von Redaktion IT-A…
Lesezeit
2 Minuten
Datenschutz in der Cloud
Cloud-Computing ist zwar etabliert, jedoch gibt es nach wie vor einige Fallstricke. Ein besonders komplexes und aktuelles Problem ist der Datenschutz: Zahlreiche Datenarten unterliegen besonderen Beschränkungen, vor allem durch den Gesetzgeber. Im Zentrum steht die Frage, wo die Daten gespeichert und verarbeitet werden. Dass personenbezogene Informationen besonders heikel in der Handhabung sind und warum auch "Safe Harbour" kein uneingeschränktes Gütesiegel ist, lesen Sie im Fachartikel.
Im Juli 2013 erschütterte der baden-württembergische Kultusminister Andreas Stoch die Internet-Gemeinde: Er verbot den Lehrern, Social-Media-Plattformen wie Facebook dienstlich zu nutzen. Die Welle der Empörung war heftig. Die Community reagierte mit massivem Unverständnis darauf, dass es den Lehrern im Ländle untersagt sein soll, Noten oder Termine über die sozialen Netze an die Schüler weiterzureichen. Übersehen wurde von den Internet-Verfechtern jedoch, dass dieses Verbot einen durchaus gewichtigen Hintergrund hat: Das Bundesdatenschutzgesetz, kurz BDSG. Und dass man Stoch durchaus unterstellen kann, sich auf diesem Terrain sicher zu bewegen: Vor seinem Ministeramt war der gelernte Jurist datenschutzpolitischer Sprecher der SPD-Fraktion im Stuttgarter Landtag.
Der Sturm hat sich gelegt. Zeit, das Problem genauer zu betrachten. Denn es geht bei der Verordnung des Kultusministeriums nicht nur um Facebook und Co. – alle Cloud- und Web-basierenden Dienste sind ein heikles Thema, sobald es um personenbezogene Daten geht. Was auf den ersten Blick wie eine Provinzposse wirkt, hat für Unternehmen und IT-Verantwortliche durchaus Brisanz.
Wo sind welche Daten?
Personenbezogene Daten nehmen in der Masse der Informationen, die Unternehmen speichern und verarbeiten, eine herausragende Rolle ein. Sie stehen unter besonderem gesetzlichen Schutz, der im BDSG und weiteren Verordnungen verankert ist. Jeder Verstoß wird von der Öffentlichkeit genau verfolgt, dem Unternehmen drohen empfindliche Strafen. Durch Cloud-Computing wird es noch anspruchsvoller, den Datenschutz zu gewährleisten. Denn ein Merkmal von Cloud-Computing ist, dass alle Ressourcen zu einer nicht genau definierbaren Einheit –der Cloud – zusammengefasst werden.
Wo sich diese Ressourcen befinden und wie sie technisch realisiert sind, ist für den Anwender nicht ersichtlich. Erschwert wird die Übersicht noch dadurch, dass viele Cloud-Dienstleister ihre angebotenen Dienste nicht selbst im eigenen Rechenzentrum erbringen, sondern diese ihrerseits wieder in Teilen an weitere Dienstleister auslagern. Aus Sicht des Datenschutzes stellt das ein erhebliches Problem dar.
Im Zentrum des BDSG stehen Daten, aus denen sich Rückschlüsse auf eine Person ziehen lassen. Das BDSG fasst diesen Bereich in Paragraph 3 sehr weit: "Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person." Daneben kennt das BDSG noch "besondere Arten personenbezogener Daten". Darunter fallen "Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben." - also Informationen, die die Zugehörigkeit zu einer Minderheit dokumentieren können.
Diese Daten sind besonders heikel, in falschen Händen können sie dem betroffenen Menschen erheblichen Schaden zufügen. Das BDSG befasst sich ausschließlich mit diesen personenbezogenen Daten. Informationen, die nicht mit den Persönlichkeitsrechten zusammenhängen, werden von dieser Gesetzgebung nicht berührt. Für Unternehmensdaten wie Finanzinformationen oder geistiges Eigentum gibt es je nach Unternehmensform und Branche andere Vorschriften. Entsprechende Regelwerke sind Basel II, PCI DSS, GDPdU, IFRS und dergleichen mehr.
Jedes Unternehmen hat relevante Daten
Kunden- und Mitarbeiterangaben stellen die große Masse dieser gesetzlich besonders geschützten Informationen dar; fast jedes Unternehmen operiert auf irgendeine Art damit. Was beim Umgang mit den personenbezogenen Daten erlaubt ist und was nicht, ist im BDSG recht exakt geregelt. Auf IT-Seite sind die BDSG-Punkte "Datenverarbeitung" und "Datenübertragung" besonders relevant. Auch hier fasst der Gesetzgeber die Begriffe sehr weit. Unter Verarbeitung versteht der Gesetzestext jede denkbare Operation, die mit den Daten erfolgen kann: Erheben, Speichern, Verändern, Übermitteln oder auch Löschen. Auch der Begriff der Datenübermittlung ist recht unspezifisch. Eine solche liegt vor, wenn die Daten entweder an Dritte weitergegeben werden oder wenn Dritte auf irgendeine Art Zugriff darauf erhalten.
Jan Schulze/ln
Der Sturm hat sich gelegt. Zeit, das Problem genauer zu betrachten. Denn es geht bei der Verordnung des Kultusministeriums nicht nur um Facebook und Co. – alle Cloud- und Web-basierenden Dienste sind ein heikles Thema, sobald es um personenbezogene Daten geht. Was auf den ersten Blick wie eine Provinzposse wirkt, hat für Unternehmen und IT-Verantwortliche durchaus Brisanz.
Wo sind welche Daten?
Personenbezogene Daten nehmen in der Masse der Informationen, die Unternehmen speichern und verarbeiten, eine herausragende Rolle ein. Sie stehen unter besonderem gesetzlichen Schutz, der im BDSG und weiteren Verordnungen verankert ist. Jeder Verstoß wird von der Öffentlichkeit genau verfolgt, dem Unternehmen drohen empfindliche Strafen. Durch Cloud-Computing wird es noch anspruchsvoller, den Datenschutz zu gewährleisten. Denn ein Merkmal von Cloud-Computing ist, dass alle Ressourcen zu einer nicht genau definierbaren Einheit –der Cloud – zusammengefasst werden.
Wo sich diese Ressourcen befinden und wie sie technisch realisiert sind, ist für den Anwender nicht ersichtlich. Erschwert wird die Übersicht noch dadurch, dass viele Cloud-Dienstleister ihre angebotenen Dienste nicht selbst im eigenen Rechenzentrum erbringen, sondern diese ihrerseits wieder in Teilen an weitere Dienstleister auslagern. Aus Sicht des Datenschutzes stellt das ein erhebliches Problem dar.
Im Zentrum des BDSG stehen Daten, aus denen sich Rückschlüsse auf eine Person ziehen lassen. Das BDSG fasst diesen Bereich in Paragraph 3 sehr weit: "Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person." Daneben kennt das BDSG noch "besondere Arten personenbezogener Daten". Darunter fallen "Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben." - also Informationen, die die Zugehörigkeit zu einer Minderheit dokumentieren können.
Diese Daten sind besonders heikel, in falschen Händen können sie dem betroffenen Menschen erheblichen Schaden zufügen. Das BDSG befasst sich ausschließlich mit diesen personenbezogenen Daten. Informationen, die nicht mit den Persönlichkeitsrechten zusammenhängen, werden von dieser Gesetzgebung nicht berührt. Für Unternehmensdaten wie Finanzinformationen oder geistiges Eigentum gibt es je nach Unternehmensform und Branche andere Vorschriften. Entsprechende Regelwerke sind Basel II, PCI DSS, GDPdU, IFRS und dergleichen mehr.
Jedes Unternehmen hat relevante Daten
Kunden- und Mitarbeiterangaben stellen die große Masse dieser gesetzlich besonders geschützten Informationen dar; fast jedes Unternehmen operiert auf irgendeine Art damit. Was beim Umgang mit den personenbezogenen Daten erlaubt ist und was nicht, ist im BDSG recht exakt geregelt. Auf IT-Seite sind die BDSG-Punkte "Datenverarbeitung" und "Datenübertragung" besonders relevant. Auch hier fasst der Gesetzgeber die Begriffe sehr weit. Unter Verarbeitung versteht der Gesetzestext jede denkbare Operation, die mit den Daten erfolgen kann: Erheben, Speichern, Verändern, Übermitteln oder auch Löschen. Auch der Begriff der Datenübermittlung ist recht unspezifisch. Eine solche liegt vor, wenn die Daten entweder an Dritte weitergegeben werden oder wenn Dritte auf irgendeine Art Zugriff darauf erhalten.
Seite 1 von 2 Nächste Seite>>
Jan Schulze/ln