Eine Möglichkeit, Maßnahmen zu prüfen, wären regelmäßige Sicherheitsaudits. Die Frage ist jedoch, ob dies bei Cloud Computing möglich ist. Rechtsanwalt Georg Meyer-Spasche, Partner der Kanzlei Osborne Clarke ist skeptisch. „Um auditieren zu können, müssen sich die Daten an einem bestimmten Ort befinden. Das ist bei Cloud Computing bedingt durch die dezentrale und sich dynamisch ändernde Speicherung in ganz unterschiedlichen Rechenzentren nicht der Fall.“
Beim Cloud Computing nutzen mehrere Anwender den gleichen Service. Ihre Daten sind möglicherweise in einem einzigen System gespeichert, befinden sich aber nicht in klar zuzuordnenden Rechenzentren. Theoretisch ist also möglich, dass personenbezogene Daten eines Unternehmens mit denen eines Konkurrenten vermischt werden – was keine Revision prüfen kann, weil sie nicht wüsste, wo sie nach den Servern suchen sollte. Darin sieht der Jurist auch den wesentlichen Unterschied zum Remote-Datacenter. Beim klassischen Outsourcing befinden sich die Daten in einem dezidierten Rechenzentrum. „Hier kann das Unternehmen jederzeit nachschauen, wie es um seine Daten bestellt ist.“
Rechtsanwalt Georg Meyer-Spasche, Partner der Kanzlei Osborne Clarke (Bild: privat)
Verstoßen Unternehmen, die Cloud-Dienste wie CRM in Anspruch nehmen, damit gegen das Bundesdatenschutzgesetz? „Wenn sie es falsch machen, dann ja“, meint Jurist Meyer-Spasche. „Sicher gehen sie, wenn sie ihre Daten verschlüsseln, bevor die außer Haus gehen – aber so, dass weder der Service Provider noch sonst ein Dritter sie entschlüsseln kann.“
Mit der Verschlüsselung würde den Informationen der Personenbezug genommen und sie wären anomyn. Mit Verschlüsselung schlügen die Unternehmen zwei Fliegen mit einer Klappe. „Sie müssen nicht nachprüfen, ob die Sicherheitsmaßnahmen des Cloud-Abieters tatsächlich greifen und haben selbst Vorsorge zum Datenschutz getragen.“ Nachteil der Kodierung: „Sie kann den Service verlangsamen“, sagt Meyer-Spasche. „Deshalb ist es besser, nur die personenbezogenen oder sonst geheimen Daten zu verschlüsseln, nicht alle.“
Bildergalerie
Und wie sieht es mit Daten aus, die keinen Personenbezug haben, wie etwa Baupläne, Fertigungs- und Ersatzteillisten? „Aus der Sicht des Bundesdatenschutzgesetzes gibt es da keine Bedenken“, sagt Meyer-Spasche. „Allerdings schreibt der Paragraf 91, Absatz 1 des Aktiengesetzes Unternehmen eine allgemeine Risikovorsorge vor.“ Das Gesetz gelte für alle Unternehmensformen und verpflichte sie ganz allgemein dazu, den Fortbestand des Unternehmens zu sichern. Es sei zwar nicht explizit von IT die Rede. „Aber da fast alle Geschäftsprozesse mittlerweile IT-gestützt sind, betrifft es eben auch die IT“, stellt der Jurist fest.
Bedenklich werde es, wenn Daten ohne Personenbezug geschäftskritische Informationen enthalten. „Geschäftskritisch“ seien Daten beispielsweise dann, wenn ein Dritter sie dazu benutzen könnte, um ein Produkt nachzubauen. Aber letztlich gehörten alle Daten dazu, die ein Unternehmen nicht einfach offen an die Bürotüren hängen würde. „In diesem Fall könnte die Ersatzteilliste eventuell wieder problematisch werden“, sagt Meyer-Spasche. Auch für diesen Fall rät der Rechtsanwalt, die Daten teilweise oder komplett zu verschlüsseln.
Neueste Kommentare
1 Kommentar zu Fakten statt Märchen: Datenschutz in der Cloud
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Zustimmmung
"Dass die Sicherheitsmaßnahmen bei Cloud-Anbietern in den meisten Fällen wesentlich höher sind, als es sich ein kleines- oder mittelständisches Unternehmen leisten kann."Der letzte Satz hat mich wieder versöhnt. Und natürlich stimmen die angesprochenen Punkte. Es gibt bestimmte Pflichten, mit denen sich die Verantwortlichen auseinandersetzen müssen.
Was mich interessieren würde sind die angesprochenen Vereinbarungen (z.B. Safe Harbour). Welche Anbieter erfüllen denn bist jetzt diese Kriterien?
Auch der Hinweis auf Verschlüsselung ist in der Praxis ja nicht so einfach. Viele SAAS-Anbieter verschlüsseln standardmäßig die ganzen Daten. Wenn ich aber vom Unternehmen aus Daten verschlüsseln will, dann fällt SaaS ja praktisch ganz raus, denn dann kann man nur noch Speicher aus der Cloud beziehen, weil für allen anderen IT-Dienstleistungen ja unverschlüsselte Daten benötigt werden; bzw. die Server in der Cloud müssen diese Daten entschlüsseln können.
Was genau sind personenbezogene Daten. Fast alle Daten haben heutzutage irgendeinen Personenbezug (Dokument wurde erstellt von …, Prozess wird bearbeit von …)
Die Sache mit dem Auditieren ist auch sehr interessant. Das ist nur möglich, wenn ich wirklich ein sehr großer Kunde bin, mit einem entprechenden Auftragsvolumen. Außerdem halte ich es für ein schlechtes Zeichen, wenn ein Cloud-Anbieter sehr offen seine Sicherheitsmaßnahmen zeigt. Eine bessere Hilfe zum Datenklau gibt es kaum.
Ich denke auch bei dem Einsatz von nicht Cloud-Software, auf eigenen Rechnern müsste man oft eigentlich viele Sachen machen, die nicht immer zu leisten sind, beispielsweise:
Wie wurde die Software entwickelt?
Sind Hintertürchen eingebaut?
Wie ist die wirtschaftliche Situation des Anbieters?
Auditierung der Produktentwicklungsprozesses beim Anbieter
Auditierung der Sicherheitseinrichrungen des IT-Dienstleisters
z. B. Bei kleinen Unternehmen: Wie sind die IT-Dienstleister auf den Ausfall eines/mehrerer Mitarbeiter vorbereitet, ist die Betreuung weiter sichergestellt?
Updates, Kompatibilität etc: Wie schnell reagiert der Anbieter auf neue Technologien (Betriebssysteme, Protokolle, Endgeräte, Browser…)? Wie lange ist die Softwarepflege sichergestellt?
Kein kmU und nichtmal ein größeres Unternehmen käme auf die Idee mal eben Microsoft zu auditieren oder von denen irgendwelche speziell auf sie zugeschnittenen vertraglichen Zusagen zu erwarten. Von Anbietern in der Cloud scheint man das aber oft zu verlangen. Ich denke es gibt genug Fälle, in denen sehr unternehmenspezifische, spezialisierte und teure Dienste angeboten werden. Hier machen solche Forderungen Sinn. In anderen Fällen eher weniger.
Aus Risikomanagement und Complience Sicht ist es sicherlich geboten sich systematisch mit diesen Fragen auseinanderzusetzen und diesen Risikomanagementprozess auch entsprechend zu dokumentieren.