Cloud-Computing und EU-DSGVO – passt das zusammen?

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) durch die Europäische Union ändert sich der Umgang mit der Verarbeitung von personenbezogenen Daten grundlegend. Es stellt sich die Frage, inwiefern die Nutzung der Daten in einer Cloud-Umgebung überhaupt noch möglich ist und welche Probleme dabei auftreten können. Das Cloud-Computing wird von der DSGVO unmittelbar berührt, denn hier gehört der Umgang mit Daten wie deren Speicherung oder Übertragung zum täglichen Geschäfts. CIOs sollten sich einen Überblick über die neuen Herausforderungen verschaffen.

Die EU-DSGVO: das sind die Änderungen

Häufig heißt es, dass die DSGVO regeln würde, welche Daten verarbeitet werden dürfen und welche nicht. Tatsächlich liegt hierauf aber überhaupt nicht der Schwerpunkt der Verordnung. Die DSGVO befasst sich vielmehr mit den verschiedenen Dokumentations-, Organisations- und Transparenzpflichten, die den Umgang mit den Daten in der Praxis deutlich anspruchsvoller machen. Tatsächlich soll das Unternehmen dazu bewegt werden, sich intensiv mit den Daten und deren Verarbeitung auseinanderzusetzen. Nur dann ist es nämlich möglich, zum Beispiel den Dokumentationspflichten überhaupt gerecht zu werden. Das Unternehmen hat dann keine Möglichkeit mehr, sich Unzulänglichkeiten bei der eigenen Verarbeitung zu verschließen. Das ebnet den Weg hin zum Verhängen von hohen Bußgeldern.

Mit der DSGVO ergeben sich auch deutliche Änderungen in Hinblick auf die Sanktionierung von Vergehen im Zusammenhang mit privaten Daten. Sanktionen waren zwar auch in der Vergangenheit vorgesehen, die Bußgelder haben sich aber deutlich erhöht: Um den Faktor 60 ist die Höhe der Bußgelder ungefähr gestiegen. Der CIO muss damit immer noch die gleichen Rechtsgrundlagen betrachten wie bisher, Vergehen werden nun aber deutlich schärfer geahndet und können für die Unternehmen empfindliche finanzielle Konsequenzen haben. Gerade für kleinere und mittlere Unternehmen stellt sich daher zurecht die Frage, ob die Verarbeitung von Daten in der Datenwolke nicht ein zu hohes Risiko darstellt.

Die DSGVO gilt seit dem 25. Mai 2018. An diesem Datum ist die Verordnung inkraftgetreten. Wer heute als CIO nach einer passenden Cloud-Lösung für sein Unternehmen sucht, muss sich also gezwungenermaßen mit dem Thema DSGVO auseinandersetzen. Wichtig ist zu berücksichtigen, dass die Verordnung keiner Übertragung in nationales Recht Bedarf und damit sofort überall Gültigkeit hat. Die neuen EU-Datenschutzrichtlinien sollen nationales Recht ersetzen, die alten nationalen Datenschutzgesetze gelten aber noch übergangsweise in der alten Form.

Finde ich nun schwerer eine passende Cloud?

Aus Sicht des CIO ändert sich einiges bei der Auswahl einer passenden Cloud. Dazu gehört, dass der Dienstleister eine DSGVO-Zertifizierung seines Angebots vorweisen können sollte. Eine Zertifizierung ist aber nur möglich durch Zertifizierungsstellen und die zuständigen Aufsichtsbehörden nach Kriterien, die von den zuständigen Aufsichtsbehörden genehmigt werden müssen. Die Regelungen zur Zertifizierung finden sich in Artikel 42 DSGVO. Längst sind jedoch noch nicht alle Zertifizierungsverfahren auf die DSGVO umgestellt worden. Die bisherigen Datenschutz-Zertifikate, die unter dem Bundesdatenschutzgesetz (BDSG) vergeben wurden, zählen hier hingegen nicht. Die noch fehlenden Zertifikate können die Suche nach einer geeigneten Cloud-Lösung also tatsächlich erschweren.

Wie sicher müssen die Daten für die DSGVO-Konformität sein?“

Grundsätzlich ist es möglich, eine Cloud tatsächlich DSGVO konform zu betreiben. Dazu müssen jedoch alle geeigneten technischen und organisatorischen Maßnahmen ergriffen worden sein, um die Daten in Einklang mit der Verordnung verarbeiten zu können. Das bedeutet einen zusätzlichen Aufwand für den Betreiber der Cloud und damit höhere Kosten. Es versteht sich von selbst, dass diese Kosten auch zumindest teilweise an die Kunden weitergegeben werden müssen.

Beim Zusammenspiel von DSGVO und dem Cloud-Computing stellt sich die entscheidende Frage, wie sicher die Daten in der Datenwolke sein müssen, damit die DSGVO-Konformität gegeben ist. Besonders wichtig ist zum Beispiel eine ausreichende Verschlüsselung der Daten. Datenlecks stellen eine große Gefahr dar, weil dabei Daten in großer Zahl verloren gehen können. In einem solchen Fall könnten jedoch empfindliche Bußgelder drohen, wenn keine ausreichenden Sicherheitsmaßnahmen ergriffen wurden. Dazu gehört die Verschlüsselung. Sollten bei einem Datenleck Daten in verschlüsselter Form abhandenkommen, gelten diese im Sinne der DSGVO nämlich gerade nicht als verloren. Ein Cloudangebot ohne Verschlüsselung der Daten sollte daher heute vom CIO gar nicht mehr in Betracht gezogen werden. Ein Tipp: Wer keinerlei Risiken eingehen möchte, der verschlüsselt seine Daten noch vor der Migration in die Datenwolke und nimmt damit diese wichtige Sicherheitsmaßnahme selbst in die Hand.

Welche Auswirkungen hat die DSGVO auf nichteuropäische Server?

Jede Cloud wird in einem Netzwerk von Servern betrieben. Diese Server haben einen bestimmten geographischen Standort. Viele Betreiber fragen sich, welche Auswirkungen die DSGVO auf Server hat, die sich außerhalb der EU befinden. Viele der größten Anbieter wie Amazon Web Services oder Microsoft Azure haben ihren Sitz in den USA und dort befinden sich auch viele Server. Viele weitere Anbieter operieren von Ostasien aus.

Relevant sind hier das Bundesdatenschutzgesetz und die DSGVO. Beide verlangen nämlich, dass die personenbezogenen Daten nur noch in der EU gespeichert werden dürfen. Damit scheidet das Speichern der Daten im Ausland aus und die Unternehmen sind nicht mehr frei in ihrer Entscheidung, welche Anbieter auf dem Markt sie für diese Aufgabe auswählen. Dadurch ergeben sich auch vielfältige technische Probleme zum Beispiel in Hinblick auf das Routing. Schließlich ist es nicht unüblich, dass Daten bei der Übertragung durch verschiedene Länger umgeleitet werden. Die Routing-Server dürften sich dann im Prinzip nicht mehr außerhalb der EU befinden.

Die CIOs sollten nicht unterschätzen, wie schwerwiegend diese Änderungen in der Auswirkung für die eigenen Planungen sein können. Viele Unternehmen setzen auf unterschiedliche Cloud-Szenarien, ein häufiger Anbieter-Wechsel oder die Nutzung verschiedener Angebote parallel ist nichts Ungewöhnliches. Die Planungen in diesem Bereich werden in Zukunft also noch komplizierter ausfallen.

Kommunikation mit US-Unternehmen

Die USA sind einer der wichtigsten Handelspartner der Bundesrepublik Deutschland. Dort finden sich viele wichtige Internetunternehmen und Cloudanbieter, viele deutsche Unternehmen sind auf einen Datenaustausch mit ihren Kunden in den USA angewiesen. Viele CIOs fragen sich daher, welche Auswirkungen die DSGVO der EU insbesondere in Hinblick auf die USA hat. Erschwerend kommt hinzu, dass Datenschutzfragen unter dem Patriot Act schon immer schwierig gewesen sind. Dieser erlaubt es den USA grob gesagt, jederzeit auf Daten zuzugreifen, wenn Sicherheitsfragen der USA berührt werden.

Bei Datenübertragungen zwischen der EU und den USA ist das EU-US Privacy Shield-Datenschutzübereinkommen bedeutend. Dieses Übereinkommen wurde geschlossen, um Daten europäischer Bürger DSGVO-konform an Unternehmen in den USA übermitteln zu können. Im Grunde geht es um eine Selbstverpflichtung der US-Unternehmen, die in der DSGVO vorgesehenen Datenschutz-Prinzipien zu berücksichtigen. Privacy Shield löst dabei die Absprache Safe Harbor ab, die vom Europäischen Gerichtshof im Jahr 2015 für ungültig erklärt wurde.

Es ist jedoch fraglich, ob das Privacy Shield-Datenschutzübereinkommen in der Praxis ausreichend ist. Die Verbindlichkeit für Unternehmen ist nur gering ausgeprägt und es geht damit keinerlei Schutz vor einem staatlichen Zugriff auf die Daten einher. Durch die US-Behörden kann also weiterhin ein National Security Letter ergehen, der zur Herausgabe der Daten zwingt. Damit bleibt es dabei, dass der Patriot Act grundsätzlich eine Gefahr für die Datensicherheit der EU-Bürger darstellt. Wer Cloud Services nutzt, muss sich darüber im Klaren sein.

Fazit

Die Themen Cloud-Computing und Datenschutz im Rahmen der DSGVO vertragen sich durchaus, wenn der CIO auf einige wichtige Punkte achtet. Entscheidend ist, dass die IT Infrastruktur auf die DSGVO-Konformität hin ausgerichtet ist. Dazu gehört eine Zertifizierung des Angebots durch die offiziellen Stellen. Doch auf diese Zertifikate alleine sollte sich der CIO nicht verlassen. Eine Verschlüsselung der Kundendaten kann und sollte bereits vor der Übertragung in die Datenwolke vorgenommen werden. Externe IT-Dienstleister können bei dieser Aufgabe unterstützen.