Gridscale: In der Cloud lauern rechtliche Gefahren

Mit seinem neu erschienenen Kompendium "Rechtliche Risiken bei Nutzung internationaler Cloudanbieter" will Gridscale Unternehmen dabei helfen, Fallstricke im Cloud-Dschungel zu identifizieren. Neben Platzhirschen wie Amazon Web Services (AWS), Microsoft oder Google tummeln sich auf dem Cloudmarkt unzählige Konkurrenten, quer über den Globus verstreut. Während in Asien Firmen wie Alibaba zu echten Alternativen heranwachsen, drängt die Corona-Pandemie Unternehmen mehr denn je in die Cloud, wo sie sich gewichtigen rechtlichen Fragen stellen müssen.

International klaffen die Auslegung und Umsetzung von Datenschutz zum Teil weit auseinander. Gerade in Deutschland liege die Messlatte sehr hoch, heißt es. Das Bundesdatenschutzgesetz (BDSG) deckt sich zu großen Teilen mit der EU-weit geltenden DSGVO. Gridscale hat einige Punkte zusammengefasst, auf die Unternehmen beim Umzug in die Cloud ihr Augenmerk richten sollten.

Was personenbezogene Daten angeht, reicht Verschlüsseln allein nicht aus. Zu dieser Kategorie zählen nicht nur Informationen wie Namen oder E-Mail-Adressen, sondern auch technische Daten wie Zeitstempel oder Logfiles. Beim Thema Transparenz müssen Unternehmen gemäß der DSGVO ihre Kunden und die eigenen Mitarbeiter darüber informieren, was mit ihren Daten geschieht. Dazu gehört, wer sie verarbeitet, zu welchem Zweck und wie lange. Das mag schwieriger werden, wenn das in einer Cloud stattfindet: "Teilweise erheben Cloudanbieter Metadaten, die sie zur Administration und zur Aufrechterhaltung der Sicherheit, zur Verbesserung der Produkte benötigen. Außereuropäische Anbieter sehen es leider oft nicht ein, hierüber hinreichend detailliert Auskunft zu geben", heißt es im Kompendium.

Wer trägt die Verantwortung?

Prinzipiell stehen bei Datenverarbeitungsvorgängen die Unternehmen selbst in der Pflicht. Cloudprovider nehmen eher die Position eines Dienstleisters ein. Allerdings gibt es Bereiche, in denen sie die Verantwortung übernehmen. Das tritt beispielsweise ein, wenn es um Metadaten geht, die sie zu eigenen Zwecken verarbeiten. In einem dritten Fall besteht die Möglichkeit der gemeinschaftlichen Verantwortlichkeit. Sie greift, wenn beide Parteien die Zwecke und Mittel der Datenverarbeitung bestimmen, erklärt Gridscale. Entsprechend empfehlen die Experten, gerade bei internationalen Cloudanbietern, die Frage nach der Verantwortlichkeit zu klären und vor allem vertraglich festzuhalten.

Oft winken Clouddienstleister mit einer Flut von Versprechungen. An dieser Stelle ist Vertrauen gut, Kontrolle aber besser. Hier sieht die DSGVO vor, dass es Kunden möglich sein muss, zu überprüfen, ob und wie der Provider etwa bestimmte technische und organisatorische Sicherheitsmaßnahmen einsetzt. Sogenannte Auftragsverarbeitungsverträge (AV-Verträge) regeln diesen Aspekt.

In Sachen Datentransfer in ein Drittland schreibt die EU klar vor, dass das jeweilige Land ein angemessenes Datenschutzniveau aufweisen muss. Die USA und China markieren dabei einen Sonderfall. Zwar gehören sie primär zu den unsicheren Drittländern, jedoch kann Datenfluss durch Standardvertragsklauseln oder bezüglich der USA durch eine Registrierung des Datenempfängers unter dem EU-US-Privacy-Shield rechtskonform stattfinden. Allerdings ist der EU-US-Privacy-Shield umstritten und datenschutzrechtlich zweifelhaft. Gegenläufige Gesetzgebungen (Patriot Act, Cloud Act) hebeln ihn aus und erlauben den amerikanischen Behörden Zugriff auf die europäischen Daten.

Betriebsräte reden mit

Auf dem Weg in die Cloud liegt als unumgängliche Station auch der Betriebsrat. Laut Betriebsverfassungsgesetz muss ihn jede Maßnahme, die zu einer Überwachung der Mitarbeiter führt, egal ob tatsächlich oder potenziell, erfolgreich passieren. Gridscale erläutert dazu: "Eine Cloudumgebung mit ihren Anmeldeprozessen, Log-Daten und mit sämtlichen Informationen, die ein Intrusion-Detection-System speichert und auswertet, könnte auch zur Überwachung der Mitarbeiter genutzt werden (auch wenn dies nicht beabsichtigt ist)."

In der DSGVO spielt die Löschung von Daten eine wichtige Rolle. Für viele Datensätze läuft nach zehn Jahren die Frist zu ihrer Aufbewahrung ab. Unternehmen müssen sie dann aber nicht nur vernichten, sondern das auch nachweisen können. Realisieren lässt sich das mit Hilfe von Löschprotokollen oder der kontinuierlichen Dokumentation von Löschprozessen. Doch Achtung: Das Recht auf Datenlöschung der DSGVO kollidiert teilweise mit den gesetzlichen Aufbewahrungsfristen. Zudem verhindern technische Hindernisse das Löschen manchmal, zum Beispiel wenn ein Datensatz archiviert und mit einer digitalen Signatur versehen ist. Zu diesem Thema lässt das Whitepaper leider einige Fragen unbeantwortet.

Neben den genannten Stolpersteinen, die Unternehmen unterwegs in Richtung Cloud ins Straucheln bringen können, listet das Kompendium von Gridscale weitere Punkte auf, die es zu beachten gilt. Interessierte finden gegen Abgabe von Daten unter die vollständige Studie. (csc)