Rechtskonformität t in der Cloud Ein schwer zu erreichender Zustand IT-Si,

Transkript

1 Rechtskonformität t in der Cloud Ein schwer zu erreichender Zustand KA-IT IT-Si, Michael.knopp@secorvo.de Secorvo Security Consulting GmbH Ettlinger Straße D Karlsruhe Tel Fax info@ka-it-si.de Seite 1

2 Inhaltsübersicht Wolken sind schwer zu greifen Rechtliche Anforderungen Datenschutz Sonstige Geheimhaltungspflichten Buchhaltung in der Cloud Gestaltungsmöglichkeiten (KA-IT-Si) Seite 2

3 Ein wolkiger Begriff (KA-IT-Si) Dem Vortragstitel lässt es sich bereits entnehmen, das Verhältnis von Recht und Cloud ist nicht ganz konfliktfrei. Man könnte sagen, es gewittert etwas. Dabei sind allerdings zuerst einige Differenzierungen und Präzisierungen nötig. Cloud-Dienste werden verbreitet unterschieden nach dem Anwenderkreis in public, private und hybride clouds. Auf der zweiten Ebene wird nach der Dienstart unterschieden: Infrastruktur, Plattform, Software, Security und Monitoring, um einige as a service Leistungen zu nennen. In rechtlicher Sicht helfen diese Differenzierungen nur begrenzt weiter. Hier ist eher die Frage entscheidend, ob der Cloud-Anbieter ein Dritter im Verhältnis zur verantwortlichen Stelle ist, also ein anderes Unternehmen, wie weit der Dienstleister Einblick oder Zugriff erhält und welche Inhalte in der Cloud verarbeitet werden sollen. Cloud-Dienste sind kein sehr trennscharfer Begriff. Gemeint ist wohl in der Regel eine Form des Outsourcings, bei der IT-Infrastrukturen dynamisch über Netzwerke zur Verfügung gestellt werden, ohne dass der Nutzer genau bestimmen kann, von wo aus die Dienste angeboten werden. Ab welcher Grenze bei einem über das Internet angebotenen Dienst auch von einem Cloud-Dienst gesprochen werden muss, bleibt letztlich offen. Geht man von den rechtlichen Problemstellungen aus, so steht die verteilte Resourcennutzung im Vordergrund. Diese löst einen Kontrollverlust des Nutzers aus, sei es durch die Unkenntnis, wer alles am Angebot beteiligt ist, durch die erschwerte Verortung der Inhalte und Verarbeitungsleistungen, durch die evtl. geringen eigenen Administrationsrechte oder vollständige Einblick- oder Zugriffsmöglichkeiten des Anbieters. Die Art der Diensterbringung ist regelmäßig sehr intransparent. An diesen Eigenschaften knüpfen regelmäßig die rechtlichen Probleme an. Seite 3

4 Datenschutzrecht Handels-/Steuerrecht + Branchenspezifika Urheberrecht Verträge Strafrecht (KA-IT-Si) Ursprung rechtlicher Anforderungen Was sind aber nun die rechtlichen Anforderungen, bezüglich derer Cloud-Dienste zu Schwierigkeiten führen? Funktional handelt es sich größtenteils um alte Bekannte der IT- Sicherheit: Vertraulichkeit, Verfügbarkeit, Integrität und eben Transparenz sowie Kontrolle des Nutzers. Der Ursprung dieser Anforderungen kann in ganz unterschiedlichen Rechtsquellen und gebieten liegen. An erster Stelle steht natürlich das Datenschutzrecht, aber die Anforderungen können sich genauso gut aus vertraglichen Verpflichtungen des Nutzers, aus dem Handels- und Steuerrecht, aus strafrechtlich geschützten Geheimhaltungspflichten oder aus branchenspezifischen Pflichten ergeben. Ob die jeweiligen Anforderungen aber maßgeblich sind, hängt in jedem Fall von spezifischen Eigenschaften der genutzten Cloud-Dienste, den Inhaltsdaten, dem Cloud Nutzer und dem Anbieter ab. Aus diesem Grund kann es auf die Frage, ob Cloud-Dienste an sich zulässig sind oder nicht, keine pauschale Antwort geben. Das Urheberrecht kann bezüglich der über die Cloud genutzten und geteilten Software zudem zu Lizenzproblemen führen. Dieses Thema soll hier jedoch außen vor bleiben. Seite 4

5 Datenschutz (KA-IT-Si) Datenschutz Datenschutzrecht kommt zur Anwendung, wenn im Rahmen des Cloud-Dienstes personenbezogene Daten verarbeitet werden. Das kann grob gesagt auf zwei Weisen der Fall sein: Es werden Nutzerdaten protokolliert und Berechtigungsprofile verwaltet oder personenbezogene Daten sind Gegenstand des Dienstes. Als nächstes sind die Beteiligten zu betrachten. Es ist ihre Verantwortlichkeit zu klären und zu bewerten, wie die Datenweitergabe datenschutzrechtlich einzuordnen ist. Im einfachsten Fall ist die verantwortliche Stelle gleichzeitig Anbieter und Herr über die Cloud. Wird der Cloud-Dienst jedoch von einem Dritten angeboten, ist nach der Rechtsgrundlage zu fragen, wenn dieser Dritte Einblick in die Daten erhält. Außerhalb des familiären Bereichs dürfen personenbezogene Daten nur verarbeitet werden, wenn hierfür eine rechtliche Erlaubnis besteht (sog. Verbot mit Erlaubnisvorbehalt). Diese kann in der Einwilligung des Betroffenen liegen, in der Durchführung eines Vertrages mit dem Betroffenen oder in einem berechtigten Interesse. In aller Regel wird bei der Datenverarbeitung durch einen Dienstleister jedoch keiner dieser Erlaubnistatbestände anwendbar sein. Eine andere und häufig die einzige Lösung liegt in der so genannten Auftragsdatenverarbeitung. Hier bleibt die verantwortliche Stelle allein Verantwortlich. Sie muss mit dem Cloud-Anbieter schriftlich einen Vertrag schließen, für den es genaue gesetzliche Vorgaben gibt und mit dem sie sich die Weisungshoheit vorbehält. Im Gegenzug wird der mögliche Einblick des Diensteanbieters in die Daten oder dessen aktive Verarbeitung nicht als Übermittlung an einen Dritten angesehen. Rechtlich wird der Cloud-Anbieter der verantwortlichen Stelle (dem Nutzer) zugerechnet. Seite 5

6 (KA-IT-Si) Auftragsdatenverarbeitung Bezüglich der Anforderungen an eine Auftragsdatenverarbeitung setzt nun für Cloud-Dienste stürmisches Wetter ein. Mit der Auftragsdatenverarbeitungen gehen nun eine Reihe kritische Anforderungen an die Cloud-Dienste einher: Der Cloud-Anbieter muss eng weisungsgebunden handeln. Er muss seine Unterauftragnehmer benennen und sich verbindlich in Form eines Sicherheitskonzepts zu technischen und organisatorischen Maßnahmen verpflichten. Der Auftraggeber muss diese im Vorfeld und im späteren Verlauf prüfen. Umso verteilter die Dienste betrieben werden, desto eher stehen die Parteien hier im Regen. Der zentrale Punkt ist jedoch vereinfacht, dass der Auftraggeber die Kontrolle nicht aus der Hand geben darf. Teil der zu regelnden Pflichten ist auch die Löschung der Daten bei Beendigung der Cloud- Nutzung. Es bestehen ernsthafte Bedenken, ob dies bei verteilten Infrastrukturen verlässlich zugesichert und umgesetzt werden kann. Hierzu können die Daten von zu vielen unterschiedlichen und daher nicht mehr kontrollierten Sicherungssystemen erfasst werden. Für die Nutzung von Clouds, deren physische Ressourcen oder Anbieter außerhalb der europäischen Union liegen, sind die Perspektiven noch trüber: Nach dem deutschen Gesetzeswortlaut steht die Auftragsdatenverarbeitung hier nicht zur Verfügung. Über das europäische Recht wird sie jedoch praktisch vorausgesetzt. Unabhängig hiervon ist zudem für jede Übermittlung als erster Schritt vertraglich ein dem europäischen vergleichbares Datenschutzniveau zu sichern, etwa über Standardvertragsklauseln. Deren Verpflichtungen müssen jedoch auch auf Subunternehmer erstreckt werden. Gerade für Tochtergesellschaften oder gegenüber Großanbietern fällt es jedoch regelmäßig schwer, die erforderlichen Anbieterprüfungen durchzuführen oder die Weisungsrechte und genauen Vertragsinhalte durchzusetzen. Gegenüber einfachem Outsourcing tritt hier hinzu, dass die intransparente Verteilung die gesetzlich geforderte Kontrollausübung erschwert oder gar unmöglich macht. Seite 6

7 (KA-IT-Si) Geheimhaltungsverpflichtung Die Offenbarung von Daten Dritter kann unabhängig vom Personenbezug außerdem auch strafrechtlich relevant sein, sobald es sich um ein Berufsgeheimnis handelt. Unter Offenbarung fällt auch die Möglichkeit von IT-Dienstleistern, die Daten einzusehen. Patientendaten oder anwaltliche Mandantenakten in der Cloud stellen also ein Problem dar, solange die genutzten Anwendungen durch den Dienstleister kontrolliert werden. Weitere Geheimhaltungspflichten können aus vertraglichen Verpflichtungen entstehen. Auch hier kann der Einblick eines Cloud-Dienstleisters kritisch sein, je nach Ausprägung der diesbezüglichen Geheimhaltungspflichten. Ein Verstoß kann hier jedenfalls schnell eintreten, wenn der Verpflichtete überhaupt nicht kontrollieren kann, wer alles im Rahmen des Cloud- Dienstes Einblick erlangt. Seite 7

8 (KA-IT-Si) Steuerrecht und branchenspezifische Vorgaben Die Verlagerung der Buchführung in die Cloud ist nach einigen Rechtsänderungen in Deutschland inzwischen grundsätzlich zulässig. Es sind allerdings einige Voraussetzungen zu beachten, v.a. dass in dem hierfür erforderlichen Antrag an die Finanzverwaltung der Standort des Datenverarbeitungssystems anzugeben ist. In einer verteilten Cloud-Struktur dürfte dies eine Herausforderung darstellen. Zu beachten bleiben zudem weiterhin die Vorgaben der GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme) und der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen). Zu diesen Anforderungen zählt hier die kurzfristige Verfügbarkeit, die Systemdokumentation und die Kontrolle der Zugriffsberechtigungen. Erneut erweist sich hier die regelmäßig geringe Transparenz von Cloud-Diensten und die Schwierigkeit, diese zu kontrollieren, als Problem. Neben den dargestellten Problemen darf jedoch nicht vergessen werden, dass die Datenverarbeitung für manche Nutzer durch Cloud-Dienste hinsichtlich der Verlustsicherung und Datenpflege sicherer und professioneller werden kann. Cloud-Dienste besitzen nicht ausschließlich Rechtsanforderungen gegenläufige Eigenschaften. Seite 8

9 (KA-IT-Si) Gestaltungsmöglichkeiten Welche Möglichkeiten gibt es nun, Cloud-Dienste zu nutzen ohne Rechtsverletzungen zu begehen? Datenschutzrechtlich ist trotz der Schwierigkeiten die Auftragsdatenverarbeitung in der Mehrzahl der Fälle der richtige Weg. Wenn eine ausreichende Kontrolle und Transparenz nicht herzustellen sind, dann ist an dieser Stelle schlicht die Grenze des rechtlich zulässigen erreicht. In der Konsequenz heißt das, dass der Anbieter offen legen muss, wo die Daten gespeichert werden, wer Zugriff erlangen kann, welche Maßnahmen zum Schutz der Daten ergriffen worden sind. Die Weisungsrechte und die übrigen in 11 BDSG geforderten Regelungen sind in einem schriftlichen Vertrag zu vereinbaren. Ein wesentliches Problem ist die datenschutzrechtliche Prüfungspflicht des Auftraggebers. Dies ist schon beim einfachen Outsourcing gelegentlich ein schwieriges Thema. Verschwinden die Daten in der Cloud, gilt dies umso mehr. Die Lösung kann hier nur in Zertifikaten zum Nachweis erfolgter Prüfungen liegen. Hierzu müssen die Datenschutzzertifizierungen jedoch zuerst rechtlich belastbar gemacht werden. Ein Zertifikat, bei dem zunächst streng genommen die Anforderungen, die Durchführung und der Bericht durch den Auftraggeber genau geprüft werden müssen, hilft nicht viel. Hier sind Standards gefragt und eine Akkreditierung der Zertifizierer durch eine geeignete Instanz. Nachdem der Gesetzgeber diesbezüglich schon seit langen Jahren nicht handelt, ist hier guter Rat teuer. Beinahe alle Probleme sind auf einen Schlag gelöst, wenn die Daten von dem Nutzer so verschlüsselt werden können, dass kein Dritter sie einsehen kann, auch nicht der Cloud-Anbieter. Außerdem darf der Dienst keine Zugriffssteuerung durch den Cloud-Anbieter beinhalten. Dies wird jedoch in der Regel nur bei Speicherdiensten möglich sein. Sollen die Daten durch den Diensteanbieter im Rahmen des Dienstes bearbeitet werden, scheidet diese Lösung derzeit aus. Ein anderer Weg zur Datensparsamkeit ist die Pseudonymisierung. Hier ist jedoch zu beachten, dass pseudonyme Daten definitionsgemäß und nach Auffassung vieler Aufsichtsbehörden weiterhin personenbezogene Daten sind. Erst mit der Anonymisierung entfällt die Anwendbarkeit des Datenschutzrechts. Die zentralen Konflikte von Cloud-Diensten mit rechtlichen Anforderungen werden durch den Mangel an Kontrollierbarkeit und Transparenz ausgelöst. Für die verantwortliche Stelle zu personenbezogenen Daten oder den Geheimnisträger reicht es nicht aus, zu vertrauen. Zur Erfüllung seiner Pflichten ist Kontrolle erforderlich. Cloud-Dienste sind letztlich Werkzeuge. Wie bei allen Werkzeugen sind sie nicht für jede Aufgabe gleichermaßen geeignet. Wie gesehen, stehen rechtliche Anforderungen jedoch nicht den Cloud-Diensten an sich entgegen. Der Einsatz von Cloud-Diensten erfordert eine sorgfältige Prüfung im Einzelfall und die Fähigkeit, Grenzen zu akzeptieren und zu beachten. Es ist jedoch nicht unmöglich, rechtskonform Cloud- Dienste einzusetzen. Seite 9

10 c/o Secorvo Security Consulting GmbH Ettlinger Straße D Karlsruhe Tel Fax Seite 10

11 Bildquellen Folie 03: 2005 Dana Rothstein. Bigstock.com Folie 04: 2011 Robert Wilson. Bigstock.com Folie 05: 2011 Péter Gudella. Bigstock.com Folie 06: 2011 Stanislav Perov. Bigstock.com Folie 07: 2004 Ailati Ailati. Bigstock.com Folie 08: 2010 Jörg Röse-Oberreich. Bigstock.com Folie 09: 2005 John Catalano. Bigstock.com (KA-IT-Si) Seite 11