3. November 2014 - Cloud und Nachrichtendienste

Was bringt die neue Orientierungshilfe Cloud Computing?

Die Aufsichtsbehörden für den Datenschutz haben sich erneut ausführlich mit Cloud Computing befasst und eine neue Orientierungshilfe Cloud Computing veröffentlicht. Für die neue Auflage gibt es gute Gründe, für die eigene Revision des Cloud Computing auch.

Cloud Computing - in der EU sicherer Die Aufsichtsbehörden haben eine neue Orientierungshilfe zum Cloud Computing veröffentlicht (Bild: rvlsoft/iStock/Thinkstock)

Cloud Computing in der Diskussion

Nicht nur die IT-Fachpresse berichtet regelmäßig über Cloud Computing, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Aufsichtsbehörden für den Datenschutz befassen sich häufig mit Fragen der Nutzung von Clouds. Kein Wunder, schließlich steigt die Zahl der Unternehmen in Deutschland weiter an, die Cloud Computing nutzen, wie verschiedene Umfragen zum Beispiel von BITKOM zeigen.

Die Aufsichtsbehörden für den Datenschutz in Deutschland haben aber nicht nur die wachsende Zahl an Cloud-Nutzern zum Anlass genommen, die bereits verfügbare Orientierungshilfe Cloud Computing in einer neuen Version herauszugeben. So sehen die Aufsichtsbehörden zum Beispiel den Bedarf für eine Neubewertung des grenzüberschreitenden Datenverkehrs, die aufgrund der Berichte über die Überwachungsmaßnahmen ausländischer Geheimdienste, insbesondere der US-amerikanischen National Security Agency (NSA), erforderlich wird.

Orientierungshilfe wendet sich besonders an Cloud-Nutzer

Die neue Orientierungshilfe Cloud Computing hat als Schwerpunkt zahlreiche Hinweise für die Nutzung von Cloud-Computing-Diensten durch datenverarbeitende Stellen. Cloud-Anbietern zeigt die Orientierungshilfe insbesondere die Anforderungen, die ihre Kunden aus datenschutzrechtlicher Sicht erfüllen müssen. Zweifellos ist es ein Wettbewerbsvorteil für einen Cloud-Provider, wenn die eigenen Kunden bei der Bewältigung der Datenschutz-Fragen so weit wie möglich unterstützt werden. Genau lesen sollten die Orientierungshilfe also Cloud-Nutzer und Cloud-Anbieter gleichermaßen.

Zahlreiche Themen werden adressiert

Zentral ist die Botschaft der Orientierungshilfe, dass Cloud Computing nicht zu einer Absenkung der Datenschutzstandards im Vergleich zur herkömmlichen Datenverarbeitung führen darf. Aus dieser Forderung ergibt sich eine Reihe von datenschutzrechtlichen Vorgaben und damit auch von Prüfpunkten für Ihre interne Revision der betrieblich genutzten Cloud-Dienste.

Zu den recht ausführlich behandelten Themen gehören

  • Cloud Computing und (scheinbar) anonymisierte Daten,
  • Löschpflichten,
  • Berichtigung und Sperrung von Daten,
  • die Betroffenenrechte,
  • die Zulässigkeit grenzüberschreitender Datenverarbeitungen,
  • technisch-organisatorische Vorkehrungen für die ordnungsgemäße Löschung und Trennung von Daten sowie für die Sicherstellung von Transparenz, Integrität und Revisionsfähigkeit der Datenverarbeitung.

Gerade für die interne Aufklärung zur Verantwortlichkeit des Cloud-Nutzers eignen sich die entsprechenden Hinweise der Orientierungshilfe, so dass Sie zumindest Auszüge aus der neuen Orientierungshilfe in Ihrer Datenschutzunterweisung nutzen sollten. Auch die gerne falsch eingeschätzten Themen der Verschlüsselung für Cloud-Daten und der Kontrolle des Cloud-Anbieters werden vertieft behandelt. Nicht zuletzt die Ausführungen dazu, dass die EU-Kommission aufgrund der grundsätzlichen Kritikpunkte an Safe-Harbor-Zertifizierungen von US-Cloud-Diensten eine Überprüfung des gleichnamigen Abkommens durchführt, sollten nochmals das Thema der Cloud-Kontrolle und der Cloud-Überwachung ins Gedächtnis rufen.

Aufsichtsbehörden kommentieren nachrichtendienstliche Aktivitäten

Die Orientierungshilfe unterstreicht die Problematik einer Cloud-Nutzung, die in Verbindung mit einem grenzüberschreitenden Datenverkehr in Länder außerhalb des EU/EWR-Raums steht. So betonen die Aufsichtsbehörden am Ende der Orientierungshilfe, dass sie sich vorbehalten, keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten zur Nutzung von Cloud-Diensten zu erteilen und zu prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind, für den Fall, dass ausländische Nachrichtendienste unbeschränkt auf personenbezogene Daten der Menschen in Deutschland zugreifen.

Nehmen Sie diese wichtige Orientierungshilfe zum Anlass, die Cloud-Nutzung Ihres Unternehmens auch mit Unterstützung unserer Checkliste nochmals zu überprüfen. Hilfreich ist dabei auch die aktuelle BSI-Publikation „Sichere Nutzung von Cloud-Diensten“.


Download:


Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln