Jusletter IT

Cloud Computing¹ ist eine der wesentlichen technologischen Entwicklungen und hat das Potential, die Organisation des Betriebs von IT-Systemen wesentlich zu verändern. Technologisch gesehen stellt Cloud Computing die logische Weiterentwicklung des Grid Computing² dar. Service Oriented Architecture – SOA (Zu Sicherheitsaspekten siehe³) und Ubiquitous Computing (siehe⁴ und⁵) ermöglichen es, IT-Leistungen global als Services anzubieten. Cloud Computing bedeutet in weiterer Folge, dass sich Anwender nicht mehr darum kümmern müssen, wo ihre Daten und die von Ihnen genutzten Services physisch gespeichert sind. Dies führt interessanten rechtlichen Fragestellungen, von der Vertragsgestaltung über Haftungsfragen bis hin zu einer Reihe von datenschutzrechtlichen Fragestellungen.

Die neue technologische Basis, die durch Entwicklungen wie SOA, mobilen Endgeräten und Ubiquitous Computing geschaffen wurde, ermöglicht es, mit Cloud Computing als Basis, nahezu jede Art von IT-Leistungen als Services anzubieten. Die bekanntesten Beispiele dafür sind Infrastructure as a Service (IaaS), Platform as a Service (PaaS), und Software as a Service (SaaS). Die bekanntesten und am meisten genutzten Services sind heute Online Speicher wie DropBox⁶, Google Drive⁷ oder SkyDrive⁸. Ähnliche Online Storage Services werden auch von anderen Anbietern, insb. Betreibern von Telekommonikationsinfrastrukturen angeboten.

Aus organisatorischer und wirtschaftlicher Sicht stellen sich einige Fragen, die es als sehr attraktiv erscheinen lassen, Cloud Computing im eigenen Unternehmen bzw. in der eigenen Organisation einzusetzen. Mögliche Kosteneinsparungen spielen dabei eine zentrale Rolle, aber auch das oft fehlende IT-Wissen bei kleineren und mittleren Unternehmen machen Cloud Computing zu einer attraktiven Alternative. Abzuwägen sind hier vor allem Kostenfaktoren und das Know How des Anbieters von Cloud Services gegen die mögliche Abhängigkeit von einem Anbieter, in die sich der Anwender begibt. In diesem Kontext spielt die Standardisierung von Services eine wesentliche Rolle.

Aus Sicht des Datenschutzes stellt die Cloud Computing Technologie sowohl Anwender, als auch Dienstleister vor alte und neue Herausforderungen. Einige Regelungen des Österreichischen Datenschutzgesetzes, die bei Inhouse-Systemen eine eher untergeordnete Bedeutung haben, rücken nun ins Zentrum des Interesses. Soll etwa die Verarbeitung personenbezogener Daten in einem Land durchgeführt werden, dessen nationale Gesetze im Widerspruch zur Europäischen Datenschutzrichtlinie⁹ stehen, entsteht dadurch eine Konfliktsituation, die in vielen Fällen wohl nur schwer aufzulösen sein wird, so stark auch das Kostenargument sein mag.

Der Standort der Cloud-Infrastruktur und des Anbieters von Cloud Computing Services sind aus rechtlicher Sicht von zentraler Bedeutung. Ein Export von personenbezogenen Daten außerhalb der Europäischen Union kann bereits in relativ einfachen Fällen der Nutzung von Cloud Computing Services vorliegen, wie z.B. der Speicherung von Personenlisten in einem DropBox Account, von dem der Anwender nicht mit Sicherheit sagen kann, dass der Service sich innerhalb der Europäischen Union befindet.

Die Verlässlichkeit eines Anbieters von Services aus Sicht von §§10 und 11 DSG ist entsprechend sicher zu stellen. Soweit eine Zertifizierung, z.B. nach ISO Standards vorliegt, kann sich ein Auftraggeber auf diese Zertifizierung berufen. Liegt eine solche Zertifizierung nicht vor, kann die Sicherstellung der Verlässlichkeit des Providers sehr aufwendig werden. Durch ein Outsourcing in die Cloud wird jedenfalls der Auftraggeber nicht von seinen datenschutzrechtlichen Verpflichtungen entbunden.

Wie auch im klassischen Fall der Verarbeitung personenbezogener Daten, haben auch bei der Verwendung von Cloud Services die Bestimmungen des §14 DSG eingehalten zu werden. Sehr positiv zu bewerten sind dabei die in Absatz 2 vorgesehenen Protokollierungspflichten, die es dem Auftraggeber ermöglichen, die Einhaltung der Datensicherheitsmaßnahmen entsprechend dem Datenschutzgesetz zu überprüfen.

Da auch Cloud Service Provider oft nur als eine Art Generalunternehmer agieren, stellt sich für diese und auch für die Auftraggeber einer Datenverarbeitung die Frage der Haftung von und für Drittanbieter bzw. Sublieferanten. Ein aus dem traditionellen Outsourcing bereits bekanntes Problem ist die Verwendung von Software von Drittanbietern. Datenschutzrechtlich betrachtet haftet primär der Auftraggeber einer personenbezogenen Datenverarbeitung gegenüber den Betroffenen für alle verursachten Schäden.

Cloud Services und die Architekturen, auf denen sie aufbauen, entwickeln ihre volle Leistungsfähigkeit vor allem in einer Economy of Scale. Dies führt natürlich dazu, dass aus ökonomischer Sicht über eine Infrastruktur bzw. Plattform möglichst viele Anwender versorgt werden sollten. Die Forderung nach gemeinsam zu nutzenden Datenbeständen ist daher sehr naheliegend und sowohl technisch, als auch wirtschaftlich sehr vernünftig. Zu beachten ist hierbei jedoch die gesetzliche Anforderung, dass personenbezogene Daten nur für jene Zwecke genutzt werden dürfen, für die sie erfasst wurde. Haben mehrere Programme z.B. aus unterschiedlichen Bereichen der Öffentlichen Verwaltung Zugriff auf diese Daten, und geht die Nutzung der Daten über die Nutzung über einen einzigen Zweck hinaus, könnte ein Informationsverbund im Sinne des Datenschutzgesetzes vorliegen und wäre den entsprechenden gesetzlichen Reglungen unterworfen.

Die oben beschriebenen Fragen stellen nur einen Ausschnitt aus dem Problembereich Datenschutz und Cloud Computing dar, stehen aber stellvertretend für jene Anforderungen, die sich aus der zunehmenden Globalisierung und der damit verbundenen immer schwierigeren Nachvollziehbarkeit von IT-Services an die Nutzung von Cloud Services ergeben. Wer hinter einer Dienstleistung (bzw. einem Service) steht, aus welchen Teilen diese besteht, von wem genau die Leistungen und eventuelle Teilleistungen erbracht werden, ist aus datenschutzrechtlicher Sicht genauso abzuklären, wie die Frage nach dem Standort des Leistungserbringers. Soweit sich die gesamte – zur Erbringung eines Services nötige – Dienstleistungskette innerhalb des Anwendungsgebietes der Europäischen Datenschutzrichtlinie ist, ist dies noch relativ einfach. Wenn ein Export von personenbezogenen Daten ausserhalb der Europäischen Union stattfindet, sind meist zusätzliche Genehmigungen einzuholen, soweit dieser Export überhaupt zulässig ist. Bereits die Ablage einer Sicherungskopie personenbezogener Daten in einem Cloud Storage Service kann genügen, um die genannten Komplikationen auszulösen.

Das Bewusstsein, mit personenbezogenen Daten entsprechend sorgfältig umgehen zu müssen, sollte generell vorausgesetzt werden können. Sobald es zum Outsourcing von IT-Dienstleistungen und zum Einsatz von Cloud Computing Services kommt, wird es allerdings nötig, zusätzliche Regelungen zu beachten, die im traditionellen Fall kaum zur Anwendung kommen. Ins Zentrum des Interesses rücken folglich §§10, 11, 12 und 13 DSG. Weiter an Bedeutung gewinnen wird auch die in §50 DSG geregelte Frage der Informationsverbundsysteme.

Die Frage der Zulässigkeit der Überlassung von Daten wird mit dem Cloud Computing zu einem zentralen Thema, vor allem hinsichtlich des Nachweises der Gewährleistung nötigen technischen und organisatorischen Voraussetzungen durch den Anbieter von Dienstleistungen.

Die Pflichten eines Dienstleisters sind in §11 DSG sehr genau geregelt. Zusammen mit §10 sollte dies die Voraussetzung dafür bieten, dass unabhängig von der Architektur des Systems der Datenschutz gewährleistet wird. Diese Paragraphen sind daher auch für den Bereich des Cloud Computing anzuwenden.

Problematisch ist hier vor allem das oft fehlende Bewusstsein, Daten unter Umständen in ein außerhalb der Europäischen Union gelegenes Land zu exportieren. Die Schaffung eines solchen Bewusstseins ist jedoch dringend erforderlich, wie der leider allzu oft praktizierte völlig sorglose Umgang mit Systemen wie DropBox, SkyDrive, aber auch Social Media zeigt. Eine verstärkte Aufklärungsarbeit hinsichtlich der §§12 und 13 DSG erscheint daher als unerlässlich.

Informationsverbundsysteme gelten praktisch seit der Entstehung der ersten Datenschutzgesetzgebung als einer der problematischsten Fälle. In einer Cloud wird das Problem dadurch potenziert, dass beim Anbieter eines Cloud Services Daten einer Vielzahl von Kunden verarbeitet werden, aus Effizienz- und Kostengründen meist auf derselben IT-Infrastruktur. Eine entsprechend sichere organisatorische und technische Trennung wird in diesem Umfeld zu einer Herausforderung, die allerdings bewältigt werden muss, um dem DSG zu entsprechen.

Mit zunehmender Verbreitung von Cloud-basierten Services werden auch die damit verbundenen datenschutzrechtlichen Fragestellungen in den Vordergrund rücken. Nicht nur traditionelle Business Clouds, sondern auch alltägliche Cloud-basierte Systeme, wie Online Storage und Soziale Netzwerke werden zu einer Intensivierung der europaweit begonnenen Diskussion führen.¹⁰ Mit dem zunehmenden Einzug des Cloud Computing in die tägliche Arbeitswelt wird die Einhaltung der Beachtung datenschutzrechtlicher Vorschriften und deren Einhaltung auf eine neue technologische Probe gestellt. Die Vermittlung der nötigen Datenschutzkenntnisse und der Befähigung zu deren gesetzeskonformer Umsetzung sollte daher im Zentrum jedes modernen¹¹ stehen, beginnend bei Grossunternehmen bis hin zu Einzelunternehmen.

[EU Datenschutz 1995] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Amtsblatt Nr. L 281 vom 23. September 1995 S. 31–50.

[Grid 2005] eScience Meets eBusiness: Blueprint for Next Generation Grid Computing, Hayashi, Hiromu, 25th IEEE International Conference on Distributed Computing Systems, 2005. ICDCS 2005. Proceedings. Digital Object Identifier: 10.1109/ICDCS.2005.33; Publication Year: 2005 , Page(s): 529.

[IEEE Cloud Computing 2012]. 5th International Conference on Cloud Computing (CLOUD), 2012 IEEE, Publication Year: 2012.

[Privacy in the Cloud 2009]. Privacy as a Service: Privacy-Aware Data Storage and Processing in Cloud Computing Architectures Itani, Wassim; Kayssi, Ayman I.; Chehab, Ali Dependable, Eighth IEEE International Conference on Autonomic and Secure Computing, 2009. DASC 2009. Digital Object Identifier: 10.1109/DASC.2009.139; Publication Year: 2009, Page(s): 711–716.

[SETA-Konzeptes] Security Education Training Awareness, siehe dazu auch Whitman, M. E. & Mattord, H. J., (2008), Management of Information Security, 2nd edition, Thomson Course Technology.

[SOA Secuirty 2010] Towards an information security framework for service-oriented architecture Chetty, Jacqui; Coetzee, Marijke. Information Security for South Africa (ISSA), 2010, Digital Object Identifier: 10.1109/ISSA.2010.5588272; Publication Year: 2010, Page(s): 1–8.

[Ubiquitous Computing Paradigm Shift 2005] From personal area networks to ubiquitous computing: preparing for a paradigm shift in the workplace. Patten, Karen P.; Passerini, Katia Wireless Telecommunications Symposium, 2005. Digital Object Identifier: 10.1109/WTS.2005.1524791; Publication Year: 2005, Page(s): 225–233.

[Ubiquitous Computing Security 2012] Security Paradigm in Ubiquitous Computing. Colella, Antonio; Colombini, Clara. Sixth International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing (IMIS), 2012. Digital Object Identifier: 10.1109/IMIS.2012.192; Publication Year: 2012, Page(s): 634–638.

---

 

Gerald Quirchmayr, Universität Wien, Fakultät für Informatik, Multimedia Information Systems Research Group, Wien.