Daten schützen in der Cloud

Der Begriff "Cloud-Lösungen" bezeichnet eine virtuelle Dienstleistung, die das Hosting von Anwendungen und Speicherressourcen übernimmt, wie zum Beispiel "Microsoft 365". Früher haben Organisationen üblicherweise selbst lokal Computer-Server betrieben. In den letzten 15 Jahren haben jedoch immer mehr IT-Dienstleister professionelles Server-Hosting angeboten. Auf einen eigenen Server konnten Non-Profit-Organisationen (NPOs) daher bereits verzichten.

Der größte Vorteil des Cloud-Computings - die permanente Erreichbarkeit von Daten überall auf der Welt - ist zugleich das größte Risiko, dessen sich Organisationen und Unternehmen bewusst sein müssen. Sie müssen Vor- und Nachteile gegen die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität der eigenen Daten abwägen und Vorsichtsmaßnahmen treffen, um die Risiken zielgerichtet reduzieren zu können.

Verfügbarkeit

Gerade die Corona-Pandemie hat gezeigt, wie wichtig es ist, dass die eigenen Daten für Mitarbeiter(innen) verfügbar bleiben. 

Vertraulichkeit

Non-Profit-Organisationen, Vereine und Verbände arbeiten in der Regel mit besonders schützenswerten Daten - man denke nur an die Jugend- und Familienhilfe, die Altenpflege oder Sozialdienste. Der Vertrauensverlust durch Verstöße gegen die Vertraulichkeit lässt sich nicht umkehren und ist im Hinblick auf den Datenschutz gravierend.¹ 

Integrität

Wenn Informationen manipuliert oder ungewollt verändert werden - zum Beispiel in Patientenakten -, kann erheblicher Schaden entstehen. Deshalb gilt der Integrität der Daten besonderes Augenmerk, wenn personenbezogene Daten in der Cloud verarbeitet werden sollen.

Wie die datenschutzkonforme Cloud-Migration für NPOs gelingt

Um die Schutzziele nicht zu gefährden, müssen NPOs vor der Migration von Daten in die Wolke die Möglichkeiten und Risiken des Cloud-Computings für den jeweiligen Anwendungsfall genau prüfen. Es gibt diverse technische und organisatorische Möglichkeiten, die einzelnen Verarbeitungsvorgänge sowie die Nutzerrechte auf das Nötigste zu begrenzen, zum Beispiel indem die an Microsoft übermittelten Telemetrie- und Diagnosedaten beschränkt werden. Welche Optionen und Schritte sich hier anbieten, hängt auch von den erforderlichen Diensten und der Situation im Einzelfall ab.

Wichtig: Zu jedem Zeitpunkt bleibt die Pflicht des Verantwortlichen bestehen, für eine rechtmäßige Verarbeitung von personenbezogenen Daten in Cloud-Angeboten Sorge zu tragen.

Auftragsverarbeitung im kirchlichen Datenschutzgesetz geregelt

Beim Cloud-Computing werden im Auftrag des Verantwortlichen organisationseigene Daten auf IT-Systemen externer Dienstleister verarbeitet. Das nennt man Auftragsverarbeitung. Dafür gelten in der Europäischen Union strenge gesetzliche Regeln. Demgegenüber finden sich für die katholische Kirche und Organisationen der Caritas in den §§ 26 und 29 des kirchlichen Datenschutzgesetzes (KDG) Regelungen zur rechtskonformen Auftragsverarbeitung.

NPOs und weitere Nutzer müssen den beauftragten Dienstleister zusätzlich hinsichtlich der notwendigen technisch-organisatorischen Leistungen überprüfen. Die Überprüfung muss erstmals vor der Beauftragung stattfinden und ist regelmäßig (Empfehlung: jährlich) zu wiederholen. Die Datenübermittlung ins Ausland ist getrennt zu kontrollieren. Unabhängige Sicherheitszertifizierungen, zum Beispiel gemäß ISO 27001 ², können teilweise als Ersatz für persönliche Kontrollen herangezogen werden.

In der Praxis wird Cloud-Computing von den verschiedenen Datenschutzbehörden teils als problematisch eingestuft. Die Übermittlung personenbezogener Daten ist unter anderem nur dann zulässig, wenn die hohen datenschutzrechtlichen Anforderungen der Auftragsverarbeitung auch tatsächlich erfüllt werden. Besonders problematisch sind die Datenübermittlung an Server im Nicht-EU-Ausland oder der Zugriff auf Daten in Drittstaaten. Die EU-Standard-Vertragsklauseln sind Grundlage der Datenübermittlung in Drittländer. 
Microsoft bietet die Möglichkeit, Daten in den zwei deutschen Rechenzentren beziehungsweise innerhalb der Europäischen Union zu speichern. Allerdings müssen US-amerikanische Unternehmen im Rahmen der Auftragsverarbeitung gegebenenfalls US-Behörden aufgrund des Cloud Act³ Zugriff auf diese Daten gewähren.

Beim Cloud-Computing werden oft Rechenzentren auf der ganzen Welt verwendet, ohne dass der Auftraggeber über den tatsächlichen Ort, an dem sich seine Daten befinden, Kenntnis hat. Auch der Zugriff einer Microsoft-Mitarbeiterin oder eines -Mitarbeiters im Rahmen des Kunden-Supports kann einen Auslandsbezug darstellen. Beispielsweise wird der Support für Microsoft Office 365 von Ägypten aus geleistet, inklusive Zugriff per Fernwartung (nach vorheriger Freischaltung durch den Anwender).

Die datenschutzrechtlichen Voraussetzungen der Auftragsverarbeitung inklusive Drittlandsbezug werden durch Microsoft vertraglich zugesichert. Das heißt aber nicht, dass der Auftraggeber dadurch von einer schutzbedarfsorientierten Risikoanalyse bezüglich der konkreten Verarbeitung von personenbezogenen Daten in der Wolke befreit wird. Insbesondere Sozial- und Gesundheitsorganisationen und Non-Profit-Organisationen verarbeiten regelmäßig besonders schützenswerte Daten und müssen bei der Migration in die Cloud zusätzliche Anstrengungen unternehmen, um den europäischen Standard des Datenschutzes zu gewährleisten.

Europäischer Gerichtshof kippt Datentransfer in die USA

Mitte Juli 2020 hat der Europäische Gerichtshof (EuGH) das oben genannte EU-US Privacy Shield für ungültig erklärt. Im selben Zuge wurden die EU-Standardvertragsklauseln unter Vorbehalt weiterhin anerkannt. Der strenge europäische Datenschutz erlaubt die Übermittlung von personenbezogenen Daten in Drittstaaten außerhalb der Europäischen Union nur, wenn dort ein gleichwertiges Schutzniveau sichergestellt ist wie in der EU. Dies sah der Europäische Gerichtshof in den Vereinigten Staaten als nicht gegeben an. Da aufgrund dessen die Gültigkeit der EU-Standardvertragsklauseln mit US-amerikanischen Unternehmen infrage gestellt wird, bedarf es einer neuen Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten.

Wer braucht eine Datenschutz-Folgeabschätzung?

Für einige Verfahren, insbesondere bei der Verarbeitung besonderer Arten personenbezogener Daten (beispielsweise Gesundheitsdaten), sind Datenschutz-Folgeabschätzungen zwingend vorgeschrieben. Sie werden über sogenannte White- und Blacklists definiert. IT-Verantwortliche müssen im Rahmen des Prozesses Verfahren beschreiben, Risiken identifizieren und überprüfen, ob die getroffenen Schutzmaßnahmen angemessen sind.

Vorsicht: Maßnahmen, die von Behörden nicht als "angemessen" eingestuft werden, bergen Risiken auf Schadenersatz oder Bußgeldverfahren. Entsprechen die eigenen Lösungen dem Stand der Technik und sind sie im Hinblick auf die Risiken ausreichend? 

Empfehlung: Auch wer nicht zu Datenschutz-Folgeabschätzungen verpflichtet ist, sollte trotzdem den risikobasierten Ansatz nutzen, um geeignete Konzepte zu entwickeln.
Auf dem Weg in die Cloud gibt es viele Fragen zum Datenschutz zu beachten. Doch der Aufwand kann sich für Organisationen durchaus lohnen: In Zeiten der Digitalisierung sind neuartige Dienste und verbesserte Formen der Zusammenarbeit gefragt. Die Corona-Krise hat gezeigt, dass auch mit verteilten Standorten und Arbeit aus dem Homeoffice der Informations- und Kommunikationsfluss gewährleistet sein muss. Viele Cloud-Angebote halten hierfür gute Antworten bereit. 

Das katholische Datenschutzzentrum Frankfurt am Main hat auf seiner Internetseite⁴ eine Bewertung zum Einsatz von Office 365 auf Basis der Microsoft-Cloud veröffentlicht, die weitere zu beachtende Hinweise enthält.

Ob diese Bewertung jedoch vor dem Hintergrund des EuGH-Urteils weiterhin Bestand hat, bleibt abzuwarten. Verantwortliche Stellen sind dazu aufgefordert, Übermittlungen in Drittstaaten und insbesondere in die Vereinigten Staaten kritisch zu hinterfragen. Der Abschluss von EU-Standard-Vertragsklauseln mit Microsoft ist zwingend geboten. Ob zusätzliche Garantien, wie zum Beispiel Verschlüsselung oder Pseudonymisierung, eingeführt werden müssen, ist im Einzelfall zu untersuchen und eng mit den personenbezogenen Daten verknüpft, die in die Vereinigten Staaten übermittelt werden. Ob die zusätzlichen Garantien jedoch ausreichen, um ein adäquates Schutzniveau herzustellen, ist zurzeit noch Gegenstand behördlicher Betrachtung.

Anmerkungen

1. Vgl.. Schweigepflicht nach § 203 StGB.
2. Bundesamt für Sicherheit und Informationsschutz: Zertifizierung und Anerkennung. Siehe Kurzlink: https://bit.ly/3huj3hu 
3. Heise Medien GmbH (Hrsg): US Cloud Act regelt internationalen Zugriff. Juli 2018. Siehe Kurzlink: https://bit.ly/3iuwLT6
4. Siehe https://bit.ly/2FA268p 
5. Siehe dazu Kurzlink: https://bit.ly/35YzEYI