Wolkig bis trüb: Wer haftet laut österreichischem Datenschutzgesetz bei Datenpannen in der Wolke? Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


19.11.2010 Karin Peyerl*

Wolkig bis trüb: Wer haftet laut österreichischem Datenschutzgesetz bei Datenpannen in der Wolke?

Bei Datenpannen in der Wolke ist der Nutzer für die Auswahl seines Providers voll haftbar. Doch da es bisher weder nationale noch internationale Regelungen zu Cloud Computing gibt, ist es schwierig, alle Rechtsaspekte zu berücksichtigen.

Vom Newsletter-Tool bis zur ERP-Software verzeichnen Cloud-Services derzeit zweistellige Wachstumsraten, bergen dabei aber auch nicht zu unterschätzende neue Risiken für Anwender. Bei Datenpannen in der Wolke ist der Nutzer für die Auswahl seines Providers voll haftbar, bringt Datenschutz-Expertin Karin Peyerl von der Wiener Anwaltskanzlei CHSH (Cerha Hempel Spiegelfeld Hlawati) die kritischen Datenschutzfragen auf den Punkt: Haftungsminimierung bei Cloud Computing wird erreicht, wenn ein Provider nach dem Sicherheitsstandard ISO 27001 zertifiziert ist und die Norm als Service-Level auch vertraglich aufgenommen wird.

Aktuelle Studien zu Folge boomt Cloud Computing mit zweistelligen Wachstumsraten. Doch sind sich Unternehmen kaum der Risiken bewusst, die mit einer »Datenauslagerung« verbunden sind, denn bisher gibt es weder eine gesetzliche Regelung noch Richtlinien für die »Datenverarbeitung in der Wolke«. Datenschutz und Datensicherheit sind daher kritische Punkte, die jedes Unternehmen grundlegend prüfen sollte. Ein entscheidendes Kriterium stellt auch die Auswahl des Providers dar.

Laut Forrester Research steht Cloud Computing für einen »Pool aus hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen bereitstellt und nach Gebrauch abgerechnet werden kann«. Dazu gehören Software-as-a-Service-Anwendungen wie CRM-, ERP-, Collaboration- oder Newsletter-Tools. Aber auch Rechen- und Speicherlösungen mittels virtueller Server im Bereich Infrastructure as a Service. Der finanzielle Vorteil aufgrund standardisierter, webbasierter Anwendungen bringt für Nutzer den gravierenden Nachteil mit sich, dass die physikalische Umsetzung der Services sowie die gemeinsame Nutzung durch mehrere Vertragspartner nicht wirklich transparent ist. Das Risiko steigt noch, wenn unbekannte Sub-Provider dem Provider zusätzliche Kapazitäten beistellen.

NUTZER HAFTET FÜR DIE AUSWAHL DES PROVIDERS Wer haftet laut österreichischem Datenschutzgesetz (DSG) bei Datenpannen in der Wolke? Cloud-Nutzer, Provider oder Sub-Provider? Inwieweit ist die oft getätigte Aussage »Wir haben die Datensicherheit an unseren Provider ausgelagert« zulässig? Und inwieweit hilft eine Zertifizierung des Providers nach dem internationalen Standard für Informationssicherheit ISO/IEC 27001:2005, die Haftung für den Cloud-Nutzer zu reduzieren? Das DSG sieht grundsätzlich vor, dass Unternehmen Dienstleister wie Cloud-Provider in Anspruch nehmen können. Dies aber mit der Voraussetzung, dass diese Dienstleister »eine rechtmäßige und sichere Datenverarbeitung« gewährleisten. Faktisch heißt das: Der Cloud-Nutzer haftet für die Auswahl des Providers. Das Unternehmen muss daher von seinem Provider aktiv einen Nachweis für die Einhaltung der gesetzlichen Datensicherheitsmaßnahmen verlangen, wozu es in der Praxis zwei Möglichkeiten gibt: Durchführung regelmäßiger Dienstleister-Audits oder Einfordern eines Zertifikates, welches durch eine unabhängige Prüforganisation ausgestellt wurde.

HAFTUNGSMINIMIERUNG DURCH ISO 27001 Ist ein Provider nach der Security-Norm ISO 27001 zertifiziert, bedeutet dies für den Cloud-Nutzer, dass sein Provider die gesetzlichen Datenschutzverpflichtungen mit »größtmöglicher Sorgfalt« erfüllt. Denn ISO 27001 umfasst die Einhaltung anzuwendender Gesetze als verpflichtendes Prüfkriterium – und das gilt aufgrund der Third-Party-Anforderungen auch für involvierte Sub-Provider. Zertifizierte Unternehmen verpflichten sich im Rahmen einer ISO-27001-Zertifizierung zur Einhaltung der Legal Compliance, wozu relevante Gesetze aus allen Ländern zählen, in denen Kundenbeziehungen bestehen. In unabhängigen Zertifizierungs- oder Rezertifizierungsaudits werden die Rechtsregister im Unternehmen genau geprüft. Wie verhält es sich daher mit der Haftung des Cloud-Nutzers, der einen ISO-27001-zertifizierten Provider beauftragt hat, im Falle einer Datenpanne beim Provider? In diesem Fall minimiert sich die persönliche Haftung des Cloud-Nutzers, da er durch die Auswahl eines zertifizierten Providers seiner gesetzlichen Sorgfaltspflicht nachkommt.

Da es bisher weder nationale noch internationale Regelungen zum Cloud Computing gibt, ist es für den Nutzer generell schwierig, alle Rechtsaspekte zu berücksichtigen. Aus datenschutzrechtlicher Sicht sind aktuell folgende Punkte relevant:

TAKE IT OR LEAVE IT VERTRÄGE Da es sich in der Cloud um standardisierte Services handelt, können Verträge kaum individuell ausverhandelt werden. Zumeist sind auch die AGB des Providers nachteilig für Nutzer, insbesondere in Bezug auf Haftungsfragen bei Datenverlust und -rückführung sowie Zugriffs- und Kontrollrechten. Ein Provider sollte daher ein dem Stand der Technik entsprechendes Sicherheitskonzept vorweisen und vertraglich zusichern. Empfehlenswert ist der Abschluss von Service Level Agreements (SLA) oder die vertragliche Integration von Standards wie ISO 27001 als Maßstab für die Leistungserbringung.

ZU WENIG DATENSCHUTZ Durch die EU-Datenschutzrichtlinie 95/46/EG (EU-DSRL) erfolgte eine Harmonisierung des Datenschutzrechts im EU-/EWR-Raum. Räumlich knüpft die EU-DSRL und somit auch das österreichische DSG primär an den Ort der Datenverarbeitung an, womit Cloud-Provider mit Sitz im EU-/EWR-Raum die gesetzlich normierten Datensicherheitsmaßnahmen zu erfüllen haben. Anders bei Anbietern außerhalb des EU-/EWR-Raums: Diese haben grundsätzlich keine Verpflichtung zur Einhaltung der EU-Datenschutzprinzipien. Selbst wenn solch ein Provider die Datensicherheit vertraglich garantiert, können durch eine Datenüberlassung außerhalb des EU-/EWR-Raums behördliche Genehmigungspflichten entstehen, deren Nicht-Einhaltung mit Verwaltungsstrafen bis zu 10.000 Euro geahndet werden.

UNKENNTNIS ÜBER DEN STANDORT DER DATEN Die Auslagerung von Daten an Provider inklusive Sub-Provider entbindet den Cloud-Nutzer nicht von seiner »Verpflichtung zur Sicherstellung der Datensicherheit« (§ 14 Abs. 1 DSG). Die Umsetzung der Maßnahmen wie Zugriffskontrollen und die Erfüllung von »Betroffenenrechten« wie das Recht auf Auskunft, Richtigstellung und Löschung von Daten (§ 26 bis 28 DSG) kann nicht gewährleistet werden, wenn der Ort der Speicherung aufgrund verteilter Ressourcen nicht bekannt ist. Weiters stellt sich das Problem, dass meist keine einheitlichen Log-Files generiert werden, was die gesetzlich »zwingend vorgesehene Protokollierungspflicht« über sämtliche Verwendungsvorgänge wie Abfragen, Änderungen und Übermittlungen von Daten konterkariert. Schwierig ist auch die Zusammenführung von Protokollen bei mehreren Ressourcen-Anbietern. Wurde ein ISO-27001-zertifizierter Provider gewählt, kann sichergestellt werden, dass der Cloud-Provider selbst eine Protokollierung durchführt und dies auch von seinen Sub-Providern gemäß der Third-Party-Anforderungen der Norm vertraglich einfordert, da eine Zertifizierung auch die Klassifizierung und Archivierung von Log-Files umfasst.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: