Vor vielen Jahren undenkbar und heute Realität: Von nahezu allen Orten auf der Welt Zugang zum Internet mittels Smartphone oder Tablet haben. Von genau diesem technologischen Fortschritt macht das Cloud-Computing Gebrauch. Doch was steckt hinter dieser Art der Datenverarbeitung und -speicherung? Welche Vorteile und welche Nachteile gehen damit einher und natürlich auch: Welche datenschutzrechtlichen Fragestellungen werden bei der Cloud-Nutzung relevant? Bringen wir also etwas Klarheit in diese Datenwolke.
Was ist Cloud-Computing und welche Arten gibt es?
Eine offizielle Definition des Cloud-Computings gibt es nicht. Behelfsmäßig lässt sich hier auf die begriffliche Einordnung des National Institute of Standard and Trust (NIST) zurückgreifen. Demnach ist Cloud-Computing durch eine Reihe von charakteristischen Merkmalen gekennzeichnet, z.B. durch einen On-demand-self-service, breiten Netzwerkzugang, Ressource Pooling und eine große Elastizität der Kapazitäten. Es handelt sich dabei als um eine online verfügbare Infrastruktur für IT-Dienste, die dem Nutzer beispielsweise Datenspeicherkapazitäten, Rechnerleistung oder auch Software zur Verfügung stellt. Wichtig hierbei ist, dass alle Dienste über ein Rechnernetz angeboten werden können und nichts mehr lokal auf dem Computer installiert wird. Zentrales Charakteristikum soll dabei sein, dass Datenverarbeitung dabei als „Service“ angesehen wird. Üblicherweise werden im Zusammenhang mit Cloud-Computing mindestens drei Arten von Services genannt. Diese sind „Infrastructure as a Service“ (IaaS), „Platform as a Service“ (PaaS), und „Software as a Service“ (SaaS).
Infrastructure as a Service (IaaS)
Infrastructure as a Service (IaaS) ist der Service mit der geringsten Funktionsbreite im Cloud-Computing. Dies beschreibt ein Geschäftsmodell, bei dem keine komplette Lösung in Form von Hard- und Software angeboten wird, sondern lediglich die zur Umsetzung bestimmter Anwendungen notwendige Hardware. Man mietet sich also IT-Infrastruktur und Wartung, die dazugehörige Hardware verbleibt in Rechenzentren und wird auch dort betreut.
Platform as a Service (PaaS)
Platform as a Service (PaaS) stellt hinsichtlich der möglichen Funktionen den mittleren Service dar und baut auf dem vorangehenden Konzept auf, indem es weitere Features hinzufügt. Es handelt es sich um eine Dienstleistung, die es dem Entwickler ermöglicht, auf der angebotenen Infrastruktur mittels Schnittstellen eigene Programme zu entwickeln und auszuführen. Dazu zählt eine Entwicklungsumgebung, die für gewöhnlich direkt für die PaaS-Anwender erreichbar ist. Der Entwickler hat jedoch keine Möglichkeit auf die zur Bereitstellung des Dienstes genutzte Infrastruktur administrativ oder kontrollierend zuzugreifen. Er kann lediglich die selbst eingebrachten Programme und Daten kontrollieren.
Software as a Service (SaaS)
Software as a Service (SaaS) stellt schließlich die letzte Servicevariante dar und baut auf den beiden vorangehenden Modellen auf. Statt wie früher Software-Angebote an den Kunden zu verkaufen, werden diese hier als Dienstleistung gegen Entgelt zur Verfügung gestellt. Kunden können die Software also „mieten“ und überall mit jedem Internetbrowser nutzen. Dies erlaubt es kostengünstige Hardware im Unternehmen zu verwenden, gleichzeitig jedoch von der vollen Rechenpower und Speicherkapazität eines Rechenzentrums zu profitieren. Die bekanntesten SaaS-Applikationen im Business-Bereich stellen Microsoft Office 365 und Googles G Suite dar.
Vor- und Nachteile von Cloud-Computing
Ein großer Vorteil des Cloud-Computing liegt vor allem darin, dass keine eigenen Hardware-Ressourcen für die Speicherung von Daten oder die Nutzung der in der Cloud zur Verfügung gestellten Anwendungssoftware benötigt werden. Das heißt, dass Datenträger wie externe Festplatten oder USB-Sticks unnötig werden und man nicht Gefahr läuft, sie zu verlieren, zu beschädigen oder zu verlegen. Damit umgeht man generelle Risiken wie Datenverlust. Auch muss die eigene Hardware nicht angepasst oder aufgerüstet werden, da man die meisten Cloud-Dienste über einen Webbrowser oder einen sogenannten Client nutzen kann. Für den Zugriff auf die Cloud wird lediglich ein Internetbrowser benötigt. Darin liegt der immense Vorteil, dass man von unterschiedlichen Geräten aus jederzeit und von jedem Ort auf den jeweiligen Cloud-Service zugreifen kann – ein kompatibles Gerät und Internetanbindung vorausgesetzt.
Ein Nachteil des Cloud-Computing stellt etwa die Sicherheit dar: Durch immer wiederkehrende Hacker-Angriffe auf Server bekannter Cloud-Anbieter wie Google oder Amazon, müssen Rechner-Anlagen mit großem technischen und finanziellen Aufwand gewartet und abgesichert werden. Denn diese Angriffe zielen häufig darauf ab, auf den Servern gespeicherte personenbezogene Daten zu erbeuten. Ein weiterer großer Nachteil des Cloud-Computing liegt auf der Hand: Die Inanspruchnahme der Services von großen Cloud-Dienstleistern führt zu einer extremen Anhäufung auch von sensiblen Daten. Regelmäßig fallen personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, Telefonnummer und Zahlungsinformationen an. Diese werden gespeichert, für die Bereitstellung des Dienstes verwendet und zum Teil auch weitergegeben. Dasselbe gilt für die in der Cloud gespeicherten Inhalte. Dass dies im Rahmen des geltenden europäischen Rechts geschieht, kann jedoch nicht garantiert werden, wenn EU-Bürger auf Cloud-Dienste zurückgreifen, die ihren Firmensitz und ihre Server im nicht-europäischen Ausland platziert haben.
Wie sicher sind Daten in der Cloud?
Speicherung der Daten im europäischen Ausland
Da ein Großteil der Cloud-Anbieter die Daten außerhalb der Europäischen Union speichert, muss bei der Datenübertragung für ein angemessenes Datenschutzniveau gesorgt werden. Sollte das Unternehmen, an das die Daten übermittelt werden, seinen Sitz in einem Staat haben, für das kein sogenannter Angemessenheitsbeschluss der Europäischen Kommission vorliegt (also ein unsicheres Drittland), könnten noch die EU-Standardvertragsklauseln greifen. Im speziellen Fall der USA würde das sogenannte EU-US-Privacy-Shield-Abkommen herangezogen werden. Die Problematik liegt hier in der Frage, ob diese Instrumente auch zukünftig Bestand haben werden. Der Europäische Gerichtshof (EuGH) hat nämlich bereits angekündigt, sich zukünftig sowohl mit dem EU-US-Privacy-Shield-Abkommen als auch mit den EU-Standardvertragsklauseln zu beschäftigen. Bei Wegfall dieser beiden Instrumente, bliebe den Unternehmen nur noch eine einzige Möglichkeit: Bei der Übermittlung der Daten in ein unsicheres Drittland auf binding corporate rules zurückgreifen, also vom Unternehmen individuell gesetzte Regeln die auf den Richtlinien der Europäischen Kommision basieren. Da diese allerdings mit einem langwierigen und kostspieligen Prozess verbunden sind, nur beim konzerninternen Datenaustausch Gültigkeit haben und darüber hinaus durch Datenschutzbehörden abgesegnet werden müssten, ist diese Variante auch kein Allheilmittel. Was letztlich bleibt ist die Möglichkeit, Cloud-Anbieter mit Rechenzentren in der Europäischen Union zu wählen und damit auf der sicheren Seite hinsichtlich Datenschutzvorkehrung beim Cloud-Computing zu sein.
Cloud-Computing als Auftragsverarbeitung?
Unabhängig von der Frage eines angemessenen Datenschutzniveaus, ist mit dem Cloud-Dienstleister in der Regel ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) abzuschließen. Denn beim Cloud-Computing bleibt der Nutzer selbst Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. Er ist daher weiterhin nach außen für die Sicherheit der Daten verantwortlich.
Ein Sonderfall stellt es jedoch dar, wenn der Verantwortliche mit einem Dienstleister einen Vertrag zur Prüfung, Wartung oder Fernwartung vereinbart. Nach alter Gesetzeslage (§ 11 Abs. 5 BDSG a.F.) würde es sich hier bereits um eine Auftragsverarbeitung handeln, da der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Alleine die tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten führte bereits zur Auftragsverarbeitung. Diese Rechtsnorm ist mit Einführung der DSGVO und dem BDSG ersatzlos entfallen. Allerdings wird empfohlen auch nach neuer Rechtslage weiterhin einen AV-Vertrag abzuschließen, wenn für den Dienstleister die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten besteht. Sowohl die Datenschutzkonferenz, als auch der deutsche Gesetzgeber mit der Neufassung der Auftragsverarbeitung bei Sozialdaten (§ 80 Abs. 5 SGB X) machen klar, dass trotz allem das Bestehen einer tatsächlichen Möglichkeit des Zugriffs auf personenbezogene Daten einen AV-Vertrag verlangt.
Das heißt für die Praxis: Vereinbaren der Verantwortliche und der Dienstleister eine IT-Wartung oder Fernwartung (z.B. Prüfung von Speicher-Dumps, Support-Arbeiten in Systemen des verantwortlichen usw…) und muss der Dienstleister hierfür auf personenbezogene Daten zugreifen (können), so ist ein AV-Vertrag abzuschließen. Keine Auftragsverarbeitung liegt dann vor, wenn der Dienstleister eine rein technische Wartung der Infrastruktur einer IT (bspw. Arbeiten an der Stromzufuhr oder der Kühlung) vornimmt.
