Rechtliche Aspekte der Datenhaltung

Masterstudium Angewandte Informatik Seminar aus Informatik (911.039) Rechtliche Aspekte der Datenhaltung Andreas Dorfer Sabine Laubichler Seminar aus Informatik 19.07.2013 1/18

Inhaltsverzeichnis 1 Einleitung... 3 2 Cloud-Computing... 4 2.1 Eigenschaften... 4 2.2 Service-Modelle... 4 2.3 Betriebsmodelle... 5 2.4 Vor- und Nachteile... 5 3 Rechtliche Aspekte... 6 3.1 Europäische Datenschutz-Richtlinie... 6 3.2 Datenschutzgesetz 2000 (DSG)... 7 3.2.1 Definitionen... 7 3.2.2 Auswahl des Cloud-Anbieters... 7 3.2.3 Dienstleistervertrag... 8 3.3 Grenzüberschreitendes Cloud-Computing... 10 3.3.1 Datenübermittlung in die USA... 10 4 Technische Umsetzung... 12 4.1 Compliant Cloud Computing (C3)... 12 4.1.1 Compliance-Level-Agreement (CLA)... 12 4.1.2 Verteilung... 13 4.1.3 Rollen... 14 4.1.4 Ausführung... 15 4.1.5 Sprachunterstützung... 16 4.1.6 Middleware... 16 5 Fazit... 18 Seminar aus Informatik 19.07.2013 2/18

1 Einleitung Cloud-Computing gewinnt zunehmend an Bedeutung und immer mehr IT-Unternehmen lagern ihre Daten in die Cloud aus. Wenn ein Unternehmen jedoch personenbezogene Daten verarbeitet, sei es nun von Kunden oder von Mitarbeitern, gibt es eine Vielzahl von rechtlichen Anforderungen die berücksichtigt werden müssen. Die Einhaltung dieser Vorgaben muss auch bei einer Auslagerung von Daten in die Cloud gewährleistet sein. Ziel dieser Seminararbeit ist es einerseits die Rechtsvorschriften betreffend Datenschutz aufzuzeigen und andererseits ein bei der Einhaltung von Rechtsnormen unterstützendes Cloud- Computing-Framework vorzustellen. Seminar aus Informatik 19.07.2013 3/18

2 Cloud-Computing 1 Es gibt eine Vielzahl von Definitionen betreffend Cloud-Computing. In der IT-Branche ist vor allem die Charakterisierung durch das National Institute of Standards and Technology (NIST) von Bedeutung. 2 NIST beschreibt Cloud-Computing bezüglich Eigenschaften, Service-Modellen und Betriebsmodellen. 2.1 Eigenschaften Cloud-Computing erfüllt im Allgemeinen folgende Eigenschaften: Breitbandnetzwerkzugang Der Nutzer greift in Echtzeit und oft auch unter Einsatz von mobilen Geräten auf die Cloud zu. Schnelle Elastizität Cloud-Ressourcen stehen dem Nutzer schnell und bedarfsgerecht zur Verfügung. On-Demand Self-Service Die Konfiguration von Cloud-Diensten kann ohne menschlichen Kontakt mit dem Cloud- Anbieter erfolgen. Ressourcen-Pooling Cloud-Dienste sind ortsunabhängig. Dem Dienstanwender ist nicht bekannt an welchem Ort sie erbracht werden. 2.2 Service-Modelle NIST differenziert drei Service-Modelle, die oft als SPI-Modelle bezeichnet werden. Sie unterscheiden sich maßgeblich im Umfang der durch den Cloud-Anbieter zur Verfügung gestellten Infrastruktur: Software as a Service (SaaS) Der Cloud-Provider stellt dem Cloud-Nutzer Software auf seiner Plattform zur Verfügung. Der Anwender greift meist mittels eines Browsers auf die Dienste des Anbieters zu und hat keine Kontrolle über die zur Verfügung gestellte Software. SaaS-Angebote sind u.a. salesforce.com, SAP Business ByDesign oder icloud. 1 Pollirer, Datenschutz und Cloud Computing <http://www.securityforum.at/uploads/media/datenschutz_und_cloud_computing_01.pdf> (19.07.2013). 2 Mell/Grance, The NIST Definition of Cloud Computing <http://csrc.nist.gov/publications/nistpubs/800-145/sp800-145.pdf> (19.07.2013). Seminar aus Informatik 19.07.2013 4/18

Platform as a Service (PaaS) Der Cloud-Nutzer hat die Möglichkeit seine eigene Software auf der vom Cloud-Provider bereitgestellten Plattform aufzubauen. Die Kontrolle über die Software bleibt alleine beim Nutzer. PaaS-Angebote sind u.a. Google App Engine oder Windows Azure. Infrastructure as a Service (IaaS) Dem Cloud-Nutzer werden Rechenzeit, Speicherplatz, Netzwerk und allgemeine IT-Services in der Infrastruktur des Cloud-Anbieters zur Verfügung gestellt. Dem Cloud-Nutzer steht es frei wie er diese Ressourcen nutzt. IaaS-Angebote sind u.a. Oracle IaaS und Amazon EC2. 2.3 Betriebsmodelle Die Betriebsmodelle unterscheiden sich vor allem in Hinblick auf ihre Zugänglichkeit: Öffentliche Cloud Der Cloud-Anbieter stellt seine Cloud-Infrastruktur öffentlich zur Verfügung. Private Cloud Die Cloud steht nur einer geschlossenen Gruppe (wie etwa innerhalb eines Unternehmens) zur Verfügung. Community Cloud Mehrere Cloud-Anbieter bündeln ihre Infrastruktur und bieten Services für eine bestimmte Cloud-Nutzergruppe an, die gemeinsame Anforderungen aufweisen. Hybride Cloud Unterschiedliche Betriebsmodelle werden gemeinsam genutzt. 2.4 Vor- und Nachteile Es existieren sowohl Vor- als auch Nachteile von Cloud-Computing die oft von der konkreten Anwendung abhängig sind. Allgemein akzeptierte Vor- bzw. Nachteile sind: Vorteile o Geringere Kosten o Entlastung der internen IT-Abteilung o Hohe Skalierbarkeit o Höhere Performance durch on-demand Ressourcen o Höhere Verfügbarkeit als interne Rechenzentren Nachteile o Zwingender Netzzugang o Oft unklare Datensicherheit Seminar aus Informatik 19.07.2013 5/18

3 Rechtliche Aspekte 3 Die Grundlage des Datenschutzes in Österreich bildet das entsprechende Datenschutzgesetz. Darüber hinaus existiert eine Europäische Datenschutz-Richtlinie die allgemeine Anforderungen an den Datenschutz innerhalb der Europäischen Union stellt. 3.1 Europäische Datenschutz-Richtlinie 4 Entsprechend der Europäischen Datenschutz-Richtlinie existieren sieben Grundprinzipien die bei der Verarbeitung von personenbezogenen Daten eingehalten werden müssen: 1. Rechtsmäßigkeit Jede personenbezogene Datenverarbeitung benötigt eine rechtliche Grundlage wie einen Vertrag, eine Einwilligung oder ähnliches. 2. Einwilligung Betroffene müssen der Verarbeitung ihrer Daten zustimmen und müssen hinreichend über den Zweck der Datenverarbeitung informiert werden. 3. Zweckbindung Personenbezogene Daten dürfen ausschließlich entsprechend dem Erhebungszweck verwendet werden. 4. Erforderlichkeit und Datensparsamkeit Es dürfen nur jene personenbezogenen Daten erhoben werden, die für den Zweck der Anwendung relevant sind. Nicht mehr benötigte Daten müssen gelöscht werden. 5. Transparenz und Betroffenenrechte Die Verarbeitung muss transparent erfolgen. Jeder Betroffene hat ein Recht auf Auskunft über ihn betreffende, Berichtigung von falschen und Löschung von unrechtmäßig erhobenen Daten. 6. Datensicherheit Technische und organisatorische Maßnahmen müssen vor unberechtigtem Zugriff schützen. 7. Kontrolle Die Einhaltung der Prinzipien muss sowohl interner als auch externer Kontrolle unterliegen. 3 EuroCloud Austria, Leitfaden Cloud Computing: Recht, Datenschutz & Compliance <http://www.eurocloud.at/projekte/> (19.07.2013). 4 Borges/Schwenk, Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, 82 ff. Seminar aus Informatik 19.07.2013 6/18

3.2 Datenschutzgesetz 2000 (DSG) Beim Datenschutz geht es um die Reglementierung der Verarbeitung von personenbezogenen Daten, wie etwa Daten von Kunden oder Mitarbeitern. Der Rechtsrahmen für Cloud-Computing und die damit in Verbindung stehenden Begrifflichkeiten sind zum überwiegenden Teil im DSG geregelt. 3.2.1 Definitionen 5 Die wichtigsten Begriffsbestimmungen nach 4 DSG lauten sinngemäß: Personenbezogene Daten Alle Daten die einen Personenbezug haben oder bei denen der Anbieter, der Nutzer oder ein Dritter einen Personenbezug herstellen kann. Auftraggeber (der Cloud-User) Natürliche oder juristische Personen, die allein oder gemeinsam Daten verwenden, unabhängig davon, ob sie die Daten selbst verwenden oder einen Dienstleister beauftragen. Dienstleister (der Cloud-Provider) Natürliche oder juristische Personen, die Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden. Datei Strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind. Datenanwendung Summe der logisch verbundenen Verwendungsschritte, die zur Erreichung eines inhaltlich bestimmten Ergebnisses geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt erfolgen. Verwendung von Daten Jede Art der Handhabung, Verarbeitung oder Übermittlung von Daten. 3.2.2 Auswahl des Cloud-Anbieters Die Auswahl eines Cloud-Anbieters sollte mit Bedacht erfolgen. Dabei spielen die beim Anbieter getroffenen organisatorischen und technischen Maßnahmen eine essentielle Rolle. Ebenso muss die angebotene Datenverarbeitung laut 10 DSG sicher und rechtmäßig sein. 5 Bundeskanzleramt, Datenschutzgesetz 2000 <http://www.ris.bka.gv.at/geltendefassung/bundesnormen/10001597/dsg%202000%2c%20fassung%2 0vom%2019.07.2013.pdf> (19.07.2013). Seminar aus Informatik 19.07.2013 7/18

3.2.3 Dienstleistervertrag Die Voraussetzung für eine rechtmäßige Datenüberlassung an einen Cloud-Provider ist ein entsprechender Dienstleistervertrag bei dem der Cloud-User als Auftraggeber und der Cloud- Provider als Auftragnehmer auftritt. 3.2.3.1 Form Damit der Vertrag Gültigkeit besitzt, muss er einer Schriftform entsprechen. Entsprechend dem DSG sind die Pflichten des Dienstleisters nicht zwingend in schriftlicher Form anzugeben, wodurch die Unterschrift des Nutzers als auch des Anbieters entfallen. Die gängigste Form um eine Identifizierung der Vertragspartner dennoch sicherstellen zu können ist die digitale Signatur. 3.2.3.2 Gegenstand des Auftrags Die Leistung, die sich der Anbieter verpflichtet zu erbringen, muss grob umschrieben werden. Wenn personenbezogene Daten gespeichert werden, sollte die notwendige Verarbeitung genau definiert werden. 3.2.3.3 Verantwortlichkeit Die Verantwortlichkeit sollte zwischen Nutzer und Anbieter genau geregelt sein. Der Anbieter ist dabei verpflichtet, die Daten ausschließlich im Rahmen des Auftrags des Nutzers zu verarbeiten und zu übermitteln ( 11 Abs 1 DSG). Des Weiteren sollte geregelt sein, wer für Pannen haftet und bei eventuellen Sicherheitsverstößen für die unverzügliche Information der Betroffenen zuständig ist. 3.2.3.4 Nutzerkontrolle Der Auftraggeber hat jeder Zeit das Recht, die Schutzmaßnahmen des Anbieters zu kontrollieren, wobei dies auch durch Dritte erfolgen kann, was bei ausländischen Cloud-Providern von Vorteil sein kann. Kontrollen können aber auch durch Aufsichtsbehörden stattfinden. In diesem Fall ist es ratsam, die notwendigen technischen und organisatorischen Voraussetzungen zu schaffen, um die datenschutzrechtlichen Auskunfts-, Richtigstellungs- und Löschungspflichten erfüllen zu können. Kontrollen können auf die Geschäftszeiten des Anbieters beschränkt werden und müssen grundsätzlich entgeltfrei sein. 3.2.3.5 Technische und organisatorische Maßnahmen Der Anbieter verpflichtet sich laut 14 DSG, technische und organisatorische Maßnahmen zu treffen, damit personenbezogene Daten geschützt werden. Das Sicherheitskonzept muss vertraglich als Leistungspflicht festgehalten werden. Abstrakte und pauschalierte Beschreibungen sind nicht zulässig. Seminar aus Informatik 19.07.2013 8/18

Im Regelfall erstellt der Anbieter ein Sicherheitskonzept das durch den Nutzer geprüft wird. Der Nutzer verpflichtet sich zur Überprüfung ob das Konzept den datenschutzrechtlichen Anforderungen entspricht und lagert seine Daten erst nach einer erfolgreichen Prüfung aus. Dabei ist zu beachten, dass die Sicherheitsmaßnahmen der technischen Entwicklung entsprechen müssen. Nutzer und Anbieter sind gleichermaßen verpflichtet dies sicherzustellen. 3.2.3.6 Laufzeit und Rückgabe von Daten Die Rückgabe von personenbezogenen Daten ist in 11 Abs 1 Z 5 DSG geregelt. Darin wird festgelegt, dass nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten sind. Drei mögliche Szenarien sind: Weitere Aufbewahrung der Daten im Auftrag des Nutzers Rückübertragung der Daten und Löschung dieser im System des Anbieters Löschung der Daten im System des Anbieters Erst nach dem Versand der Bestätigung über die endgültige Löschung durch den Anbieter erlöschen dessen Pflichten und der Dienstleistungsvertrag ist beendet. 3.2.3.7 Branchenspezifische Sonderfälle Manche Branchen gehen mit speziellen Anforderungen einher die bei Vertragsabschluss berücksichtigt werden müssen. Finanzdienstleistungen 25 WAG (Wertpapieraufsichtsgesetz) setzt die Auslagerung von wesentlichen betrieblichen Aufgaben an Dienstleister fest. Grundlegend ist dabei die Verpflichtung, dass beim Rückgriff auf Dritte zur Wahrnehmung betrieblicher Aufgaben, die für die kontinuierliche und zufriedenstellende Erbringung von Dienstleistungen für Kunden und die Ausübung von Anlagetätigkeiten wesentlich sind, angemessene Vorkehrungen getroffen werden, um unnötige zusätzliche Geschäftsrisiken zu vermeiden. 6 Der Cloud-Nutzer sollte bei Angelegenheiten der Finanzdienstleistung den Cloud-Anbieter sorgfältig auswählen, damit die Überwachung und Leistungsbewertung in allen Situationen funktioniert. 6 Bundeskanzleramt, Wertpapieraufsichtsgesetz 2007 <http://www.ris.bka.gv.at/geltendefassung/bundesnormen/20005401/wag%202007%2c%20fassung% 20vom%2019.07.2013.pdf> (19.07.2013). Seminar aus Informatik 19.07.2013 9/18

Telekommunikation Laut 92 ff TKG (Telekommunikationsgesetz) gilt, dass eine Übermittlung von personenbezogenen Daten, sogenannte Stamm- und Verkehrsdaten, nur an Dritte erfolgen darf, soweit das für die Erbringung jenes Kommunikationsdienstes, für den diese Daten ermittelt und verarbeitet worden sind, durch den Betreiber eines öffentlichen Kommunikationsdienstes erforderlich ist. 7 Berufsgeheimnis Manche Branchen unterliegen einer Verschwiegenheitspflicht. Dazu zählen z.b. das Gesundheitswesen oder Versicherungsmakler. Dabei sollte dem Cloud-Nutzer immer bekannt sein welche Daten an welchem Ort gespeichert werden. 3.3 Grenzüberschreitendes Cloud-Computing Cloud-Computing findet oft grenzüberschreitend statt. Wenn sich der Auftragnehmer innerhalb der EU oder des EWR befindet, gilt 12 Abs 1 DSG: Die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen Beschränkungen im Sinne des 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaft unterliegen. Bei Auftragnehmern in Drittstaaten müssen gesonderte vertragliche Regelungen (wie etwa die Genehmigungspflicht) eingehalten werden. Die Genehmigung für eine Datenübertragung in einen Drittstaat entfällt, wenn dieser Staat einen angemessenen Datenschutz gewährleistet, der dem des DSG entspricht. Ebenso entfällt die Genehmigung für den Datenverkehr ins Ausland, wenn: die Daten bereits im Inland veröffentlicht wurden. die Daten lediglich indirekt personenbezogen sind. die Daten für private oder publizistische Zwecke verwendet werden. der Betroffene ohne Zweifel seine Zustimmung für die Übermittlung gegeben hat. 3.3.1 Datenübermittlung in die USA 8 Die Übermittlung von personenbezogenen Daten in die USA ist prinzipiell genehmigungspflichtig. Dies gilt nicht bei der Übertragung an Unternehmen die sich dem Safe-Harbor-Abkommen verpflichtet haben. Dieses Abkommen ist der amerikanischen Federal Trade Commission (FTC) 7 Bundeskanzleramt, Telekommunikationsgesetz 2003 <http://www.ris.bka.gv.at/geltendefassung/bundesnormen/20002849/tkg%202003%2c%20fassung%2 0vom%2019.07.2013.pdf> (19.07.2013). 8 Marnau/Schlehahn, Cloud Computing und Safe Harbor, DuD 5/2011, 311. Seminar aus Informatik 19.07.2013 10/18

unterstellt und sichert ein angemessenes Datenschutzniveau mit Hilfe einer Zertifizierung zu. Dieses Zertifikat besitzen alle der großen amerikanischen Cloud-Anbieter. Damit ein Unternehmen Safe-Harbor zertifiziert werden kann, muss es sich an sieben Grundprinzipien halten: 1. Notice (Benachrichtigung) Jeder Betroffene muss vor der Übertragung von ihn betreffenden Daten darüber informiert werden (vor allem damit ihm die für die Datensicherheit verantwortliche Stelle bekannt ist). 2. Choice (Freiwilligkeit) Die Übermittlung von personenbezogenen Daten in einen Safe-Harbor muss freiwillig erfolgen. D.h. es muss eine Opt-Out-Möglichkeit geben. 3. Onward Transfer (Übermittlung) Eine Datenüberlassung ist nur an Dritte gestattet, die mindestens den Sicherheitsanforderungen des Safe-Harbor-Abkommens genügen. 4. Security (Datensicherheit) Daten müssen vor Verlust, Missbrauch, unbefugter Kenntnisnahme, Veränderung oder Zerstörung geschützt werden. 5. Data Integrity (Datenintegrität) Daten müssen in Bezug auf ihren Erhebungszweck relevant und verlässlich sein. 6. Access (Zugang) Betroffene haben ein Recht auf Auskunft bzw. Richtigstellung von unrichtigen auf sie bezogenen Daten. 7. Enforcement (Durchsetzung) Die Einhaltung aller Prinzipien des Safe-Harbor-Abkommens muss sichergestellt sein. Zusätzlich ist noch zu erwähnen, dass die FAQ des US Department of Commerce einen geltenden Charakter besitzen. Seminar aus Informatik 19.07.2013 11/18

4 Technische Umsetzung 9 Bestehende Cloud-Provider bieten keine ausreichenden Zusicherungen um allen rechtlichen Anforderungen gerecht zu werden. Die vertraglichen Verbindlichkeiten beschränken sich meist auf die Einhaltung von sogenannten Service-Level-Agreements (SLA). Diese decken jedoch nur technische und quantitativ messbare Aspekte ab, wie etwa Erreichbarkeit oder Durchsatz (wobei die durch den Provider festgelegten Grenzen durch den Cloud-User nicht anpassbar sind). Für die Einhaltung von rechtlichen Rahmenbedingungen ist aber auch die Einhaltung von systemischen und qualitativen Vorgaben von Relevanz (des Weiteren ist es im Regelfall notwendig, dass die konkreten Grenzen vom Cloud-User vorgegeben werden). Aufgrund dieser bestehenden Unzulänglichkeiten findet man in der Literatur eine Vielzahl von Ansätzen, die dem Cloud-User eine umfangreichere Handhabe über seine Daten ermöglichen, die auch für eine rechtskonforme Datenspeicherung ausreichend sind. Gegenwärtig ist allerdings noch keine Umsetzung eines derartigen erweiterten Ansatzes durch einen Cloud-Provider absehbar. Einen vielversprechenden Ansatz bildet das Compliant Cloud Computing (C3). 4.1 Compliant Cloud Computing (C3) Das C3-Framework besteht aus zwei Teilen: einer Sprachunterstützung zur Beschreibung der Anforderungen an den Cloud-Provider durch den Cloud-User und der C3-Middleware zur automatisierten Durchsetzung dieser Anforderungen. Die Sprachunterstützung erlaubt es dem Anwender seine Anforderungen an die Datenhaltung betreffend Sicherheit, Datenschutz und ähnliches in einer Domain-Specific-Language (DSL) zu formulieren. Diese Beschreibung wird mittels Unterstützung der C3-Middleware in Compliance-Level- Agreements (CLA) überführt. Auf Basis dieser generierten CLAs entscheidet die C3-Middleware automatisch welche Cloud-Provider ein angemessenes Sicherheitsniveau anbieten und verteilt die Anwendung auf die entsprechenden Anbieter. Nach erfolgter Verteilung übernimmt die C3- Middleware ebenfalls die Überwachung und Durchsetzung der Anforderungen während der Programmausführung. 4.1.1 Compliance-Level-Agreement (CLA) CLAs sind eine Erweiterung der bekannten SLAs. SLAs beschränken sich in der Regel auf messbare technische Aspekte, wie eine zugesicherte Verfügbarkeit des Services oder eine durchschnittliche Durchsatzrate. CLAs umfassen alle Aspekte die durch SLAs abgedeckt werden und erweitern diese 9 Brandic/Dustdar/Anstett/Schumm/Leymann/Konrad, Compliant Cloud Computing (C3): Architecture and Language Support for User-driven Compliance Management in Clouds, in 2010 IEEE 3rd International Conference on Cloud Computing, 244. Seminar aus Informatik 19.07.2013 12/18

um systemische Anforderungen an den Cloud-Provider, wie die Zertifizierung durch eine vorgegebene Stelle oder die Anwendung einer bestimmten Auditmethode. Dieser Zusammenhang ist in Abbildung 1 ersichtlich. Abbildung 1: SLA vs. CLA Sowohl SLAs als auch CLAs beinhalten zusätzlich zu den eigentlichen Anforderungen auch einige allgemeine Eckpunkte, wie etwa die betroffenen Parteien, die ein Abbildung 1 unter der Bezeichnung Core zusammengefasst werden. 4.1.2 Verteilung Eine C3-fähige Anwendung entsteht durch Verwendung der entsprechenden C3-API, die einen Zugriff auf die Funktionen der C3-Middleware erlaubt. Eine derartige Anwendung kann anschließend auf einen C3-aware Cloud-Provider verteilt werden. Ein C3-aware Cloud-Provider ist in der Lage, die durch den Cloud-User gestellten Anforderungen während der gesamten Laufzeit einzuhalten. Derartige Provider sind an einem entsprechenden C3-Zertifikat zu erkennen. Innerhalb eines C3-aware Cloud-Providers greift eine C3-Anwendung über die C3-API auf die Funktionen der C3-Middleware zu. Zusätzlich stellt ein C3-aware Provider eine C3-GUI zur Verfügung, die das Verteilen bzw. das Konfigurieren von bereits verteilten Anwendungen ermöglicht. Die Verteilung einer C3-Anwendung ist in Abbildung 2 ersichtlich. Abbildung 2: Verteilung einer C3-Anwendung Seminar aus Informatik 19.07.2013 13/18

4.1.3 Rollen Bei der Entwicklung als auch bei der Ausführung einer typischen C3-Anwendung sind mehrere Rollen beteiligt. Der Anwendungsentwickler erstellt die C3-Anwendung unter Verwendung der C3-API. Anschließend verteilt er die Anwendung auf einen C3-aware Cloud-Provider. Der Anwendungsadministrator konfiguriert die Anwendung über die C3-GUI. Dazu müssen die konkreten Anforderungen der Anwendungen mit Hilfe einer DSL beschrieben werden. Die Anforderungen werden mit Unterstützung der C3-Middleware und zur Verfügung gestellten CLA- Templates des Providers in CLAs überführt. Damit die Anwendung unter Einhaltung aller Anforderungen ausgeführt werden kann, müssen die erzeugten CLAs mit den CLA-Möglichkeiten des Cloud-Providers kompatibel sein. Zur Laufzeit hat ein Datenanalyst die Möglichkeit die Anwendungsdaten zu annotieren. Dabei können zusätzliche Anforderungen sowohl an einzelne Datensätze als auch an Spalten oder Tabellen einer relationalen Datenbank gestellt werden. Mögliche Anforderungen sind z.b., dass bestimmte Daten, Spalten oder Tabellen nur getrennt voneinander oder nur in definierten geografischen Region gespeichert werden dürfen. Eine weitere Laufzeitrolle stellt der Anwendungsnutzer dar der die C3-Anwendung verwendet ohne von der zugrundeliegenden C3-Architektur Notiz zu nehmen. Abbildung 3 zeigt die involvierten Rollen einer typischen C3-Anwendung. Abbildung 3: An einer C3-Anwendung beteiligte Rollen Seminar aus Informatik 19.07.2013 14/18

4.1.4 Ausführung Die Ausführung einer C3-Anwendung erfolgt über einen C3-aware PaaS-Cloud-Provider. Dieser kann die tatsächliche Ausführung und Datenhaltung entweder selbst übernehmen oder die gesamte Durchführung bzw. nur Teile davon durch andere Cloud-Provider ausführen lassen. Bei der Weiterleitung von Ausführungsteilen sind drei Szenarien zu unterscheiden, die auch in Abbildung 4 gezeigt werden: Weiterleitung an einen regulären SLA-basierten Cloud-Provider Daten- und Programmteile ohne besondere Sicherheitsanforderungen, wie etwa Logging oder ähnliches, können an einen regulären SLA-basierten Cloud-Provider ausgelagert werden. Weiterleitung an einen C3-aware SaaS-Cloud-Provider Daten- und Programmteile mit besonderen Sicherheitsanforderungen können an einen C3- aware SaaS-Cloud-Provider mit entsprechenden CLA-Fähigkeiten ausgelagert werden. Ein C3- aware SaaS-Cloud-Provider bietet nicht den C3-Stack (C3-API, C3-Middleware und C3-GUI) wie ein C3-aware PaaS-Cloud-Provider an, kann aber die Einhaltung der geforderten CLAs garantieren. Weiterleitung an einen C3-aware PaaS-Cloud-Provider Daten- und Programmteile mit besonderen Sicherheitsanforderungen können an einen C3- aware PaaS-Cloud-Provider mit entsprechenden CLA-Fähigkeiten ausgelagert werden. Dieser kann entscheiden ob er die übertragenen Aufgaben selbst erfüllt oder wiederum an andere Cloud-Provider weiterleitet. Abbildung 4: Ausführung einer C3-Anwendung Seminar aus Informatik 19.07.2013 15/18

4.1.5 Sprachunterstützung Das Erzeugen von CLAs erfolgt in drei Schritten wie in Abbildung 5 gezeigt wird. Die Grundlage der CLAs ist eine DSL-Spezifikation. Diese Spezifikation beschreibt alle Anforderungen an das System bzw. die Datenhaltung in keiner bestimmten Form. Im ersten Schritt ist es die Aufgabe des Systemadministrators, diese informelle Systembeschreibung in eine konkrete Beschreibung in einer DSL (eine mögliche DSL ist z.b. UML) zu überführen, die alle sicherheitsrelevanten Aspekte abdeckt. Im zweiten Schritt muss ein Mapping von der DSL-Beschreibung auf die CLAs erzeugt werden (z.b. mittels XSLT). Das Mapping bildet die einzelnen Systemaspekte auf vordefinierte CLA-Templates ab. Diese vordefinierten Templates enthalten noch keine quantitativen Angaben (Quality of Service), diese werden erst durch das definierte Mapping ausgefüllt. Im dritten und letzten Schritt wird, mit Hilfe der C3-Middleware, das Mapping auf die DSL- Beschreibung angewendet. Das Ergebnis sind die konkreten CLAs die die Anforderungen der Anwendung beschreiben. Abbildung 5: Sprachunterstützung des C3-Frameworks 4.1.6 Middleware Die Middleware ist für das Compliant Cloud Computing von zentraler Bedeutung. Abbildung 6 zeigt den schematischen Aufbau der Middleware, der aus zwei Komponenten besteht: der Deployment Component / Decision Making (DCDM) und der Runtime Component. Die DCDM stellt die Verbindung zwischen Cloud-User und Cloud-Provider her, wohingegen die Runtime Component für die Einhaltung der geforderten CLAs verantwortlich ist. Die DCDM erfüllt sechs Aufgaben: Veröffentlichung der unterstützten CLA-Templates (Publisher) Verteilung von Anwendungen (Deployer) Übersetzung von DSL nach CLA (Mapping Rules) Vermittlung von zu den geforderten CLAs passenden Providern (Broker) Seminar aus Informatik 19.07.2013 16/18

Business Process Management (BPM) zur Abbildung von Geschäftsprozessen Fragmentierung von Daten (Data Fragmentator) Die Runtime Component erfüllt zwei Aufgaben: Festlegung der sicherheitsrelevanten Einschränkungen (Enforcer) Reagieren auf Änderungen die die Verletzung einer oder mehrerer Regeln zur Folge haben (Autonomic Manager) Abbildung 6: C3-Middleware Seminar aus Informatik 19.07.2013 17/18

5 Fazit Die geltenden rechtlichen Datenschutzbestimmungen sind umfangreich und die Entwicklung einer entsprechenden Anwendung kann sich durchaus schwierig gestalten. Eine Auslagerung von Daten in die Cloud erschwert die Sicherstellung der Einhaltung aller Rechtsnormen zusätzlich. Deshalb ist es für einen Cloud-User unabdingbar, sich angemessene Datenschutzmaßnahmen durch den Cloud-Provider bereits vor der Auslagerung von Daten vertraglich zusichern zu lassen. Trotz allem bietet Cloud-Computing zahlreiche Vorteile die man auch bei der Verarbeitung von personenbezogenen Daten nicht ignorieren sollte. Vielmehr gilt es dem Cloud-User in Zukunft eine bessere und einfachere Kontrolle über seine Daten zu ermöglichen. Es existiert bereits eine Vielzahl von Ansätzen, wie etwa das Compliant Cloud Computing, die dies ermöglichen sollen. Es liegt also an den Cloud-Providern ihren Service zu erweitern um den Cloud-Usern die Einhaltung von Datenschutzbestimmungen zu erleichtern. Seminar aus Informatik 19.07.2013 18/18