Alice im Wunderland Teeparty

Alice in Cloud-Land

Die Cloud wirkt auf uns verheißungsvoll, versprechen die Anbieter doch eine einfache und unkomplizierte Umsetzung und ein Höchstmaß an Skalierbarkeit. Hinzu kommt die Möglichkeit, Investitionsmittel für die IT zu verringern und in die Wertschöpfungsbereiche des Unternehmens einfließen zu lassen.

 

Doch es ist Vorsicht geboten! Schnell kann es passieren, dass es zu einer Verletzung der Betroffenenrechte im Sinne der DSGVO kommt und einem die Rote Königin buchstäblich den Prozess macht. Wie bei Alice im Wunderland kann dem Cloud-Nutzer der Schutz von personenbezogenen Daten ebenso wundersam und zum Teil obskur vorkommen wie diese Geschichte.

Die gestohlenen Törtchen

Personenbezogene Daten sind für die Betroffenen oft ebenso wertvoll wie die gestohlenen Törtchen für die Rote Königin. Doch wie kann es dazu kommen, dass diese abhandenkommen, wo doch die Cloud-Anbieter mit einer vorbildlichen Compliance und der Einhaltung der DSGVO werben?

Cupcakes
Lasst euch nicht eure Törtchen - äh, personenbezogenen Daten stehlen. Das müsst ihr beachten. Quelle: Adobe Stock / Olyina

In der Ausarbeitung „DSGVO und Nutzung US-amerikanischer Cloud-Dienste“ des Wissenschaftlichen Dienstes des Deutschen Bundestages wird die Problematik, die sich bereits aus dem Titel erahnen lässt, sehr prägnant dargestellt. Demnach besteht die Gefahr in einer unberechtigten Offenlegung von personenbezogenen Daten aufgrund des Zugriffs durch US-Sicherheitsbehörden im Zusammenhang mit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dabei ist zu beachten, dass aufgrund von Konzernzugehörigkeiten nicht von einer Zugriffssicherheit ausgegangen werden kann, auch wenn der Serverstandort des Cloud-Anbieters im EWR liegt. Erschwerend kommt hinzu, dass es bei Datenschutzverstößen, gerade im Zusammenhang mit Zugriffen auf Basis des CLOUD Act, keinen Rechtsweg für die Betroffenen gibt, den diese beschreiten könnten.

 

Eine weitere Problematik kann sich durch die verstärkten Bemühungen der Regulierung von Web-Inhalten ergeben. So werden Cloud-Speicher bereits entsprechend auf strafrechtliche relevante Inhalte durchsucht, z.B. mit dem grundlegend legitimen Ziel des Schutzes von Kindern. Allerdings ist es für den Verantwortlichen bereits jetzt schwer zu beurteilen, wie weit der Datenzugriff reicht und welche Daten wie verarbeitet werden. Ein weiterer Ausbau der Onlinedurchsuchung durch private Cloud-Anbieter kann ggfs. zu Problemen über den eigentlichen Schutz von personenbezogenen Daten hinaus führen, sollten hiervon z.B. Geschäftsdaten betroffen sein.

Der Hutmacher lädt zum Tee

Bei allen Anforderungen und Versprechungen fällt es zum Teil schwer, den Überblick zu behalten und zu bewerten, welche Maßnahmen zu treffen sind, um eine rechtskonforme Datenverarbeitung zu gewährleisten. Da bei den US-Cloud-Anbietern von einem Datentransfer in die USA (unsicheres Drittland) ausgegangen werden muss, kann eine Datenverarbeitung nur unter Berücksichtigung von Art. 44 DSGVO erfolgen. Aber spätestens seit dem Schrems II-Urteil des EuGHs, wonach eine Datenübertragung nicht mehr auf einem Angemessenheitsbeschluss der Europäischen Kommission gestützt werden kann, bekommt man mitunter den Eindruck, wieder nicht die versprochene Tasse Tee zu bekommen.

 

Legitime Verarbeitungsgrundlagen im Sinne der DSGVO bleiben Verträge mit Unternehmen, die Ihre datenschutzkonforme Verarbeitung über BCRs (Approved Binding Corporate Rules) nachweisen oder der Abschluss der neuen SCC (EU-Standardvertragsklauseln). Dann ist es aber notwendig, zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten umzusetzen. Ziel ist ein angemessener Schutz der Daten vor dem Zugriff durch US-Sicherheitsbehörden.

Heraus aus dem Labyrinth

So wie die Grinse-Katze Alice einen Weg aufzeigt so empfiehlt die DSGVO mit Art. 32 Abs 1 lit. a die Pseudonymisierung und die Verschlüsselung als geeignete technische Mittel, um diesen Anforderungen zu entsprechen. Das EDPB (European Data Protection Board) definiert in den „Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 2.0“ die Anforderung, dass die personenbezogenen Daten bereits vor der Übermittlung verschlüsselt werden müssen und dem Cloud-Anbieter der Schlüssel nicht bekannt sein darf.

 

Der TeleTrust gibt mit dem Leitfaden Cloud Security einen guten und kompakten Überblick über Maßnahmen für eine sichere Nutzung von Cloud-Anwendungen. Unter dem Punkt Integrierte Verschlüsselung erfolgt eine Darstellung und ein Vergleich der gängigen Begrifflichkeiten.

Viele Anbieter haben BYOK-Lösungen (Bring Your Own Key) implementiert, wobei der Schlüssel, der für eine Verschlüsselung der Daten verwendet wird, in die Infrastruktur des Cloud-Anbieters übertragen und diesem damit „technisch“ bekannt wird. Dadurch wird die Funktion eines automatisierten Schlüssel-managements (Service Managed Keys), welches über den Cloud-Anbieter gesteuert wird, erreicht.

Schlüssel
Zur Verschlüsselung der Daten gibt es unterschiedliche Möglichkeiten, mit ihren eigenen Vor- und Nachteilen. Quelle: Adobe Stock / Dario Lo Presti

Dieses gewährt zwar einen guten Schutz im Sinne der Cyber-Security, erfüllt aber die rechtlichen Anforderungen an den Datenschutz nicht!

 

Es sollte darauf geachtet werden, dass der Anbieter der Cloud-Lösung ein Verfahren im Sinne von HYOK (Hold Your Own Key) ermöglicht, wobei zwei Schlüssel verwendet werden sollten. Ein Schlüssel der alleinig beim Kunden liegt und ohne den die Daten nicht entschlüsselt werden können und ein zweiter Schlüssel, der in die Infrastruktur des Cloud-Anbieters implementiert wird und der das Key Management in der Cloud ermöglicht. Das bietet den Vorteil, dass die IT-Sicherheitsmaßnahmen wie der automatisierte Schlüsselaustausch weiterhin funktionieren, was bei einer alleinigen HYOK-Lösung oftmals nicht der Fall ist oder einen erheblich höheren administrativen Aufwand bedeutet.

 

Die vorgeschlagenen Lösungsansätze können auch im Kleinen Anwendung finden. So ist auch die Nutzung von GoogleDrive, OneDrive und Dropbox ohne das Ergreifen von weiteren Maßnahmen ein datenschutzrechtlicher Problemfall. Anwendungen wie z.B. Cryptomator ermöglichen die datenschutzkonforme Speicherung von Daten und lassen sich auch im Privaten einsetzen. Das Prinzip beruht darauf, dass z.B. auf Dropbox ein verschlüsselter Ordner mit Cryptomator erzeugt wird, in welchem dann über Cryptomator Dateien sicher abgelegt werden können. Somit bleibt die Synchronisationsfähigkeit der Cloud-Anwendungen erhalten und den Anforderungen des Datenschutzes wird entsprochen.

 

Mit Lösungen wie diesen schaffen Sie es somit, dass niemand Ihre wertvollen Törtchen, also die personenbezogenen Daten, stiehlt. Wir beraten Sie gerne zu Ihrer individuellen Cloud-Konfiguration, um einen einwandfreien Datenschutz und eine hohe IT-Sicherheit zu gewährleisten.

 

Sprechen Sie uns gerne dazu an!

 

Viele Fragen, doch keine Antworten? Wir können Ihnen weiterhelfen! Gerne beraten die Experten von msecure Sie bei Fragen rund um Datenschutz und die IT-Sicherheit bei ihrer individuellen Cloud-Konfiguration. Hier erfahren Sie mehr!

Quelle Titelbild: Adobe Stock / Haibullaev

X