Datenschutz in der Cloud

In der Mehrheit der Unternehmen sind Cloud-Anwendungen inzwischen im Einsatz. Mit der bevorstehenden Anwendung der Europäischen Datenschutz-Grundverordnung (DSGVO) in weniger als einem Jahr könnte jedoch die Begeisterung in der Nutzung für Cloud-Apps ein wenig getrübt werden. Dabei gibt es mit Cloud-Verschlüsselung ein Mittel um sich deutlich entspannter dem Thema DSGVO zu nähern.

Die DSGVO verlangt für IT-Umgebungen das Prinzip Privacy by Design, womit Datenschutz und Sicherheit in den Mittelpunkt gerückt werden. Geht es um die Verarbeitung von Kundendaten, so erachtet die DSGVO die Unternehmen als Auftragsdatenverarbeiter. Für sie gelten im Umgang mit Kundendaten unter anderem die Vorgaben der Sparsamkeit bei der Datenerhebung, die Datenverarbeitung mit Einverständnis der Kunden, Auskunftspflicht und insbesondere Informationspflicht bei Datensicherheitsvorfällen: In derartigen Fällen haben Unternehmen die betroffenen Kunden unverzüglich zu informieren und binnen 72 Stunden die zuständigen Aufsichtsbehörden über die Sicherheitslücke in Kenntnis zu setzen. Erfolgt die Benachrichtigung nicht im gegebenen Zeitraum und nicht in ausreichendem Umfang, können empfindliche Geldbußen fällig werden (Art. 83, Abs. 4 DSGVO).

Effizientere IT-Prozesse und eine flexiblere Preisgestaltung, die langfristige Kostenvorteile mit sich bringt, überzeugen laut dem aktuellen Cloud Monitor von Bitkom und KPMG in Deutschland derzeit 64 Prozent der Unternehmen vom Nutzen von Cloud-Anwendungen. Insbesondere bei der Nutzung von Cloud-Anwendungen sollten Unternehmen aber den Regelungen der DSGVO verstärkte Aufmerksamkeit widmen, bringt diese doch ein erhöhtes Maß an Verantwortung mit sich. Wenn es um die Sicherheit der Unternehmensdaten in der Cloud geht, scheint es derzeit noch gängige Praxis zu sein, stillschweigend die Verantwortung dem Cloud-Anbieter zuzuschreiben. Mit der DSGVO können Unternehmen eine derartige Sorglosigkeit leider nicht mehr an den Tag legen.

Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) erwartet europäische Unternehmen die größte Reform des europäischen Datenschutzrechtes seit 1995. Bis zur Geltung ab 25. Mai 2018 bleibt nicht mehr viel Zeit, besonders für mittelständische Unternehmen ist das Umsetzen der neuen oder erweiterten Vorgaben eine große Herausforderung.

Besondere Sorgfaltspflicht im Rahmen der DSGVO

Im Rahmen der DSGVO sind sie dazu verpflichtet, sich zu vergewissern, dass die Datenverarbeitungsprozesse ihres Cloud-Anbieters dem in der DSGVO geforderten Datenschutzniveau entsprechen. Um den Unternehmen die Überprüfung zu erleichtern, sieht die DSGVO eine Zertifizierung von Cloud-Anbietern vor. Diese kämpft jedoch noch mit einigen Schwierigkeiten: Derzeit gibt es noch keine einheitlichen europäischen Standards, die Zertifizierung ist freiwillig und Gütesiegel, die gegenwärtig von Cloud-Anbietern genutzt werden, bleiben meist deutlich hinter den Anforderungen der DSGVO zurück.

Darüber hinaus sind die Gütesiegel – zumindest noch zur Zeit - nur begrenzt hilfreich: Denn der alleinige Blick auf ein Gütesiegel entbindet Unternehmen nicht von der Verpflichtung, das tatsächliche Datenschutzniveau beauftragter Cloud-Anbieter zu überprüfen. Kommt ein Unternehmen dieser Sorgfaltspflicht nicht nach, kann es bei einem Datensicherheitsverstoß auf Seiten des Cloud-Anbieters ebenfalls zur Verantwortung gezogen werden. Und zwar dann, wenn von dem Unternehmen erhobene personenbezogene Daten davon betroffen sind und sich herausstellen sollte, dass das Datenschutzniveau des beauftragten Cloud-Anbieters nicht den Anforderungen der DSGVO entspricht. Hat das Unternehmen hingegen sichergestellt, dass das Datenschutzniveau des beauftragten Cloud-Anbieters ausreichend ist, steht bei einem derartigen Vorfall der Cloud-Anbieter in der Verantwortung.

Für Unternehmen bedeutet dies: Bis Mai 2018 die Verfahrensverzeichnisse ihrer Cloud-Anbieter eingehend überprüfen und für die Zukunft regelmäßige IT-Audits einfordern, um sicherzustellen, dass die Datensicherheit fortwährend gewährleistet ist. Gegenwärtig ist allerdings anzunehmen, dass allein der erste Teil der Aufgabe eine Vielzahl der Unternehmen an ihre Grenzen bringt. Insbesondere, wenn personelle und finanzielle Ressourcen für die Einführung der DSGVO-Standards knapp sind, wird der Zeitdruck empfindlich spürbar.

Doch selbst bei fristgerechter, gewissenhafter Verifizierung des Datenschutzniveaus der Cloud-Anbieter bleibt für Unternehmen ein gewisses Restrisiko: Als Auftragsdatenverarbeiter müssen sie der Informationspflicht ihren Kunden gegenüber auch bei Datensicherheitsvorfällen nachkommen, für die der Cloud-Anbieter die Verantwortung trägt. Ein Imageschaden gegenüber den Kunden ist somit trotz aller sorgfältigen Bemühungen nicht ausgeschlossen. Ebenso besteht theoretisch die Möglichkeit, dass auf Seiten des Cloud-Anbieters sich jemand unberechtigt Zugriff auf sensible Unternehmensdaten verschafft, dies jedoch unbemerkt bleibt. Ein gewisses Maß an Unsicherheit bleibt für Cloud-Nutzer somit trotz allem bestehen.

Bei einem Verschlüsselungsverfahren sollten Unternehmen auf den höchsten Standard, derzeit AES-256 (Advanced Encryption Standard) setzen. Der Advanced Encryption Standard nutzt 256-Bit-Schlüssel für die Chiffrierung von Daten. Ein Initialisierungsvektor stellt sicher, dass bei jedem Verschlüsselungsvorgang ein neuer, zufälliger Schlüssel generiert wird. Damit in einer großen Datenmenge dauerhaft ausreichend Zufälligkeit sichergestellt ist, sollte der Initialisierungsvektor ebenso lang sein wie der Schlüssel – also ebenfalls 256 Bit.

Innerhalb des Unternehmens sollte auch Schwachstellen durch Benutzer vorgebeugt werden, indem die Verwaltung der Schlüssel sowie die Zugriffsrechte in die Hände eines möglichst kleinen Personenkreises gegeben werden sollten. Mit derartigen Prinzipien ist ein Höchstmaß an Sicherheit gegeben – bei der Verwendung durch Unternehmensangehörige, der Übertragung zu und der Speicherung in der Cloud.

Der andere unbestreitbare Vorteil, den Cloud-Verschlüsselung den Unternehmen derzeit bietet, ist Zeit. Mit dem Einsatz eines zuverlässigen Verschlüsselungsverfahrens ist für Unternehmen die eingehende Überprüfung ihrer Cloud-Anbieter weniger zeitkritisch, da Datensicherheit grundsätzlich gegeben ist.

Bis Mai 2018 bleibt für sie daher zunächst nur zu klären, ob ihr Cloud-Anbieter Subunternehmen nutzt, und diese gegebenenfalls in EU-Drittstaaten beheimatet sind, also Daten ins EU-Ausland übertragen werden. Sollte dies der Fall sein, muss noch rechtzeitig vor Ausführung der DSGVO das Einverständnis der Kunden eingeholt werden.