X. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2009 - 31.03.2011

Cloud Computing bedeutet wörtlich übersetzt "Rechnen in der Wolke" und meint die Nutzung von Soft- und Hardware über ein Netzwerk (häufig das Internet) derart, dass die Parameter, wie zu nutzender Speicher, Rechenleistung oder Festplattenplatz, dynamisch an den Bedarf angepasst werden können. Für Nutzer soll der Betrieb kostengünstiger erfolgen, Anbieter können dadurch Ressourcen und Kosten sparen, indem IT-Systeme für mehrere Nutzer gemeinsam "in der Wolke", also einer Ansammlung von Servern irgendwo im Netzwerk, betrieben werden. Durch die einheitliche Dienste- und Ressourcen-Bereitstellung können diese wartungsarm und kostengünstig angeboten werden. Das kann dem Datenschutz und der Datensicherheit zugutekommen, muss es jedoch nicht. Bislang überwiegen hier die kritischen Töne, wenn es um den Nachweis von Datenschutz und Datensicherheit in der Cloud geht.

Das grundsätzliche Problem beim Cloud Computing ist die häufig unklare Datenverarbeitung, d. h. es gibt keine Georeferenzierung mehr, wo eigentlich die Datenverarbeitung stattfindet. Irgendwo in der Cloud werden Daten der Nutzer verarbeitet und abgelegt. Da einzelne Teile der Cloud dynamisch zugeteilt werden und Rechner virtuell und somit austauschbar sind, ist es weder garantiert, dass die Daten auf einem bestimmten Rechner bearbeitet werden, noch dass sie nicht den Rechtsrahmen verlassen haben und sich gerade in einem anderen Land mit anderen Datenschutzstandards befinden. Auch die korrekte Datenlöschung kann nicht kontrolliert oder eine gemeinsame Nutzung mit nicht vertrauenswürdigen Dritten ausgeschlossen werden. Mehr noch, es ist möglich, dass ein Auftragnehmer Cloud Computing nutzt, um beispielsweise einen Webserver zu betreiben und so völlig unbemerkt vom Auftraggeber die Daten in einer Cloud verarbeitet werden.

Beim Cloud Computing können verschiedene Ressourcen aufgeteilt und dem Nutzer für diesen bedarfsgerecht verkauft werden. Dies wird durch Nutzung von Virtualisierungstechnologien möglich, welche es erlauben, einzelnen virtuellen Maschinen ihre jeweiligen Ressourcen automatisiert bzw. auf Anforderung, z. B. über eine Webschnittstelle, zuzuteilen. Folgende Dienstarten können in einer Cloud bereitgestellt werden:

• Infrastrukturen: Bei "Infrastructure as a Service" (IaaS) erhält der Nutzer Zugriff auf eine Infrastruktur, welche er selbst betreuen muss. So wird beispielsweise ein Rechner angeboten, dessen Speichermenge, Netzwerkbandbreite, Festplattenplatz, Geschwindigkeit und Anzahl der Prozessoren konfigurierbar sind. Der Nutzer ist für die Wartung des Betriebssystems selbst verantwortlich. Der Anbieter kümmert sich um die Verfügbarkeit der Ressourcen und hat häufig nichts mit den Daten des Nutzers zu tun. Deshalb sollte dieser auch auf die Verfügbarkeit (Backups, Auslastung) des Dienstes achten. Beispiele dafür sind Amazons Elastic Compute Cloud (EC2) oder typische virtuelle Root-Server großer Anbieter.
• Anwendungen: Bei "Software as a Service" (SaaS) stellt der Anbieter den Zugriff auf eine Anwendung bereit. Der Nutzer hat mit der zugrundeliegenden Technologie, der Hardware oder der Wartung nichts zu tun und nutzt nur die Datenverarbeitungsmöglichkeiten der Software. Ein typisches Beispiel ist "Google Mail".
• Plattformen: Bei "Platform as a Service" (PaaS) erhält der Nutzer eine Infrastruktur mit installierter Programmierschnittstelle (API) und den zugehörigen Werkzeugen. So ist es möglich, eigene Anwendungen in einer Cloud-Umgebung zu schaffen, welche die jeweiligen Vorteile dieser über API-Zugriffe nutzen. Beispiele sind Microsofts Azure oder Googles AppEngine.

Clouds können anhand ihrer Organisationsform wie folgt unterteilt werden:

• "Public Clouds" sind öffentliche Wolken, deren Nutzer beliebige Personen oder Firmen sein können. Aufgrund der verschiedenen Anforderungen der Nutzer ist der Anbieter gezwungen, exakte und restriktive Regelungen zu Verfügbarkeit und Art und Weise der Nutzung der Dienste vorzugeben. Es kann allerdings passieren, dass sich Anwendungen mit völlig verschiedenen Datenschutz- und Sicherheitsanforderungen gemeinsame Ressourcen teilen. Bedenken entstehen aufgrund der nicht zu gewährleistenden absoluten Datensicherheit, sodass jeder Nutzer genau überlegen sollte, welche Daten in der Wolke verarbeitet werden sollen. Öffentliche Stellen könnten in einer Cloud beispielsweise Webangebote ohne personenbezogene Daten bereitstellen.
• "Private Clouds" sind private Wolken, deren Merkmal es ist, dass sich Anbieter und Nutzer nicht nur kennen, sondern sich sogar in derselben Organisation befinden, und die Ressourcen dem Nutzer exklusiv zur Verfügung gestellt werden. Nur mit Private Clouds können Datenschutz und Datensicherheit derzeit hinreichend gewährleistet werden.
• Zusätzlich gibt es die Mischform "Hybrid Cloud". Eine solche liegt dann vor, wenn die Daten einer Stelle in verschiedenen der vorgenannten Wolkenarten verarbeitet werden (können). Häufig anzutreffen sind Private Clouds, welche bei Bedarf (Lastspitzen oder Ausfälle) Ressourcen aus einer Public Cloud beziehen.

Für die Verarbeitung personenbezogener Daten öffentlicher Stellen kommt in der Regel nur eine "Private Cloud" in Frage, da in öffentlichen Wolken keine Kontrolle und Einflussnahme des Datenbesitzers möglich ist. Die Nutzung von Hybriden bzw. Public Clouds ist logischerweise dann erlaubt, wenn keine personenbezogenen Daten im Spiel sind.

Wollen öffentliche Stellen personenbezogene Daten im Rahmen des Cloud Computing verarbeiten lassen, ist das DSG-LSA einzuhalten. Cloud Computing ist eine klassische Auftragsdatenverarbeitung (§ 8 DSG-LSA). Die Verantwortung für die verarbeiteten Daten und insbesondere die sorgfältige Auswahl des Auftragnehmers liegt immer beim Auftraggeber, also der öffentlichen Stelle. Vor allem grenzüberschreitende Datenflüsse wie beispielsweise außerhalb der EU sind rechtlich problematisch und derzeit unbedingt zu vermeiden (siehe § 2 Abs. 9 Satz 2 DSG-LSA). Für öffentliche Stellen kommt Cloud Computing insbesondere im Rahmen der Nutzung in landeseigenen Rechenzentren in Frage. Bei Angeboten privater Unternehmen muss der Anbieter und insbesondere seine IT-Infrastruktur vor Auftragserteilung genau betrachtet werden. Das ist in den meisten Fällen für die öffentlichen Stellen als Verantwortliche der Datenverarbeitung nicht möglich. Weiterhin muss sich der private Cloud-Anbieter der Kontrolle durch den Landesbeauftragten unterwerfen. Inwieweit dabei die Schutzziele des § 6 DSG-LSA umgesetzt und kontrolliert werden können, ist fraglich.

Gegenwärtig fehlen konkrete rechtliche Regelungen und technische Normen für sicheres Cloud Computing. Diese Rechtsunsicherheit gilt es auszuräumen. Das Bundesamt für Sicherheit in der Informationstechnik hat in einem Eckpunktepapier (www.bsi.bund.de/DE/Themen/CloudComputing/ Eckpunktepapier/Eckpunktepapier_node.html) die wesentlichen Minimalanforderungen an Cloud-Service-Anbieter erarbeitet und der Öffentlichkeit zur Diskussion gestellt. Sie geben einen Rahmen für ein Mindestsicherheitsniveau vor, auf welches der Anbieter verpflichtet werden sollte.

Die EU fördert die Entwicklung sogenannter "Trustworthy Clouds" (TClouds). Diese sollen eine vertrauenswürdige, transparente und sichere Cloud-Computing-Infrastruktur bilden, welche nach EU-Recht legal und datenschutzgerecht zur Datenverarbeitung genutzt werden kann.

Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (AK Technik) befasst sich mit diesem aktuellen Thema. Zielstellung des AK Technik ist es, noch im Jahr 2011 die Erarbeitung einer Orientierungshilfe zum Thema "Cloud Computing und Datenschutz" abzuschließen. Diese wird aus Sicht des Datenschutzes und der Datensicherheit entsprechende Empfehlungen geben. Nach Zustimmung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder wird diese Orientierungshilfe zeitnah auf den Webseiten des Landesbeauftragten eingestellt werden.