»Wolkig bis trüb«

Aktuelle Studien zu Folge boomt Cloud Computing mit zweistelligen Wachstumsraten. Noch sind sich Unternehmen aber kaum der neuen Risiken bewusst, denn bisher gibt es weder eine gesetzliche Regelung noch Richtlinien für die Datenverarbeitung in der Wolke. Laut Forrester Research steht Cloud Computing für «hochskalierbare und verwaltete IT-Infrastruktur, die Anwendungen bereitstellt und nach Gebrauch abgerechnet werden kann». Dazu gehören «Software as a Service»-Dienste wie CRM-, ERP-, Kollaborations- oder Newsletter-Tools. Aber auch Rechen- und Speicherlösungen im Bereich «Infrastructure as a Service» sowie Entwicklungsplattformen. Der finanzielle Vorteil aufgrund standardisierter, webbasierter Anwendungen birgt den gravierenden Nachteil, dass die gemeinsame Nutzung der Ressourcen durch mehrere Vertragspartner nicht transparent ist. Das Risiko steigt noch, wenn unbekannte Sub-Provider Kapazitäten beistellen.

Nutzer haftet

Wer haftet laut österreichischem Datenschutzgesetz (DSG) bei Datenpannen in der Wolke? Und inwieweit hilft eine Zertifizierung des Providers nach dem internationalen Standard für Informationssicherheit ISO 27001, die Haftung für Cloud-Nutzer zu reduzieren? Das DSG sieht zwar vor, dass Unternehmen Dienstleister wie Cloud-Provider in Anspruch nehmen können. Dies aber nur, wenn die Dienstleister «eine rechtmäßige und sichere Datenverarbeitung» gewährleisten. Faktisch heißt das: Der Cloud-Nutzer haftet für die Auswahl des Providers. Das Unternehmen muss daher aktiv einen «Security-Nachweis» verlangen, wofür es zwei Möglichkeiten gibt: Durchführung von Dienstleister-Audits oder Einfordern eines Zertifikates, das durch eine unabhängige Prüforganisation ausgestellt wurde.

Haftungsminimierung durch ISO 27001

Ist ein Provider nach ISO 27001 zertifiziert, bedeutet dies für den Cloud-Nutzer, dass sein Provider gesetzliche Datenschutzverpflichtungen mit «größtmöglicher Sorgfalt» und nach dem «Stand der Technik» erfüllt, wodurch sich das Haftungsrisiko bei Datenpannen auf beiden Seiten minimiert. Denn der Security-Standard umfasst die Einhaltung anzuwendender Gesetze als Prüfkriterium, was aufgrund der «Third Party»-Anforderungen der Norm auch für involvierte Sub-Provider gilt. ISO-27001-zertifizierte Unternehmen verpflichten sich zur Einhaltung der Legal Compliance in all jenen Ländern, in denen Kundenbeziehungen bestehen – was in externen Audits überprüft wird.

Da es bisher weder nationale noch internationale Regelungen zu Cloud Computing gibt, ist es für den Nutzer generell schwierig, alle Rechtsaspekte zu berücksichtigen. Aus datenschutzrechtlicher Sicht sind folgende Punkte relevant:

»Take it or leave it«

Für standardisierte Services können Verträge kaum individuell ausverhandelt werden. Meist sind auch die AGB nachteilig für Nutzer, insbesondere in Bezug auf Haftungsfragen bei Datenverlust und -rückführung sowie Zugriffs- und Kontrollrechten. Ein Provider sollte daher ein entsprechendes Sicherheitskonzept vorweisen – und vertraglich zusichern. Empfehlenswert ist der Abschluss von Service Level Agreements (SLA) oder die vertragliche Integration von Standards wie ISO 27001 als Maßstab für die Leistungserbringung.

Mangelnder Schutz im Ausland

Räumlich knüpfen die EU-Datenschutzrichtlinie und das österreichische DSG primär an den Ort der Datenverarbeitung an, wonach Cloud-Provider mit Sitz im EU-/EWR-Raum die gesetzlichen Datensicherheitsmaßnahmen zu erfüllen haben. Anders bei Anbietern außerhalb des EU-/EWR-Raums: Bei diesen besteht keine Verpflichtung zur Einhaltung des EU-Datenschutzrechts. Zudem können durch eine Datenüberlassung außerhalb des EU-/EWR-Raums behördliche Genehmigungspflichten entstehen, deren Nichteinhaltung mit Verwaltungsstrafen bis zu 10.000 Euro geahndet werden.

Unkenntnis über Datenstandort

Die Auslagerung von Daten an Provider entbindet Cloud-Nutzer nicht von ihrer «Verpflichtung zur Sicherstellung der Datensicherheit» (§ 14 Abs 1 DSG). Maßnahmen wie Zugriffskontrollen oder die Erfüllung von «Betroffenenrechten», wie das Recht auf Auskunft und Löschung von Daten (§§ 26–28 DSG), können aber nicht gewährleistet werden, wenn der Ort der Speicherung aufgrund verteilter Ressourcen nicht bekannt ist. Ebenso problematisch ist, dass meist keine einheitlichen Log-Files generiert werden, was die gesetzliche Protokollierungspflicht bei Verwendungsvorgängen wie Abfrage, Änderung und Übermittlung von Daten konterkariert. Wenn auch die technische Zusammenführung von Log-Files kaum möglich scheint, kann bei einem ISO-27001-zertifizierten Provider sichergestellt werden, dass dieser Protokollierungen sowie die Archivierung von Log-Files normgemäß durchführt und dies auch von seinen Sub-Providern vertraglich einfordert.

Auswahl des Cloud-Anbieters

Datenpannen können Schadenersatzforderungen in Millionenhöhe verursachen, wie medial bekannte Fälle bei Banken und Versicherungen zeigen. Die Überlassung betrieblicher Datenbestände führt zu einer starken Abhängigkeit vom Cloud-Provider, und der Nutzer hat gemäß § 10 Abs. 1 DSG die gesetzliche Pflicht, sich von der Einhaltung der «Maßnahmen zur Datensicherheit zu überzeugen». Aus juristischer Sicht sind daher derzeit nur solche Cloud-Anbieter empfehlenswert, die sich vertraglich zur Datensicherheit verpflichten und eine externe Zertifizierung vorweisen, wodurch an deren Sub-Anbieter wichtige Datenschutzverpflichtungen übertragen werden. Es liegt daher nicht zuletzt an den Providern, dieses zukunftsträchtige Geschäftsmodell an rechtliche Rahmenbedingungen anzupassen.

>> Die Autorin: Karin Peyerl ist bei der Wiener Anwaltskanzlei »CHSH Cerha Hempel Spiegelfeld Hlawati« tätig und hat ihre Schwerpunkte im Datenschutz-, IT- und Arbeitsrecht.

>> Web-Tipp: »Zertifizierung von Informationssicherheit nach ISO 27001«: www.cis-cert.com