EU-DSGVO und Cloud: Wie viel Vertrauen ist gut, wie viel Kontrolle braucht es?
Nun ist es also so weit. Die neue Datenschutz-Grundverordnung der EU tritt in diesen Tagen in Kraft. Zwei Jahre lang hatten Unternehmen Zeit, sich auf diesen Moment vorzubereiten und die notwendigen Massnahmen im Unternehmen durchzuführen. Viele haben grosse Anstrengungen unternommen und ihre Verarbeitungen dokumentiert. Dieser Beitrag fasst zusammen, was die DSGVO für Cloud-Kunden bedeutet.
Wir erwarten als Privatpersonen, dass Unternehmen ihre Sorgfaltspflicht wahrnehmen. Wenn auch das schweizerische Datenschutzgesetz zurzeit noch nicht so scharf ausgelegt ist, wird es sich an der neuen Europäischen Datenschutz-Grundverordnung (EU-DSGVO) ausrichten, um als gleichwertig anerkannt zu werden. Das ist für die Wirtschaft der Schweiz zentral. Es ist also nur eine Frage der Zeit, bis sich die Unterschiede der Betrachtung aufheben.
Gleichzeitig sinken in den Unternehmen die Hemmschwellen bei der Nutzung von Cloud-Diensten. Hintergrund ist der steigende Umsetzungsdruck in Unternehmen. Um mit der Konkurrenz Schritt halten zu können, müssen neue Lösungen rasch auf den Markt gebracht werden (Stichwort: "Time to Market"). Der flexible Einsatz sowie die hohe Skalierbarkeit der Cloud kommen diesem Bestreben optimal entgegen. Cloud Computing bildet zum Beispiel die Basistechnologie für den Einsatz von künstlicher Intelligenz, Automation, Industrie 4.0 und das Internet der Dinge.
Cloud-Kunden bleiben in der Verantwortung
Wenn bei solchen Vorgängen personenbezogene Daten verarbeitet werden, müssen verschiedene gesetzliche Anforderungen eingehalten werden, allen voran das Datenschutzrecht. Die Einhaltung dieser Anforderungen obliegt dem Unternehmen, das Cloud-Dienste nutzt. Die Massnahmen zum Schutz dürfen nicht bloss dem Cloud-Anbieter überlassen werden. Die Cloud-Kunden bleiben in der Verantwortung; sie müssen über die gesamten Daten, die im Rahmen ihrer Geschäftstätigkeit verarbeitet werden, die Kontrolle behalten. In dieser Rolle müssen sie zum Beispiel für Transparenz sorgen und über Erfassung, Speicherung und Bearbeitung von Personendaten, über die Zugriffe darauf sowie über den Beizug von Dritten (etwa Cloud-Provider) detailliert Auskunft geben können.
Der Cloud-Kunde muss auch die Abläufe beim Cloud-Provider ausreichend verstehen, andernfalls wäre die Kontrolle durch den Cloud-Kunden nicht mehr gewährleistet. Denn kontrollieren kann man nur, was man auch versteht. So muss der Cloud-Kunde nicht nur wissen, wo der Cloud-Provider die Daten speichert, sondern auch inwiefern noch Dritte in die Dienstleistung des Cloud-Providers einbezogen sind (Subunternehmer). Schliesslich muss der Kunde vom Cloud-Provider Angaben zu den Massnahmen einfordern, die der Cloud-Provider auf technischer und organisatorischer Ebene umsetzt. Erst dann kann der Cloud-Kunde beurteilen, ob die dem Cloud-Provider überlassenen Personen- und weitere Daten angemessen geschützt sind.
Der Cloud-Kunde muss einfordern, was er zur Kontrolle benötigt
Ergänzend zu einer so ausgestalteten technischen Prüfung des Cloud-Anbieters muss der Cloud-Kunde auch dafür sorgen, dass der ihm bekannt gegebene Startzustand auch über Zeit in vertraglich durchsetzbarer Form aufrechterhalten wird. Falls die Datenhaltung oder die Datenverarbeitung in Ländern ohne angemessenes Datenschutzniveau abgewickelt wird, benötigt der Cloud-Kunde besondere Zusicherungen, etwa in Form von zu genehmigenden, verbindlichen Datenschutzvorschriften. Auch muss sich der Cloud-Kunde zusichern lassen, dass technische und organisatorische Massnahmen, die den Schutz der Daten gewährleisten, wirksam greifen. Er kann sich sodann konkrete technische Zusicherungen geben lassen und bei Bedarf überprüfbare Massnahmen fordern, die beispielsweise das Starten von virtuellen Maschinen für bestimmte Länder oder Regionen verhindern.
Die vielfach geäusserte Vorstellung, dass der Cloud-Kunde beim Einsatz einer externen Cloud auf die Verarbeitung und Speicherung der Daten aus Nutzersicht keinen Einfluss mehr nehmen kann, ist jedenfalls für den Geschäftskunden kein gangbarer Weg. Der Cloud-Kunde hat einzufordern, was er zur Ausübung von Kontrolle benötigt. Der Cloud-Provider muss solche Angaben standardmässig zur Verfügung halten.
Hier grassiert bei vielen kleineren und mittleren Unternehmen jedoch eine nicht zu verantwortende Sorglosigkeit. Viele verlassen sich einzig auf den Provider und sehen denn auch die Hauptverantwortung bei ihm. Das ist ein Trugschluss. Wenn hier Fehler gemacht werden, kann das unangenehme Folgen haben. Es können unter moderneren Regelwerken, wie etwa der EU-DSGVO, hohe Bussen verhängt werden. Zudem kann ein oft sehr schwerwiegender Reputationsschaden entstehen. Die blosse Behauptung von Cloud-Anbietern, "DSGVO-compliant" zu sein, genügt nicht als Basis für wirksamen Datenschutz. Beispielsweise kann sich der Cloud-Kunde nicht pauschal auf die Zusicherung des Cloud-Providers verlassen, dass er alle Daten verschlüssle und damit vor unbefugtem Zugriff schütze. Je nach Bedeutung der in der Cloud verarbeiteten Daten reicht es nicht aus, wenn die zur Verschlüsselung notwendigen Keys beim Provider liegen. Dann kann es nötig sein, mit eigenem Key-Management die Daten selbst zu verschlüsseln, bevor diese überhaupt in der Cloud abgelegt werden.
Überprüfungsmöglichkeiten der DSGVO-Compliance
Wie ist all dies im Einzelnen umzusetzen? Wie sollen Cloud-Provider hinsichtlich Transparenz und DSGVO-Compliance überprüft werden können? Inwiefern ist hier Vertrauen ausreichend? Wie kann von unabhängiger Stelle bestätigt werden, dass die für den Cloud-Kunden geltenden Anforderungen abgebildet sind? Die EU-DSGVO sieht hierzu unter anderem den Einsatz von Zertifizierungen vor. Solche Zertifizierungen werden aktuell von verschiedener Seite entwickelt beziehungsweise angeboten. Als Beispiel sei der "Technical Standard related to personal data protection" von Bureau Veritas genannt. Auch Eurocloud bietet mit dem Staraudit (staraudit.org) ein Instrument zur nachvollziehbaren Qualitätsbeurteilung und ein Rating von Cloud-Services an. Viele Unternehmen haben sich bereits durch solche Zertifizierungen die hohe Qualität ihrer Services extern bestätigen lassen (darunter Endress + Hauser aus der Schweiz mit dem Eurocloud Staraudit).
Cloud Privacy Check bietet einen Leitfaden
Ein weiterer zentraler von Eurocloud bereitgestellter Service ist der Cloud Privacy Check CPC (cloudprivacycheck.eu). Mit diesem Instrument wird das komplex wirkende Thema Datenschutz in der Cloud für Betroffene einfach dargestellt und es werden geeignete und praktikable Handlungsweisen aufgezeigt. Der CPC ersetzt nicht die juristische Fachexpertise, aber er strukturiert und vereinfacht ein komplexes Thema ohne Verlust von wesentlichen Informationen. Dieser Service wurde von Eurocloud entwickelt und im Rahmen des Europäischen CPC-Netzwerks, eines Verbunds von Rechtsanwälten, überprüft und ist damit das Ergebnis der Zusammenarbeit von Anwaltskanzleien aus rund 30 Ländern. Die CPC-Website stellt auch einen Leitfaden, Broschüren und Aktivitäten-Reports zur Verfügung.
Die Umsetzung der umfangreichen EU-DSGVO-Massnahmen ist durchaus mit vernünftigem Aufwand zu bewältigen, wenn sich die Cloud-Anbieter auf entsprechende Anfragen von Kunden vorbereitet haben und standardisierte Dokumentation verfügbar halten. Es braucht hier eine verlässliche Partnerschaft, die auf klaren und einfach zu kontrollierenden Regeln beruht.
Cloud Privacy Check
Die datenschutzrechtliche Analyse ist komplex und fördert dadurch oft Rechtsunsicherheit, anstatt dass solche reduziert wird. Dem wirkt der Cloud Privacy Check (CPC) entgegen. Er
-
verdeutlicht systematische, grundlegende Fragestellungen nach der Datenschutz-Grundverordnung
-
zeigt datenschutzrechtliche Instrumente (CPC Toolbox) zur Beantwortung der Fragestellungen auf
-
klärt die Situation bei grenzüberschreitenden Aspekten.
Der CPC basiert auf vier einfachen Schritten. Zuerst wird geklärt, ob die Nutzung des Cloud-Services überhaupt datenschutzrechtlich relevant ist (Schritt 1 und 2). Anschliessend werden die datenschutzrechtlichen Massnahmen für typische Gestaltungsformen der Cloud-Services adressiert (Schritt 3 und 4). So lassen sich die massgeblichen Fragestellungen, die ein Cloud-Kunde hat bzw. haben sollte, strukturieren, was die Arbeit sowohl für den Cloud-Kunden als auch für den Cloud-Provider im Zuge der auszutauschenden Informationen bzw. Dokumentationen vereinfacht.