Online-Marketing-Blog Heroshot

GASTARTIKEL: E-Commerce in der Wolke – ist das überhaupt datenschutzkonform möglich?

Schlauen Sie sich auf

24.07.2013

GASTARTIKEL: E-Commerce in der Wolke – ist das überhaupt datenschutzkonform möglich?

Gastartikel von Dr. Andreas Gabriel, Ethon GmbH, Ulm

Der Begriff des Cloud Computings (CC) ist in aller Munde: Immer mehr Dienstleistungsunternehmen bieten ihre Services auch über das Internet an und werben ganz bewusst mit diesem Begriff. Dabei stellen sich zwei wesentliche Fragen: (1) Was verbirgt sich eigentlich genau hinter dem Modewort "Cloud Computing"? (2) Haben Kritiker Recht, die behaupten, die Nutzung von Cloud-Services ginge mit erheblichen Gefahren und hohen Anforderungen an den Datenschutz einher?

Cloud Computing

Es wurden zahlreiche, unterschliedliche Definitionen für "die Wolke" veröffentlicht. Im Kern gehen alle darauf zurück, dass sich ein Unternehmen auf seine Kernkompetenzen konzentriert. Dazu werden ausgewählte Prozesse an einen Dienstleister auslagert. Diese Vorgehensweise ist bei weitem nicht neu und im ökonomischen Umfeld als "Outsourcing" weit verbreitet. Neu im Falle des CC ist, dass diese Auslagerung untrennbar mit dem Internet verbunden ist. Das weltweite Datennetz wird vom reinen Kommunikationsmedium zum Träger der Dienstleistung.

Varianten des Cloud Computing

Dabei sind die drei gängigsten Verfahren sind:

1. Infrastructure as a Service (IAAS): Die grundlegende Basis der (IT) Infrastruktur wie z. B. das Netzwerk wird von einem Dienstleister bereitgestellt.

2. Platform as a Service (PAAS): Die Hardware für die Erbringung von IT-Leistungen wird von einem Dienstleister bereitgestellt, z. B. die Server eines Unternehmens.

3. Software as a Service (SAAS): Die Softwareprogramme werden von einem Dienstleister im Bedarfsfall bereitgestellt.

Mittlerweile existieren noch weitaus mehr verschiedene Spielarten, die nach dem gleichen Schema "…as a Service" aufgebaut sind. Für diesen Beitrag wird der Fokus aber ganz bewusst auf die drei genannten Verfahren gelegt, da diese den größten Teil des CC ausmachen.

Private Cloud vs. Public Cloud

Unabhängig davon, welche der oben genannten Verfahren Anwendung finden, ist bei der Umsetzung des CC zwischen einer "private Cloud" und einer "public Cloud" zu unterscheiden. Die spätere Bewertung einer datenschutzkonformen Umsetzung hängt maßgeblich davon ab, welche dieser beiden Möglichkeiten verwendet wird:

1. Private Cloud: Die gesamte Abwicklung der Cloud-Dienste erfolgt auf Basis einer unternehmensinternen Infrastruktur. Alle Inhalte sind dadurch stets unter Kontrolle der Verantwortlichen.

2. Public Cloud: Bei der Nutzung der Public Cloud werden externe Ressourcen verwendet, deren exakte Lokalisierung in vielen Fällen nicht möglich ist.

Die zwei wesentlichen Gründe für eine Nutzung der Wolke sind die Realisierung von Einsparungen und die Sicherstellung einer kompetenten und dadurch sicheren Umsetzung der jeweiligen Auslagerungsaspekte. Dass es sich auch aus ökonomischen Gründen lohnt, sich mit diesem Thema zu beschäftigen, wird durch die folgenden Prognosen für das Jahr 2016 belegt (es existieren weitere Mischformen, z. B. die "Hybrid Cloud", die allerdings vernachlässigt werden): Der Umsatz des CC in Deutschland steigt auf 20,1 Milliarden Euro. Der Umsatz des CC im B2C-Bereich steigt auf 6,4 Milliarden Euro.

Worauf muss geachtet werden?

Doch parallel zu diesem Siegeszug mehren sich die kritischen Stimmen, die bei der Nutzung von Cloud-Diensten vor einer Verletzung der deutschen Vorgaben hinsichtlich des Datenschutzes warnen. Was steckt hinter diesen Warnungen? Die ENISA (European Network And Information Security Agency) hat die folgenden Warnungen bezüglich der Nutzung von CC veröffentlicht:

1. Kontrollverlust: Es dürfen ausschließlich Dienstleister ausgewählt werden, die ein angemessenes Maß an Informationssicherheit bieten können.

2. Lock-In: Die Bindung an einen Dienstleister kann zur Abhängigkeit werden. Der Fall einer Insolvenz des Dienstleisters muss rechtssicher geregelt werden.

3. Administrative Zugänge: Die Vergabe von administrativen Zugängen an Dritte kann weitere Schwachstellen mit sich bringen.

4. Mangelhafte Abschottung: Gerade wenn ein Dienstleister mehrere Kunden mit Cloud-Diensten versorgt, kann es zu negativen Wechselwirkungen bezüglich der Ressourcen kommen, die gemeinsam von verschiedenen Entitäten verwendet werden.

5. Compliance: Die Rechtskonformität muss sichergestellt werden, hier ist in erster Linie das Bundesdatenschutzgesetz (BDSG) zu nennen.

6. Unvollständige Datenlöschung: Die Löschung personenbezogener Daten beim Dienstleister muss sichergestellt werden.

7. Bedrohung "Innentäter": Es ist eindeutig zu definieren, wie die Rechtevergabe im Bereich des CC durchgeführt wird.

Stichwort "Compliance"

Die Vorgaben der Compliance beziehen sich im Wesentlichen auf das BDSG, was im weiteren Verlauf detaillierter herausgearbeitet wird. Für eine datenschutz­konforme Umsetzung ist die "verantwortliche Stelle" zuständig – dabei handelt es sich um das Unternehmen, das die personenbezogenen Daten auf Basis einer geschäftlichen Notwendigkeit erhoben hat. Also um den Auftraggeber und nicht um den Cloud-Dienstleister!

Checkfragen

Die Vorgaben des BDSG gelten unabhängig davon, wie die Datenverarbeitung erfolgt – intern oder in der Wolke. Ob die personenbezogenen Daten überhaupt hätten erhoben und gespeichert werden dürfen, soll im Folgenden keine Rolle spielen. Wir betrachten nur die Besonderheiten des CC bei der Verarbeitung dieser Daten. Dabei sind folgende Prüfungen durchzuführen:

1. Liegt die Einwilligung der betroffenen Person vor? Sobald eine Datenerhebung und/oder -übermittlung vollzogen wird, muss eine vorherige Prüfung erfolgen, ob diese entweder per Gesetz erlaubt ist oder die betroffene Person ihre Einwilligung gegeben hat (§ 4, Abs. 1 BDSG). Dabei handelt es sich bei der "betroffenen Person" um denjenigen, dessen personenbezogene Daten verarbeitet werden, sprich: um die Person, über die wir hier sprechen. Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn eine Einwilligung bzw. eine gesetzliche Anforderung vorliegt. Dies gilt explizit auch, wenn die Daten durch eine Cloud-Anwendung verarbeitet werden sollen.

2. Handelt es sich um besonders schützenswerte Daten? In § 3, Abs. 9 BDSG ist definiert, welche "besonderen Arten personenbezogener Daten" besonders schützenswert sind und daher einer sehr gewissenhaften Behandlung bedürfen:

  • Rassische oder ethnische Herkunft
  • Politische Meinung
  • Religiöse oder philosophische Überzeugung
  • Gewerkschaftszugehörigkeit
  • Gesundheit
  • Sexualleben

Diese Daten dürfen auf keinen Fall einer öffentlichen Cloud zugänglich gemacht werden, da vom Gesetzgeber ein hohes Schutzniveau verlangt wird!

3. In welchem Land werden die Daten gespeichert? Bei der Bewertung einer Übermittlung ins Ausland wird zwischen dem Land unterschieden, in das der Transfer erfolgt. Dabei gelten die folgenden Kategorien:

  • Länder des europäischen Wirtschaftsraums
  • Staaten mit einem angemessen Schutzniveau
  • Die USA, z. Z. in Verbindung mit dem Safe Harbor Abkommen
  • Sonstige (unsichere) Drittstaaten

Ein Datentransfer ins Ausland ist sehr kritisch zu bewerten und in Abhängig vom Zielland aus datenschutzrechtlicher Sicht mit erheblichen Komplikationen verbunden. Ein Datentransfer in Länder der vierten Kategorie ist nicht erlaubt. Im Falle eines Datentransfers in die USA gehen aktuell die Meinungen der Experten weit auseinander.

4. Handelt es sich um eine Datenübermittlung? Es stellt sich nun die Frage, ob es sich um eine Datenübermittlung handelt. Wer bei diesem Begriff nur an den technischen Aspekt denk – etwa den Versand per E-Mail – der ist auf dem Holzweg: Das BDSG definiert eine Datenübermittlung als "(…) das Bekanntgeben (...) personenbezogener Daten an einen Dritten (...)" egal auf welchem Wege – und sei es durch Einsicht in einen Aktenordner im Unternehmen selbst (§3, Abs. 4, Nr. 3 BDSG). Natürlich ist gerade beim CC die Übermittlung per Internet die Regel. Für den Alltagsgebrauch sollte man sich aber darüber im Klaren sein, dass eine Datenübermittlung keine Kabel oder Postboten braucht. Eine Datenübermittlung bedarf einer rechtlichen Grundlage, um gesetzeskonform abgewickelt zu werden.

5. Unterscheidung Funktionsübertragung – Auftragsdatenverarbeitung. Sobald es sich aber nicht um eine Datenübermittlung im Sinne der oben genannten Definition handelt, sondern lediglich der Speicher- und/oder Verarbeitungsort im Sinne des CC verlagert wird, muss analysiert werden, ob es sich um eine Funktionsübertragung oder eine Auftragsdatenverarbeitung (ADV) handelt, um weiterführende Schritte/Maßnahmen anzugehen. Die beiden Begriffe sind wie folgt definiert: "Eine Funktionsübertragung liegt vor, wenn eine ganze Funktion zur eigenverantwortlichen Wahrnehmung dem Dienstleister übertragen wird. Der Dienstleister wird dann selbst zur verantwortlichen Stelle." Im Falle einer Funktionsübertragung liegt auf jeden Fall eine Datenübermittlung vor, die auf Basis der bereits genannten Punkte abgesichert werden muss. Bei der Funktionsübertragung zeichnet sich die Aufgabe des Dienstleisters dadurch aus, dass er diese autark und ohne direkte Anweisungen seines Kunden durchführt. Ihm werden bei der Abwicklung seiner Aufgaben umfassende Freiheitsgrade bezüglich der Umsetzung und der Datenverarbeitung gewährt. Im Gegensatz dazu steht die ADV: "Die Auftragsdatenverarbeitung liegt vor, wenn dem Dienstleister konkrete Weisungen erteilt werden und er die Daten nur nach der Weisung des Auftraggebers verarbeiten darf. Der Dienstleister muss die Datensicherheit gewährleisten und kann nicht selbst darüber entscheiden, in welchem Umfang die Daten verarbeitet werden." Eine Abgrenzung zwischen ADV und Funktionsübertragung ist nicht immer einfach und bedarf einer Einzelfallentscheidung auf Basis einer grundlegenden Untersuchung. Gerade Dienste des CC fallen häufig unter die ADV, da dem Dienstleister bei dessen Leistungserbringung kein Spielraum für eigene Entscheidungen gegeben wird. Er fungiert ausschließlich als „verlängerter Arm“ und hat bei der Umsetzung seiner Aufgabenstellungen keinerlei Gestaltungsspielraum.

Es ist für die Geschäftsanbahnung ein umfangreiches Vertragswerk zu erstellen, um gesetzeskonform zu agieren. In Paragraph § 11 BDSG wird ein 10-Punkte-Plan beschrieben, der vor der Aufnahme der Geschäftstätigkeit zwingend umzusetzen ist!

Fazit

Gerade weil viele Unternehmen mit dem Begriff des CC werben, ist es mehr als wünschenswert, dass diese Dienstleister ihre Kunden bereits bei der Anbahnung der Geschäftstätigkeit umfassend über die juristischen Rahmenbedingungen des CC informieren. Dies sollte zu gängiger Praxis werden und nicht die Ausnahme sein! Denn gerade wenn der Dienstleister signalisiert, dass er an einer rechtkonformen Abwicklung interessiert ist, wird das Vertrauen der Kunden nachhaltig gestärkt – eine gute Basis für eine lange Zusammenarbeit.