Tag: ULD


ULD veröffentlicht Datenschutzrechtliche Anforderungen an Cloud Computing Services

In einem Paper hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Informationen veröffentlicht, an die sich Cloud Anbieter und Nutzer orientieren sollten, um dem deutschen und europäischen Datenschutzrecht zu entsprechen.

Basis ist das EU-Datenschutzrecht

Das Paper basiert auf einem Dokument der Article 29 Dara Protection Working Party am 01. Juli 2012, aus dem das ULD die wichtigsten Themen herausgezogen hat, um damit Cloud Computing auch nach geltendem Datenschutz anzubieten und zu nutzen.

Cloud Computing ist Outsourcing

Nach dem ULD verhält sich das Cloud Computing datenschutzrechtlich wie das klassische Outsourcing. Ein Nutzer greift auf einen Cloud Service zu, wodurch der Anbieter zum Auftragnehmer werde. Das ULD bezeichnet den Anwender in diesem Zusammenhang auch als "datenschutzrechtlich verantwortliche Stelle", der es nicht erlaubt sei Verträge einzugehen, die nicht dem Datenschutz entsprechen. Zudem steht der Anbieter in der Pflicht, dem Anwender über mögliche Sub-Anbieter und Orte zu informieren, wo personenbezogene Daten gespeichert oder verarbeitet werden.

Vorsicht vor nicht EU-Ländern und Safe-Harbor

Sollen personenbezogene Daten in nicht EU-Ländern übertragen und dort verarbeitet werden, ist das nur zulässig, wenn Standardvertragsklauseln genutzt werden. Darüber hinaus sollte sich ein Nutzer niemals auf das Safe-Harbor Abkommen verlassen, da ein Anbieter sich damit lediglich selbst zertifiziert und dies somit nicht aussagekräftig ist. Vielmehr sollte der Nutzer die Zertifizierung und sämtliche Rahmenbedingungen selbst prüfen.



Fraunhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive?

In einem Paper stellt das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter das vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) zertifizierte TeamDrive in Frage. Gründe für das Ergebnis sind technische Probleme und eine schlechte Nutzung der Angebote. Nach eigenen Angaben habe es Fraunhofer sogar geschafft über Suchmaschinen an sensible Daten zu gelangen.

Innerhalb der Studie, die vom Sommer 2011 bis Januar 2012 stattfand, wurden die Cloud Storage Services von Mozy, Dropbox, Cloudme, Crashplan, Ubuntu One, Wuala und Teamdrive betrachtet und insbesondere die Bereiche Datenverschlüsselung und Kommunikation untersucht.

Die Kritikpunkte

CloudMe

Ist für eine große Anzahl von Angriffen offen. Dazu gehören die Aufzählung von Benutzernamen, der Versand unerwünschter E-Mails, Cross-Side Request Forgery Angriffe sowie die Übernahme des Accounts und Incrimination Attacks.

CrashPlan

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich, einzelne Installationen zu entfernen.

Dropbox

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Es wird keine Client-seitige Verschlüsselung unterstützt. Es ist unklar, wie die Daten miteinander geteilt werden (die Art), wenn Nicht Dropbox Nutzer eingebunden werden.

Mozy

Verschlüsselt Dateien, aber nicht die Dateinamen. Die Deduplizierung über mehrere Benutzer hinweg ist nicht ausreichend gesichert. Zudem wird die Deduplizierung über mehrere Benutzer hinweg nicht sicher verwaltet. Weiterhin können schwache Passwörter verwendet werden, ohne das darauf hingewiesen wird.

TeamDrive

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich bereits aktivierte Geräte wieder zu entfernen. Wenn Nutzer aus Bereichen entfernt wurden, wird der kryptographische Schlüssel weiterhin verwendet, um diesen Bereich zu verschlüsseln. Anfangs wurde das Zurücksetzen des Passworts über eine einfache HTTP Verbindung ohne Verschlüsselung vorgenommen. Nach einem Hinweis durch Frauenhofer, hat das TeamDrive diesen Missstand umgehend beseitigt.

Ubuntu One

Verfügt über keine Verschlüsselung.

Wuala

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Die Verschlüsselung schützt nicht vor Angreifern, die Zugriff auf die unverschlüsselten Dateien haben. URLs die mit Nicht-Kunden geteilt werden enthalten den Benutzernamen.

Die Kritik an TeamDrive ist brisant

Insbesondere die Kritik an TeamDrive ist brisant. Denn der Cloud Storage aus Hamburg, der sich speziell an Unternehmen richtet, wurde vom ULD Schleswig-Holstein, das unserem wohl bekanntesten Datenschützer Thilo Weichert unterstellt ist, zertifiziert.

In einer ersten Stellungnahme von Sven Thomsen via Twitter wird das ULD die Ergebnisse der Studie nun zunächst prüfen. Von TeamDrive habe ich nach einer ersten Anfrage dazu bisher noch keine Reaktion erhalten.

UPDATE: Stellungnahme von Volker Oboda - Geschäftsführer TeamDrive

Ich habe von Volker Oboda, Geschäftsführer von TeamDrive, eben eine Stellungnahme zu den Vorwürfen von Fraunhofer erhalten:

"TeamDrive wurde insgesamt ja sachlich und korrekt dargestellt, aber es wurde lediglich der Cloud Storage Teil bewertet und die einzigartigen On-Premise Lösungen und die freie Serverwahl wurden vollständig verschwiegen. Es gab eigentlich nur eine Abwertung bei TeamDrive die aber völlig subjektiv aus der Luft gegriffen ist. Die Abwertung und Kritik von TeamDrive betrifft die eigenen Authentifizierungsalgorithmen (kein SSL/TLS) die nicht offen gelegt sind. Das solche Methoden nicht unsicher sind, wurde uns durch externe Audits durch das ULD und Gutachter bestätigt. Insofern ist die Abwertung ungerechtfertigt. Weiterhin waren zu dem Zeitpunkt unsere SmartPhone Clients für Android und iOS noch nicht lieferbar. Mit dem jetzigen Software Release TeamDrive 3 haben wir die Public/Private Key Verschlüsselung in RSA-2048 ausgetauscht und damit noch einmal erhöht. Auf Kundenanforderung könnten wir technisch auch auf eine HTTPS Übertragung in die TeamDrive Cloud umstellen. Das ist aber aus Sicherheitsgründen nicht relevant und führt nur zu einer höheren Belastung der Serversysteme. Deshalb haben wir uns dagegen entschieden.

Die weiteren einzigartigen Designmerkmale von TeamDrive (USPs) wie die freie Serverwahl und komplette "On Premise" Lösungen wurden in dem Gutachten überhaupt nicht erwähnt. Nach unserer Recherche dient das Dokument dem Fraunhofer Institut als Grundlage eigene Technologie zu entwickeln die den bestehenden Lösungen Wettbewerb bieten sollen."

Volker spricht einen Punkt an, der exakt meiner ersten Reaktion entsprach, als ich von den Fraunhofer Vorwürfen auf dem MIT-Blog gelesen hatte. Ich sehe es ebenfalls so, dass Frauenhofer diese Studie als reinen Selbstzweck veröffentlicht hat, um eigene (Sicherheits)-Lösungen zu vermarkten.

Zudem weist Volker darauf hin, dass das ULD und weitere Gutachter die eigenen Authentifizierungsalgorithmen von TeamDrive nicht für sicherheitskritisch halten.


Weitere Informationen und die Ergebnisse der Studie gibt es hier.

PS: Wer Angst um seine Daten hat und trotzdem Cloud Storage Services nutzen möchte, der sollte sich mal Boxcryptor anschauen, dieser verschlüsselt die Daten für Dropbox und Google Drive.



TeamDrive: Dropbox für Unternehmen

Viele (deutsche) Unternehmen scheuen die Nutzung von Dropbox aus sicherheits- und datenschutzrechtlichen Bedenken. Dennoch besteht das Interesse, von überall aus auf die Unternehmensdaten zugreifen zu können und verteilt zu kollaborieren.

Wer Dropbox meiden möchte, für den kann TeamDrive aus Hamburg eine mögliche Lösung bieten. TeamDrive stellt einen Cloud Storage inkl. Kollaborations- und Synchronisationsfunktionen bereit, der sich neben privaten Nutzern verstärkt auf Unternehmen konzentriert. Das zeigen die Funktionen rund um den Service.

Teamdrive ist Dropbox für Unternehmen

Synchronisation über mehrere Betriebssysteme

Wie andere moderne Cloud Storage Angebote ermöglicht auch TeamDrive die Synchronisation aller Daten über mehrere Betriebssysteme hinweg, darunter Windows, Mac und Linux. Das bedeutet, dass das Hinzufügen einer Datei oder das Ändern an einer Datei automatisch mit allen Betriebssystemen abgeglichen wird, die den TeamDrive Verbund angehören. Mobile Clients für Android und iPhone/ iPad haben die finalen Tests durchlaufen und warten auf die Freigabe im Apple App Store. Diese wird für den März erwartet.

TeamDrive synchronisiert zwischen mehreren Betriebssystemen

Kollaboration und Rechteverwaltung

Der eigentliche Benefit von TeamDrive gegenüber Dropbox besteht allerdings beim Thema Zusammenarbeit und hier in Punkto Rechteverwaltung. Selbstverständlich bietet Dropbox die Möglichkeit Daten via Freigaben zu teilen. Aber diese Funktion ist wahrlich nicht geeignet für die Nutzung im Unternehmen.

So ermöglicht TeamDrive bspw. das Erstellen von Arbeitsgruppen. Dabei stellt ein zu sychronisierender Ordner eine einzelne Arbeitsgruppe dar. Das Einladen bzw. Hinzufügen weiterer Gruppenmitglieder funktioniert, wie von Dropbox bekannt, per E-Mail Adresse. Bei der Rechteverwaltung unterscheidet TeamDrive dann zwischen vier Status, die einem Gruppenmitglied zugeordnet werden können. Download only, bedeutet, dass ein Gruppenmitglied Daten lediglich herunterladen aber nicht hochladen darf. Read/Write ermöglicht dem Mitglied das vollständige Bearbeiten von Dateien. Als Superuser darf ein Benutzer Dateien bearbeiten und weitere Gruppenmitglieder einladen sowie als Administrator Gruppenmitglieder und Dateien vollständig vom Server löschen.

Neben der Rechteverwaltung verfügt TeamDrive zudem über eine Versionsverwaltung, mit der Änderungen an Dokumenten und Dateien von anderen Gruppenmitgliedern nachvollzogen werden können. Zudem kann auf ältere Versionsstände der Dokumente zugegriffen werden.

TeamDrive verfügt über eine integrierte Versionsverwaltung

Sicherheit, Verschlüsselung und Datenschutzgütesiegel des ULD

TeamDrive verschlüsselt die Daten vor der Übertragung vom lokalen Rechner zum Server mit dem AES-256 Algorithmus. Zudem wird für jeden Ordner ein eigener AES-256 symmetrischer Schlüssel erzeugt.

Darüber hinaus wurde TeamDrive vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), u.a. bekannt durch Thilo Weichert, überprüft und mit dem Datenschutzgütesiegel ausgezeichnet. Im Rahmen der Rezertifizierung 2011 und der Nutzung der Amazon Cloud hat das ULD folgende Aussage getroffen:

TeamDrive hat alle möglichen Maßnahmen aus technischer und vertraglicher Sicht getroffen um personenbezogene Daten gegen unberechtigten Zugriff zu schützen. Aufgrund der besonderen rechtlichen Situation bei der Nutzung des Internets und der Amazon-Cloud kann zurzeit aber nicht ausgeschlossen werden, dass US-Sicherheitsbehörden theoretisch Zugriff auf personenbezogene Daten zur Laufzeit des Systems erhalten könnten. Dies betrifft jedoch allenfalls Ihre Anmeldedaten wie Nutzername und Email-Adresse.

Speicherorte

TeamDrive kann in zwei unterschiedlichen Varianten genutzt werden. Die Erste besteht in der typischen Nutzung als Cloud Storage Service via TeamDrive Cloud, wo die Daten auf den Servern (Amazon S3) von TeamDrive gespeichert werden.

Die zweite Variante ist der Einsatz eines TeamDrive Servers im eigenen Rechenzentrum. Dazu steht zum einen der TeamDrive Personal Server, für kleine Unternehmen sowie der TeamDrive Enterprise Server für Großunternehmen bereit.

Kosten

TeamDrive bietet drei unterschiedliche Angebote: TeamDrive Free (kostenlos), TeamDrive Personal (29,99 EUR pro Jahr) und TeamDrive Professional (5,99 EUR pro Monat bzw. 59,99 EUR pro Jahr). Bei allen sind standardmäßig 2 GB kostenloser Speicherplatz beinhaltet. Wer mehr haben möchte muss zusätzlich zahlen.

So kostet eine Speicherplatzerweiterung um

  • 10 GB = 5,99 EUR pro Monat bzw. 59,99 EUR pro Jahr
  • 25 GB = 14,95 EUR pro Monat bzw. 149,50 EUR pro Jahr
  • 50 GB = 29,90 EUR pro Monat bzw. 299,00 EUR pro Jahr

Fazit

Ein Blick auf die Funktionen zeigt, dass TeamDrive für den Unternehmenseinsatz gedacht ist. Neben den typischen Dropbox Funktionen beinhaltet der Dienst zudem Möglichkeiten zur Versionskontrolle und vor allem der Rechteverwaltung, die für Unternehmen unerlässlich sind. Zudem wurde TeamDrive mit dem Datenschutzgütesiegel des ULD ausgezeichnet, dass derzeit die größte Aussagekraft von allen auf dem Markt befindlichen Gütesiegeln in Bezug auf den Datenschutz hat.



Datenschutzwerkzeuge für die Cloud

Regelmäßig findet man in Artikeln oder einzelnen Presseerklärungen Aussagen wie „Datenschutz ist größtes Hindernis beim Cloud-Computing“ oder „Cloud-Computing mit Datenschutz nicht vereinbar“. Allein schon aufgrund der Vielfalt der heute dem Cloud-Computing zugerechneten Dienste und der unterschiedlichen Einsatzszenarien sind solche generellen Aussagen eher unangebracht.

von Sven Thomsen

Vielmehr müssen Anwenderinnen und Anwender von cloud-basierten Diensten sich der Herausforderung stellen, solche Dienste mit bewährten Mitteln und erprobten Vorgehensweisen sicher und ordnungsgemäß zu betreiben.

Es zeigt sich, dass beim Cloud-Computing datenschutzspezifische, zusätzliche Risiken betrachtet und angemessenen behandelt werden müssen. Der Großteil der in der aktuellen Diskussion dem Datenschutz zugeschriebenen Hindernisse liegt jedoch im Bereich der Datensicherheit und dem Controlling von Outsourcing.

Im Folgenden werden vor allem Szenarien in den Vordergrund gestellt, die in der häufig anzutreffenden Typisierung wie zum Beispiel der CloudSecurityAlliance einer „Public Cloud“ zuzurechnen sind. Ansätze wie „Private Clouds“ oder „Community Clouds“ sind zwar auch mit spezifischen Risiken versehen, die Behandlung dieser Risiken ist jedoch durch die deutlich besseren inter- oder intra-organisationellen Steuerungsmöglichkeiten im Vergleich zu „Public Clouds“ deutlich einfacher. Die häufig angeführten Probleme im Zusammenhang mit mangelnder Transparenz und dem damit einhergehenden Kontrollverlust sind besonders stark ausgeprägt bei „Public Clouds“.

Verantwortung und Verträge

Grundlage jeglicher professioneller Geschäftsbeziehungen ist der schriftliche Vertrag. Ausnahmen hiervon mögen in Einzelfällen funktionieren, aber Vereinbarungen zu professionellen IT-Dienstleistungen trifft man besser nicht mit dem eher für Viehauktionen geeigneten „kaufmännischen Handschlag“.

Ziel solcher Verträge ist es, die Rechte und Pflichten der jeweiligen Vertragspartner klar und vor allem: messbar darzulegen. Gerade im Krisenfall, also einer mangelhaften Leistung des Anbieters oder bei unzureichender Mitwirkung des Kunden, wird eine konkret messbare Leistungserbringung wichtig.

Potentielle Anwender von cloud-basierten Diensten stehen in der aktuellen Marksituation jedoch vor dem Problem, vom Anbieter gerade keine oder nur äußerst vage Leistungsbeschreibungen oder konkreter: Leistungszusagen zu erhalten. Häufig sind selbst elementare Zusagen zur Verfügbarkeit, wie man sie von „klassischen“ Verträgen im IT-Umfeld kennt, nicht vorhanden.

Diese mangelhaften Leistungszusagen müssen Kunden dann häufig durch eigene, zusätzliche Maßnahmen kompensieren, um ein nachvollziehbares Risikomanagementsystem mit tragbaren Restrisiken aufzubauen.

Die Probleme mit unzureichenden IT-Verträgen sind älter als der Begriff „Cloud-Computing“. Es ist sinnvoll, die bereits bestehenden Lösungen zu betrachten und diese für die neue, spezifische Situation des Cloud-Computing anzupassen.

Der CIO des Bundes [1] hat auf seinen Webseiten viele Werkzeuge und Standardvorgehensweisen zur IT-Planung und –Steuerung zusammengefasst. Für die Vertragsgestaltung finden sich dort mit den Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) [2] gute Vorlagen für vertragliche Regelungen, die auch für das Anbieten oder Einkaufen von cloud-basierten IT-Leistungen Anwendung finden können. Interessierte sollten insbesondere die umfangreichen Anlagen und Muster betrachten, die im Rahmen der Entwicklung der EVB-IT entstanden sind.

Viele der Regelungen in den EVB-IT sind bereits geeignet, einen Großteil der gesetzlichen Anforderungen aus dem Bundesdatenschutzgesetz oder den jeweiligen Landesdatenschutzgesetzen in Bezug auf die Datenverarbeitung im Auftrag oder die Datenübermittlung zu erfüllen.

Gerade Anbieter von cloud-basierten Diensten abseits der großen Platzhirsche wie Microsoft, Google oder Amazon sollten sich durch konkrete, nachvollziehbare und messbare vertragliche Regelungen einen Wettbewerbsvorteil verschaffen.

Outsourcing

Die Outsourcing-Welle der 80er- und 90er-Jahre des letzten Jahrtausends hat deutliche Spuren in der IT-Landschaft hinterlassen. Die mit dem Outsourcing verbundenen Risiken und Herausforderungen haben jedoch zu einer ganzen Gruppe von speziellen „Standards Of Good Practice“ in diesem Bereich geführt.

Für deutschsprachige Anwender sehr lesenswert ist der Baustein B1.11 des Grundschutzkatalogs [3] des Bundesamts für Sicherheit in der Informationstechnik. Gemäß der Vorgaben der Standards [4] 100-1 bis 100-3 werden hier für typische Gefährdungen und Einsatzszenarien Maßnahmenempfehlungen ausgesprochen, um eine
akzeptable Risikobehandlung im Bereich des Outsourcings durchzuführen.

Der Baustein kann direkt auch auf die Nutzung von cloud-basierten Diensten angewendet werden und bietet eine strukturierte Vorgehensweise, um einen Großteil der notwendigen technischen und organisatorischen Maßnahmen zu betrachten und ggfs. mit leichten Veränderungen anzuwenden. Neben dem Ausfall von Weitverkehrsnetzen, fehlenden oder unzureichen Test- und Freigabeverfahren und unzureichenden Notfallvorsorgekonzepten werden explizit auch die zu hohe Abhängigkeit von einem Outsourcing-Dienstleister oder auch „weiche Faktoren“ wie die Störung des Betriebsklimas durch ein Outsourcing-Vorhaben thematisiert. Die Maßnahmenempfehlungen sind teilweise sehr detailliert und regeln neben der Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben oder der Vertragsgestaltung mit dem Outsourcing-Dienstleister auch die Vorgehensweisen für eine geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses.

Auch ohne die strikte Orientierung an der Grundschutz-Vorgehensweise des BSI bietet der Baustein 1.11 Anbietern und Kunden gute Hinweise und erprobte Vorgehensweisen auch für cloud-basierte Dienstleistungen.

Datensicherheit

Die aktuelle Marktsituation im Bereich des Cloud-Computing ist in Bezug auf konkrete Sicherheitszusagen eher unbefriedigend. Viele Anbieter treffen keine konkreten Aussagen zu den bei ihnen getroffenen technischen und organisatorischen Maßnahmen.

Dies wird noch unverständlicher, wenn man bedenkt, dass für die bei vielen Anbietern von cloud-basierten Diensten im Einsatz befindlichen Standardkomponenten seitens der Hersteller konkrete Sicherheitsvorgaben und –empfehlungen ausgesprochen wurden.

Am Beispiel marktüblicher IaaS-Angebote lässt sich dies leicht nachvollziehen: Kaum ein Anbieter stellt die auf Betriebssystem-Ebene getroffenen Sicherheitsmaßnahmen nachvollziehbar dar. Ein nachvollziehbares Sicherheitsniveau ist in den wenigsten Fällen gegeben. Auch hier verbleibt die Hauptlast in Fragen der IT-Sicherheit beim Anwender und nicht wie eigentlich zu erwarten: beim Anbieter.

Im Bereich des Cloud-Computing müssen sich hier Standard-Vorgehensweisen und –Nachweise zur IT-Sicherheit etablieren. Dies kann unter anderem auch durch Zertifizierungsverfahren erreicht werden. Ein großer, erster Schritt wäre jedoch das Veröffentlichen von nachvollziehbaren Beschreibungen der technischen und organisatorischen Sicherheitsmaßnahmen seitens der Anbieter.

Datenschutz

Über die Anforderungen zur IT-Sicherheit hinaus sind spezifische Anforderungen seitens des Datenschutzes zu erfüllen. Das Grundrecht auf informationelle Selbstbestimmung darf nicht durch die Nutzung ungeeigneter cloud-basierter Angebote beeinträchtigt werden. Wesentliche Voraussetzung hierfür ist, dass auf Seiten der Kunden ein Datenschutzmanagementsystem etabliert wird. Dieses muss durch anlassbezogene und regelmäßige Kontrollen, konkreten Vorgaben zum Umgang mit Datenschutzproblemen und –verstößen und einer generellen Integration in die Unternehmensprozesse für eine geregelte Bearbeitung des Themenbereichs Datenschutz sorgen.

Ein betriebliches oder behördliches Datenschutzmanagement muss vor allem die Umsetzung der Betroffenenrechte in den Vordergrund stellen. Betroffene haben das Recht auf Löschung, Berichtigung oder Sperrung ihrer personenbezogenen Daten. Dieses Recht müssen Anwender auch gegenüber dem Anbieter durchsetzen können.

Auch im Bereich des Cloud-Computing gelten die Grundsätze der Datensparsamkeit und der Zweckbindung bei der Verwendung personenbezogener Daten. Es dürfen nur die nachgewiesen zwingend notwendigen Daten ausschließlich zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden.

Die hierfür notwendigen Prozesse sind bereits seit mehreren Jahren etabliert. Die zuständigen Aufsichtsbehörden für Datenschutz stehen potentiellen Anwendern von cloud-basierten Diensten hier beratend, prüfend und bewertend zur Verfügung.

Konkrete, cloud-spezifische Risiken für den Datenschutz ergeben sich bei manchen Angeboten vor allen aus fehlenden, konkreten Zusagen zum Ort der Datenverarbeitung. Während für das Anbieten, Nutzen und Betreiben von cloud-basierten Diensten keine technischen Gründe zur Berücksichtigung territorialer Grenzen bestehen, muss bei der Anwendung des Datenschutzrechts der Ort der Datenverarbeitung stets berücksichtigt werden. Bei weltweit verteiltem Cloud Computing können ohne zusätzliche Zusicherungen zur Lokalität der Datenverarbeitung und -speicherung Anwenderinnen und Anwender nicht entscheiden, ob in den für den genutzten Dienst und den für die Erbringung des Dienstes vorgesehenen Ländern ein angemessenes Datenschutzniveau gewährleistet ist. Eine Anwendung solcher Cloud-Dienste ohne konkrete Ortsvorgaben oder -zusagen zur Verarbeitung personenbezogener Daten ist datenschutzrechtlich nicht zulässig.

Sollen personenbezogene Daten in einem cloud-basierten Dienst verarbeitet werden, so muss für alle Schritte der Datenverarbeitung der konkrete Ort festgelegt werden und feststellbar sein.

Fazit

Cloud-Computing "erbt" in vielen Bereichen bereits bekannte Risiken und Gefährdungen der automatisierten Datenverarbeitung. Für diese Risiken sind jedoch in gängigen (inter-) nationalen Sicherheitsstandards (vgl. ISO27001 , BSI Grundschutz) geeignete Gegenmaßnahmen und Vorgehensweisen zur Risikoanalyse definiert.

Anbieter von cloud-basierten Diensten können hier auf bestehende Vorarbeit und funktionierende Werkzeuge zurückgreifen.

Nutzer von cloud-basierten Diensten sollten vor der Aufnahme einer Datenverarbeitung geeignete Nachweise einer sicheren Datenverarbeitung in Form von Sicherheitskonzepten und detaillierten Prozessbeschreibungen im Sinne eines integrierten Datenschutz- und Sicherheitsmanagements einfordern und als Nachweis in die eigene Sicherheitsdokumentation übernehmen.

Setzt man die bereits bekannten und funktionierenden Prozesse und Maßnahmen um, die auch im Bereich der Datensicherheit und des Datenschutzes bei der „klassischen“ Datenverarbeitung für Konformität mit den datenschutzrechtlichen Vorgaben sorgen, so hat man auch einen Großteil der Datenschutzrisiken gängiger cloud-basierter Dienste im Griff.

Datenschutz wird hierbei nicht zum Verhinderer von Cloud-Computing, sondern vielmehr zum Erfolgsfaktor.


Über Sven Thomsen

Sven Thomsen leitet beim Unabhängigen Landeszentrum für Datenschutz (ULD) in Kiel das technische Referat. Er ist zuständig für den Systemdatenschutz bei der automatisierten Verarbeitung personenbezogener
Daten sowie den technischen Datenschutz in der Telekommunikation und bei Telemedien. Nach einem Studium der Informatik war er zunächst als freier Berater mit Schwerpunkt auf Unix- und Firewallsystemen tätig. Als IT-Projektleiter hat er beim Norddeutschen Rundfunk mehrere Projekte zur Serverkonsolidierung und IT-Sicherheit betreut.


Onlinequellen
[1] http://www.cio.bund.de/cln_093/DE/Home/home_node.html
[2] http://www.cio.bund.de/cln_093/DE/IT-Angebot/IT-Beschaffung/EVB-IT_BVB/evb-it_bvb_node.html
[3] https://www.bsi.bund.de/ContentBSI /grundschutz/kataloge/baust/b01 /b01 01 1 .html
[4] https://www.bsi.bund.de/cln_1 56/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html