dies ist mit dem schweizerischen und dem europäischen Datenschutzrecht kaum zu vereinbaren. 6. Vertragliches Bevor Cloud-Angebote genutzt werden können, müssen zumindest folgende Punkte vertraglich geregelt sein: Anwendbares Recht und Gerichtsstand Die verantwortliche Behörde muss den Anbieter verpflichten, sich vollumfänglich an die in der Schweiz geltenden Datenschutzvorschriften zu halten. Zudem sollte ein Gerichtsstand in der Schweiz vereinbart werden. Weiter muss sich der Anbieter verpflichten, allfälligen Subunternehmern dieselbe Verpflichtung zu überbinden.

5 AUFSICHTSSTELLE DATENSCHUTZ 5 Inhalt des Auftrages Wie bei jedem Outsourcing, so ist auch beim Cloud Computing zentral, dass der Auftrag genügend klar bestimmt ist. Im Vertrag müssen u.a. folgende Punkte geregelt sein: genaue Verantwortlichkeiten der Parteien Verpflichtungen des Anbieters, o die Daten keinem Dritten zugänglich zu machen o die Daten fristgerecht zu löschen resp. zu vernichten o nur Personen einzusetzen, welche sich vorgängig in einem Datenschutzrevers resp. in einem Arbeitsvertrag verpflichtet haben, die Daten vertragsgemäss zu bearbeiten o die Verfügbarkeit der Daten in einem Service Level Agreement zu garantieren Kontrollrechte Die Kontrollrechte der Behörde müssen sichergestellt sein (inklusive Zutrittsmöglichkeiten vor Ort). Auch die gesetzlichen Prüfrechte der Geschäftsprüfungskommission des Landrates, der Finanzkontrolle und der Aufsichtsstelle Datenschutz müssen gewährleistet werden. Modalitäten einer Vertragsänderung Es muss sichergestellt werden, dass die Vertragsbedingungen nicht einseitig abgeändert werden können. Subunternehmen Die Frage des Beizuges von Subunternehmern muss geregelt werden. Dies kann entweder so geschehen, dass diese Möglichkeit ausgeschlossen wird. Oder aber der Beizug kann von der schriftlichen Zustimmung der Behörde abhängig gemacht werden. Sanktionen Die Möglichkeit einer Konventionalstrafe oder ähnlicher Sanktionen für den Fall einer Vertragsverletzung sollte geregelt sein. Datensicherheit Der Behörde muss vor Vertragsschluss ein dokumentiertes Sicherheitskonzept unterbreitet werden. IT-Fachleute des Kantons überprüfen dieses Konzept.

6 AUFSICHTSSTELLE DATENSCHUTZ 6 Haftungsfragen Durch eine Betriebsstörung beim Anbieter kann ein Schaden entstehen, für dessen finanzielle Folgen alleine der Staat einstehen muss. Es empfiehlt sich, die Haftungsfragen - nach Rücksprache mit den zuständigen Rechtsdiensten - vertraglich zu regeln. Andernfalls besteht das Risiko, dass der Kanton für Fehler des Cloud-Anbieters einstehen muss. 7. Schlussbemerkungen Die Nutzung einer Public Cloud ist heute für Behörden nur sehr begrenzt möglich. Zu viele rechtliche und technische Probleme sind noch ungelöst. Zudem sind grosse, weltweit operierende Unternehmen nicht bereit, ihre Standardverträge an ein staatliches Umfeld anzupassen. Das Risiko einer Staatshaftung z.b. im Falle eines Datenverlusts ist deshalb nach wie vor hoch. Damit Behörden in Zukunft auch von einer Cloud profitieren können, haben der Bund und die Konferenz der Kantonsregierungen beschlossen, spezifische Cloud-Angebote für schweizerische Behörden zu schaffen, die sich auch für Daten mit erhöhtem Sicherheitsbedarf eigenen sollen 1. In die verwaltungsexterne Cloud gehören gegenwärtig nur Daten, die öffentlich sind und auf die man gut auch ein paar Tage verzichten könnte. 13. August vgl. E-Government Aktionsplan 2014, Stand Februar 2014, Abschnitt 2. "Priorisierte Vorhaben" und Abschnitt B2.14 "Umsetzung Cloud Computing-Strategie Schweiz" (