Public Cloud und Datenschutz

Auftragsdatenverarbeitung beim Cloud-Provider

| Autor / Redakteur: Bertram Dorn / Peter Schmitz

Die Erfüllung von Datenschutzvorgaben ist bei der Nutzung von Infrastruktur- (IaaS) oder Plattform-Services (PaaS) kein einfaches Projekt.
Die Erfüllung von Datenschutzvorgaben ist bei der Nutzung von Infrastruktur- (IaaS) oder Plattform-Services (PaaS) kein einfaches Projekt. (Bild: Pixabay / CC0)

Wenn Unternehmen das Angebot von Infrastruktur- (IaaS) oder Plattform-Services- (PaaS) Anbietern nutzen wollen, gilt es in Hinblick auf die Einhaltung der Datenschutz-Vorgaben einiges zu beachten. Aufgrund der unterschiedlichen Einflussmöglichkeiten von Anbieter und Nutzer muss ein Modell aus gemeinsamen und geteilten Verantwortungen entstehen.

Im Beitrag „Datenschutz in der Cloud: Sicherheit für personenbezogene Daten“ haben wir vor allem die rechtlichen Hintergründe für Datenschutz im Rahmen von IT-Dienstleistungen thematisiert. Nun widmen wir uns einigen Details und Besonderheiten des Cloud-Computing bezüglich IT-Sicherheitsaspekten.

In der klassischen Rechtsbeziehung einer Dienstleistung zwischen einem Auftraggeber (Kunde) und einem Dienstleister wird der Gegenstand der Verarbeitung in einer „Vereinbarung zur Auftragsdatenverarbeitung“ festgehalten. Dies umfasst typischerweise die Verarbeitung der personenbezogenen Daten, beispielsweise zu Abrechnungszwecken im Personalwesen, oder der Verwaltung sensibler Kundendaten.

Sicherheit für personenbezogene Daten

Datenschutz in der Cloud

Sicherheit für personenbezogene Daten

31.10.17 - Datenschutz – oder genauer, der Schutz personenbezogener Daten, ergibt sich direkt aus den ersten beiden Artikeln des Grundgesetzes. Das sich daraus ableitende Recht zur informationellen Selbstbestimmung berührt die Menschenwürde ebenso wie das Recht zur freien Entfaltung der Persönlichkeit. lesen

Machbar bei SaaS, problematisch bei Iaas & PaaS

Im Zusammenhang mit „Software as a Service“- (SaaS) Anbietern lässt sich eine solche Vereinbarung grundsätzlich auch für cloudbasierte Lösungen anwenden. Anders ist dies jedoch beim Angebot von Infrastruktur- (IaaS) oder Plattform-Services (PaaS). Hier ist der Auftragsgegenstand variabel, je nachdem, wie ein Kunde die bereitgestellten IT-Lösungen verwendet, und daher auch hinsichtlich der Verarbeitung von personenbezogenen Daten nicht unmittelbar ersichtlich. Darüber hinaus entstehen durch die Dynamik der Cloud-Services, die gemäß dem „pay-as-you-go“-Modell in Abhängigkeit zum Nutzungsgrad abgerechnet werden, komplett neue Relationen zwischen Provider und Nutzer, was auch auf die zugrundeliegenden Verträge und Vereinbarungen Einfluss übt. Bevor tatsächlich eine Datenverarbeitung mithilfe von IaaS-Ressourcen erfolgt, kann der Auftragsgegenstand nur in den seltensten Fällen explizit definiert werden.

Hinzu kommt, dass zu Beginn der Geschäftsbeziehung zwischen Provider und Nutzer „nur“ ein Rahmenvertrag existiert, der lediglich die Bedingungen festhält, die für den hypothetischen Fall einer Nutzung einer Cloud-Ressource gelten. Erst, wenn der Kunde dann tatsächlich die IT-Ressourcen nutzt, wird ein zu verarbeitender Datensatz als Auftragsgegenstand definiert. Das Problem hierbei ist jedoch, dass eine Auftragsdatenvereinbarung für diesen spezifischen Auftragsgegenstand so kurzfristig, also simultan mit dem Beginn der tatsächlichen Nutzung der IT-Infrastruktur/-Plattform, nicht abgeschlossen werden kann. Nicht zuletzt würde dies auch die Skalierbarkeit, Agilität und Elastizität der IaaS-/PaaS-Lösungen einschränken. All das bedeutet: Die vertragliche Grundlage zwischen Provider und Nutzer im Sinne einer Auftragsdatenvereinbarung ist hinsichtlich der Nutzung von Cloud-Ressourcen unbefriedigend.

Das Problem mit dem Auftragsgegenstand

Aus diesem Grund wird der Auftragsgegenstand, bezogen auf die spezifische IT-Dienstleistung, deshalb in der Regel als die Nutzung der angebotenen Cloud-Dienste zu dem Zeitpunkt eines Startkommandos, der eine Datenverarbeitung initiiert oder verändert, definiert. Dieser „Auftrag“ endet entsprechend mit der Eingabe, die Nutzung der Cloud zur Datenverarbeitung wieder zu beenden. Demzufolge enthalten die Art der genutzten Ressourcen während der Ausführung der Verarbeitung, die Daten des Auftragsgegenstandes. Dies bedeutet für Cloud-Anbieter auch, dass nach dem Beenden der Nutzung der Services auch alle Daten der genutzten Ressourcen gelöscht werden müssen.

Neben dem Auftragsgegenstand an sich sind indes auch die technischen und organisatorischen Rahmenmaßnahmen der Auftragsdatenverarbeitung festzuhalten. Auch dies ist im Fall von IaaS-/PaaS-Modellen komplexer als bei einer klassischen Anbieter-Nutzer-Beziehung. Der Cloud-Provider kann nicht wissen, inwieweit dabei beispielsweise der Datenzugang für Autorisierte reguliert bzw. kontrolliert werden muss. Folglich kann der Provider den Nutzern seines Service lediglich entsprechende Optionen zur zusätzlichen Sicherung der Daten anbieten oder empfehlen. Ob diese Datenschutzoptionen dann schlussendlich angewendet werden, hängt vom Nutzer der Cloud-Services ab. Im Gegensatz dazu ist nur der Cloud-Anbieter in der Lage, die physische Sicherheit zu gewährleisten. Neben der Sicherheit seiner IT-Infrastruktur muss der Provider auch dementsprechende technische und organisatorische Maßnahmen umsetzen und eine klare Aufgaben- und Zuständigkeitstrennung innerhalb den einzelnen Bereichen seines Unternehmens verfolgen, wie etwa nach dem Prinzip des „Need to Know“. Diese Aspekte innerhalb der Expertise des Providers sind, neben den rein wirtschaftlichen Beweggründen Workloads in die Cloud zu migrieren, die maßgeblichen Vorteile der Cloud-Nutzung. Anders ausgedrückt: Ein Cloud-Anbieter kann nur dann seine Kunden zufriedenstellend bedienen, wenn er das Thema Sicherheit adäquat und mit höchster Priorität umsetzt und entsprechend sorgfältig arbeitet. Aufgrund der Abrechnung in direkter Abhängigkeit von der Nutzung der Dienstleistungen gemäß dem „pay-as-you-go“-Modells ist die Sicherheit eines Providers also ausschlaggebend für seinen Geschäftserfolg.

Aufgrund der Expertise des Providers Datenschutz zu gewährleisten und der unterschiedlichen Einflussmöglichkeiten von Anbieter und Nutzer in dieser Hinsicht, entsteht ein Modell aus gemeinsamen und geteilten Verantwortungen: Es gibt bestimmte Sicherheitsaspekte, die nur der Cloud Provider angehen kann, ebenso wie andere Themen, die lediglich der Cloud-Nutzer selbst umsetzen und verantworten kann. Zudem existieren gemeinsame Maßnahmen, deren Umsetzung beidseitig sichergestellt werden muss. So sollte beispielsweise der Provider auf den von ihm betriebenen Systemen kontinuierlich nach Malware suchen und sich davor entsprechend mit Firewalls schützen. Gleiches gilt für den Kunden auf den von ihm betriebenen Ressourcen und Datensätzen. Für einen entsprechenden Maßnahmenkatalog zur Zusammenfassung von Möglichkeiten der Gewährleistung des Datenschutzes eignen sich Industriestandards, wie ISO 27001, oder branchenspezifische Richtlinien, wie sie etwa die Kreditkartenwirtschaft umsetzt.

Fazit

Eine klar definierte Rollenverteilung und das beidseitige Verständnis für die Aufgaben zur Gewährleistung der Sicherheit sind von ausschlaggebender Bedeutung. Zusätzlich kann der Cloud-Provider hier mit Zertifizierungen und Auditberichten von Dritten für Transparenz sorgen. Ebenso sollte die Dokumentation der angebotenen Dienstleistung aussagekräftig sein, und die möglichen Parameter zur Vermeidung von Datenverlust, unbefugtem Zugriff und dem Sicherstellen der Integrität der genutzten Dienste umfassen. Der Nutzer selbst muss eine eigene Risikoabschätzung machen, den Schutzbedarf der Daten festlegen und die sich daraus ergebende maßgebliche Cloud-Umgebung evaluieren, die den Sicherheitsansprüchen gerecht wird, und diese dementsprechend umsetzen.

Über den Autor: Bertram Dorn ist Solutions Architect Security and Compliance bei Amazon Web Services.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45227181 / Cloud und Virtualisierung)