Compliance und Risiko
Juristischer Leitfaden: Shared Responsibility
Kaum ein anderes Thema erzeugt so viele juristische Kontroversen wie die Cloud. Dürfen Unternehmensdaten dort abgelegt werden?
Save to Folio
Kaum ein anderes Thema erzeugt so viele juristische Kontroversen wie die Cloud. Dürfen nun Daten dort abgelegt werden, oder ist das rechtlich verboten? Wer haftet wofür – oder anders gefragt – wer ist in der Verantwortung für… ja wofür eigentlich? Im juristischen Bereich hat sich in dieser Frage einiges getan, weshalb sich natürlich der juristischen Leitfaden von Trend Micro auch damit auseinandersetzt.
Über die Jahre habe ich mit vielen IT- und speziell IT-Security Mitarbeitern unserer Kunden gesprochen, und oft hat sich gerade diese Gruppe vehement gegen den Einsatz von Cloud-Technologie gewehrt. Die „Cloud ist nicht sicher!“ war das Credo, und nicht selten wurden wir als Mitarbeiter von Trend Micro aufgefordert, dies zu bestätigen, denn gerade mit den technischen Ansprechpartnern unserer Kunden pflegen wir oft ein sehr gutes Verhältnis. Aber in diesem Punkt konnten wir leider nicht helfen. Denn die Cloud ist genauso sicher oder unsicher wie jedes andere Computersystem. Erst die Maßnahmen, die zum Schutz der Daten oder Systeme in der Cloud verwendet werden, entscheiden darüber, ob die Cloud nun sicher ist oder nicht. Als Hersteller von Datacenter-Sicherheitslösungen mit fast 30 Jahren Erfahrung in diesem Segment können wir die sichere Cloud bauen – zusammen mit unseren Cloud Partnern im sogenanntem „Shared Responsibility“-Konzept.
Aber die reine Technik soll hier nicht das Thema sein. Es geht um die Nutzung der Cloud aus juristischer Sicht, und fairerweise muss man leider sagen, die Politik macht es Unternehmen nicht einfach zu entscheiden, ob und wenn ja mit welchen Daten sie in die Cloud gehen können. Die EU bemüht sich, es Unternehmen leicht zu machen, und hat deshalb die Datenschutzbestimmungen vieler Drittländer als gleichwertig und damit als so genannte „datenschutzrechtlich sichere Drittstaaten“ anerkannt. Zu diesen Ländern, in denen problemlos Daten gelagert werden können, zählen beispielsweise die Schweiz und Japan.
„Privacy Shield“ als Zertifizierungsmöglichkeit für US-Unternehmen
Aber gerade das so wichtige transatlantische Verhältnis zu den USA, und damit den größten Cloud-basierten Unternehmen, gestaltet sich … nun ja, schwierig. So wurde die Datenübermittlung personenbezogener Daten allein auf Basis des ursprünglich vereinbarten „Safe Harbour“-Vertrags durch den Europäischen Gerichtshof am 06.10.2015 für illegal erklärt, da man wichtige Voraussetzungen verletzt sah. Als Ersatz dafür gibt es das so genannte „Privacy Shield“, für welches sich US-amerikanische Unternehmen zertifizieren können. Zwar wird auch das „Privacy Shield“ teilweise für datenschutzrechtlich bedenklich angesehen, doch solange es nicht vom EuGH für ungültig erklärt wird, kann sich ein Datentransfer an US-Unternehmen, die auf der Datenschutzschild-Liste gelistet sind, darauf stützen.
Auch ist es wichtig zu wissen, dass praktisch alle Staaten strafprozessuale Regelungen implementiert haben, um auch und gerade online Daten zu untersuchen. In Deutschland ist das Bundeskriminalamt unter bestimmten Voraussetzungen zu Online-Durchsuchungen berechtigt. Dies schließt auch den Einsatz entsprechender elektronischer Werkzeuge („Staatstrojaner“) mit ein. Nach deutschem Recht sind Anbieter von IT-Sicherheitslösungen nicht zum aktiven Mitwirken beim Zugriff auf gespeicherte Daten oder verschlüsselte Kommunikation verpflichtet. Dies darf allerdings nicht als Selbstverständlichkeit betrachtet werden. So fragte die Data Privacy Organisation „Bits of Freedom“ 2013 nach den Veröffentlichungen Edward Snowdens, ob Security-Unternehmen aufgefordert wurden, bei Strafverfolgungen in dieser Hinsicht zu unterstützen. Die Antwort von Trend Micro lässt sich nachlesen. Das Thema wurde zuletzt wieder brisant, weil einigen Technologieunternehmen vorgeworfen wurde, für ihre jeweiligen Heimatländer zu spionieren.
US „Cloud Act“ mit weitreichenden Befugnissen
Die amerikanische Regierung hat im sogenannten „CLOUD Act“ von 2016 die rechtlichen Grundlagen für einen auch ins Ausland reichenden Eingriff amerikanischer Strafverfolgungsbehörden geschaffen. Dieser ist nicht an den Standort der Systeme, sondern an den Sitz des Unternehmens gebunden, welches das System betreibt, und schließt sogar die Möglichkeit ein, dass dieses Unternehmen gültiges Recht am Standort des Systems verletzt und rechtsstaatliche Prinzipien ausgehebelt werden. Der Patriot Act aus dem Jahre 2001 erlaubte genau genommen zwar bereits einen staatlichen Zugriff auf in der Cloud auf ausländischen Servern gespeicherten Daten, aber regelte nicht den Umgang mit den Daten, sodass Unternehmen die Datenherausgabe mangels Zugriff noch verweigern konnten. Durch den „Cloud Act“ wurde diese Lücke geschlossen.
Als Zwischenfazit bedeutet dies, dass es keine juristischen Gründe gibt, die es verbieten könnten, Daten in die Cloud auszulagern, sofern eine Ermächtigungsgrundlage i.S.d. Art 44 ff. EU-DSGVO besteht wie z.B. das „Privacy Shield“ und die direkte Anerkennung als sog. „sicherer Drittstaat“ durch die EU in Form eines Angemessenheitsbeschlusses oder durch geeignete Garantien wie die Geltung der EU-Standardvertragsklauseln. Allerdings muss jedes Unternehmen wissen, dass im Zweifelsfall die Strafverfolgungsbehörden mehrerer Länder auch ungefragt bzw. ohne Mitteilungspflicht Zugriff auf Firmendaten erhalten können. Ist dies mit der Firmenstrategie nicht vereinbar, so empfiehlt es sich, die zu schützenden Daten speziell abzusichern, beispielsweise durch Verschlüsselung.
Anforderungskatalog des BSI als Testat
Da Unternehmen häufig verunsichert sind, wenn es um die Nutzung der Cloud geht, und auch mitunter die – falsche — Meinung vertreten wird, es sei illegal, Daten in die Cloud auszulagern, hat das BSI einen Anforderungskatalog erstellt. Er unterstützt Unternehmen dabei zu erkennen, ob ein Cloud-Anbieter alle Kriterien zur Beurteilung der Informationssicherheit erfüllt. Dieser Anforderungskatalog „Cloud Computing Compliance Controls Catalogue“ oder einfach „C5“ gilt bis auf weiteres quasi als Zertifizierung für Cloud-Umgebungen. Es empfiehlt sich daher, dass Kunden prüfen, ob ihr Cloud Provider ein C5-Testat besitzt. In die Schlagzeilen gelang das C5-Testat erstmals, als im März 2019 das Bundeskriminalamt bekannt gab, die Videos von Polizei-„Bodycams“ auf AWS zu lagern.
Fazit
Aus heutiger Sicht gibt es keine grundsätzlichen Hindernisse, Daten in der Cloud zu lagern. Aber natürlich sind bei der Entscheidung für das Konzept einige Punkte zu beachten. Insbesondere gilt dies für Maßnahmen zur Datensicherheit. Und hier wiederum geht es wieder um den technischen Bereich der „Shared Responsibility“ bzw. geteilten Verantwortung. Denn aus oben genannten Gründen ist es für den Betreiber der Cloud-Lösung nicht erstrebenswert, Zugriff auf die Daten seiner Kunden zu erlangen, da ihn dies in die Lage bringen könnte, zwischen US und lokalem Recht zu entscheiden. Trotzdem ist es in öffentlichen Cloud Umgebungen ratsam, Daten zu verschlüsseln sowie die IT-Sicherheit durch zusätzliche Lösungen von Drittherstellern zu gewährleisten.
All diese juristischen Themen finden Sie zusammen mit weiteren Hintergrundinformationen im neu aufgelegtem Leitfaden von Trend Micro in den Kapiteln II/4 – 8 sowie Kapitel V. Der erste Teil dieser Blog-Serie stellt neue Entwicklungen wie etwa beim IT-Sicherheitsgesetz Version 2 oder im Bereich IoT und im Strafrecht und die Auswirkungen davon vor. Der zweite Teil beleuchtet das Thema Bring Your Own Device (BYOD) sowie den Heimarbeitsplatz aus Sicht der IT-Sicherheit. Im Vordergrund stehen Anleitungen dazu, was die Security zu beachten hat.