Cloud-Computing / DSGVO: Das Thema Datenschutz

Welcher Cloud können Unternehmer vertrauen? Das Forschungs­projekt Auditor entwickelt ein Zertifikat, das der Vergleichbarkeit von Anbietern dient, wie Dr. Marius Feldmann von Cloud&Heat Technologies und Prof. Ali Sunyaev vom Karlsruher Institut für Technologie erläutern.

Fahrplan des Auditor-Projektes Bildquelle: © Karlsruher Institut für Technologie

Fahrplan des Auditor-Projektes.

Welche Auswirkungen werden die Neuerungen durch die DSGVO auf Cloud-Lösungen haben?

Prof. Ali Sunyaev: So hilfreich digitale Lösungen im Umgang mit den hochkomplexen und feingranularen Vorgängen in Unternehmen sein mögen, so genauer ist man dank DSGVO nun verpflichtet hinzuschauen: Denn überall dort, wo Daten anfallen, verarbeitet, gespeichert oder an Dritte zur Weiterverarbeitung übermittelt werden, sind strikte Regelungen einzuhalten. 

Für personenbezogene Daten, also für alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – wie zum Beispiel Kunden-, Bank- oder Onlinedaten – hat die Europäische Union die anwendbaren  Vorschriften in der DSGVO manifestiert. Sie soll ausdrücklich die bis dato mannigfaltigen europäischen Gesetze für Datenschutz und Privatsphäre harmonisieren. Das hat Auswirkungen auf Unternehmen jeder Art, Größe und Branche. Auch Logistik und Transport sind vor ihr nicht gefeit – fallen doch personenbezogene Daten entlang der kompletten Wertschöpfungskette an. Die ab dem 25. Mai 2018 gültige DSGVO vereinheitlicht damit bislang geltende nationale Regelungen, wie zum Beispiel das auf nationaler Ebene anwendbare Bundesdatenschutzgesetz, und ersetzt diese durch EU-weit standardisierte Anforderungen an die Verarbeitung personenbezogener Daten. 

Was droht Unternehmen bei Nichteinhalten der neuen Anforderungen?

Dr. Marius Feldmann: Um die Einhaltung in allen EU-Staaten dauerhaft sicherzustellen, sind nationale Behörden befugt, Sanktionen in Höhe von bis zu 4 % des gesamten weltweiten Jahresumsatzes eines Unternehmens oder bis zu 20 Mio. Euro, zu verhängen, je nachdem welcher Wert höher ist.  Das ist kein Pappenstiel. Sofern noch nicht geschehen, ist Unternehmen demnach dringend geraten, zu überprüfen, ob sie personenbezogene Daten verarbeiten und ob sie die Regelungen der DSGVO bereits einhalten. 

Können Sie ein Beispiel nennen, wo die Einhaltung der DSGVO schwer umzusetzen ist?

Sunyaev: Nicht selten sitzt der Teufel im Detail, denn gerade in der Logistik existieren oft komplexe Distributionsvorgänge, die von einer Vielzahl an Unternehmen und Subunternehmen ausgeführt werden. Allein in der simplen Warenlieferung, etwa einer Waschmaschine, können schnell gleich mehrere Speditionen oder Transporteure beteiligt sein: Vom Hersteller zum Lager, vom Lager zum Kundenspediteur, von dort zum Kunden selbst. Sie alle haben meist über synchronisierte Systeme oder entsprechende Schnittstellen Zugriff auf die Kundendaten; gleichzeitig kommen weitere personenbezogenen Daten wie die des verantwortlichen Fahrers oder Sachbearbeiters auf den Schirm. Die Kette zeigt, dass jedes Glied an der Datenverarbeitung beteiligt ist – und daher ebenso die neuen DSGVO-Anforderungen erfüllen muss. 

Prof. Dr. Ali Sunyaev Bildquelle: © Karlsruher Institut für Technologie

Prof. Ali Sunyaev, Karlsruher Institut für Technologie (KIT): „Das hat Aus­wirkungen auf Unternehmen jeder Art, Größe und Branche.“

Wo werden die personenbezogenen Daten zumeist gelagert?

Sunyaev: Im Zuge der Digitalisierung verarbeiten und verwalten Unternehmen ihre anfallenden Daten nicht ausschließlich im eigenen Rechenzentrum vor Ort, sondern oftmals bei Drittanbietern in der Cloud, um unter anderem von niedrigeren Kosten für IT-Infrastrukturen, einer höheren Agilität im Tagesgeschäft – beispielsweise bei der Übertragung und Weitergabe von Kundendaten – und damit einhergehend von Wettbewerbsvorteilen zu profitieren. 

Was gilt es zukünftig bei der Auswahl des Cloud-Anbieters zu beachten?

Feldmann: Es gibt heutzutage Cloud-Anbieter wie Sand am Meer. Hier den richtigen, langfristigen Partner für seine Anwendungen zu finden, gestaltet sich vor allem deshalb schwierig, da oftmals nicht ersichtlich ist, ob die strikten Bestimmungen der DSGVO auch tatsächlich durch den konkreten Cloud-Provider eingehalten werden. Hier können Zertifikate Abhilfe schaffen, indem sie die Anbieter virtueller IT-Ressourcen sowohl von einer technischen als auch organisatorischen Perspektive auf Herz und Nieren prüfen und einen transparenten und objektiven Nachweis zur Konformität zu den Anforderungen der DSGVO darstellen. Zwar gibt es auf dem Markt bereits eine Vielzahl an Zertifizierungen für Cloud-Dienste, diese folgen jedoch jeweils individuell entwickelten Kriterienkatalogen und erlauben bisher keine einheitliche Konformitätsprüfung mit Bezug zur DSGVO.

Dr. Marius Feldmann von Cloud&Heat Technologies Bildquelle: © Cloud & Heat Technologies

Dr. Marius Feldmann, Cloud & Heat Technologies: „Datenschutz-Zertifizierung von Cloud-Diensten ist unerlässlich.“

Und hier kommt das Forschungsprojekt Auditor zum Zug. Worum genau geht es?

Feldmann: Um Licht ins Dunkel der Datenverarbeitung zu bringen und im Dschungel der Gütesiegel und Zertifizierungen Klarheit zu schaffen, ist eine einheitliche, anerkannte Datenschutz-Zertifizierung von Cloud-Diensten unerlässlich. Deshalb wurde das Projekt ins Leben gerufen. Mehrere deutsche Unternehmen und Forschungseinrichtungen haben sich unter der Leitung von Prof. Dr. Sunyaev vom Karlsruher Institut für Technologie dieser Problematik im speziellen Auftrag des Bundesministeriums für Wirtschaft und Energie gewidmet. Das Ziel ist, eine EU-weit standardisierte Datenschutz-Zertifizierung für Cloud-Dienste zu entwickeln und in der Praxis zu erproben. In dem bis Ende 2019 laufenden Förderprojekt sollen alle relevanten Aspekte wie etwa Zuständigkeiten, Transparenzpflichten, Haftung und Kontrollmechanismen stets vor dem Hintergrund der neuen DSGVO betrachtet werden. 

Dafür wurden viele der heute anerkannten Zertifizierungsstellen mit ins Boot geholt, um von deren Expertise aus der Praxis zu profitieren: Mit dabei sind das Unternehmen Datenschutz Cert, der DIN-Normenausschuss für Informationstechnik und der Verein Eurocloud Deutschland. Zudem leitet Prof. Dr. Alexander Roßnagel von der Universität Kassel die Entwicklung der Zertifizierung aus rechtlicher Perspektive. Das Projekt wird weiter durch eine Vielzahl von assoziierten Partnern unterstützt, welche ihre praktische Erfahrung und ihr Wissen in das Projekt einbringen. Auditor baut auf seinem Vorgänger, dem Trusted Cloud Datenschutz-Profil – kurz TCDP –  auf, welches einen anerkannten Prüfstandard für datenschutzrechtliche Anforderungen des BDSG an Cloud-Dienste darstellt. 

Wie sieht der Fahrplan für das Projekt aus?

Sunyaev: Gegenwärtig leitet das Projektkonsortium neue Anforderungen und Zertifizierungskriterien basierend auf der DSGVO ab. Beispielsweise gelten ab sofort strengere Dokumentations- und Rechenschaftspflichten für Unternehmen, die personenbezogene Daten speichern. So sind Unternehmen jetzt verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten von Daten zu führen. Im Anschluss soll erarbeitet werden, wie diese Kriterien überprüft und deren Einhaltung nachgewiesen werden können. Um zum Beispiel in die Logistik zurückzukehren: Hier sind mögliche Kriterien nicht nur die Überprüfung von ausreichendem Schutz von Namen und Anschrift der Empfänger von Waren entlang der Lieferkette. Auch interne Daten von Logistik-Unternehmen – wie GPS-Bewegungsdaten von Auslieferungsfahrzeugen und weitere Trackingmöglichkeiten für das Unternehmen und seine Kunden – müssen einer Prüfung der datenschutzkonformen Übertragung, Verarbeitung und Analyse in Cloud-Diensten standhalten.

Anschließend wird das entwickelte Auditor-Verfahren durch Cloud-Dienst-Anbieter, darunter Cloud&Heat, Ecsec und Hornet-Security, erprobt sowie ein entsprechendes Geschäftsmodell zur Weiterführung des Auditor-Zertifikats entwickelt. Nur so kann das Konsortium zur Erstellung eines EU-weiten Standards beitragen, der sich in der Praxis etabliert und somit Unternehmen und Privatpersonen bei der Datensicherheit in der Cloud auch wirklich dauerhaft unterstützt.