Sichere Lieferkette

Datenschutz beim Sub-Cloud-Provider

26.03.2015 von Dr. Flemming Moos

Glaubt man den Versprechen der Provider, ist das Datenmanagement über die Cloud eine einfache Sache. Das gilt jedoch nicht, wenn bei der Lieferung von Cloud-Services Subunternehmer im Spiel sind.

Cloud-Service-Provider machen Anwenderunternehmen nur allzu gerne glauben, dass die erbrachten Services einfach zu verwalten und zu managen seien. Auf den ersten Blick trifft das sicher auch zu. Bei genauerem Hinsehen stellt man jedoch schnell fest, dass vielen Services aus der Wolke komplexe Lieferketten zugrunde liegen, in denen - rechtlich betrachtet - gleich mehrere selbständige Leistungserbringer als Subunternehmer eingebunden sind.

In der Praxis läuft das folgendermaßen ab: Die vom Kunden beauftragten Leistungsbereiche werden an Subunternehmer entlang den Ebenen des IT-Stacks weitervergeben. Zum Beispiel weil ein SaaS-Anbieter Middleware-Leistungen (Iaas) und Hardware-Leistungen (PaaS) von Sub-Cloud-Providern bezieht. Oft ist es auch so, dass die Inanspruchnahme von Sub-Cloud-Providern nicht über die gesamte Leistungsbeziehung gleichbleibend ist, sondern flexibel erfolgt - je nach Kunden- und Servicebedarf.

IaaS-Marktübersicht

IaaS-Provider im Überblick
Hier finden Sie die wichtigsten Anbieter im schnellen Überblick.

Google Compute Engine
Skalierbarkeit ohne Grenzen: Die Google Compute Engine ist für rechenintensive Analyse-Anwendungen rund um Big Data, Data Warehousing sowie für High-Performance-Computing geeignet.

HP Converged Cloud
HPs IaaS-Angebotspaket "Converged Cloud" basiert auf Open-Source-Techniken und orientiert sich dezidiert am Bedarf großer Enterprise-Anwender orientiert.

IBM: Softlayer und Smart Cloud Enterprise
Seit der Softlayer-Übernahme führt IBM IaaS-Lösungen im Portfolio, die nicht ausschließlich virtuelle, sondern auch dedizierte Server zur Verfügung stellen. Ergänzend dazu besteht das "Smart Cloud Enterprise" aus virtuellen Servern und Speicherdiensten.

T-Systems DSI
T-Systems liefert vornehmlich Private-IaaS-Offerten; als eine hybride Variante gibt es die "DSI with vCloud Datacenter Services".

Rackspace Open Cloud
IaaS-Kunden von Rackspace haben die Wahl zwischen 37 (!) Betriebssystemen - meist Linux, aber auch mehrere Windows-Server-Varianten und -Generationen.

Profitbricks
Das Berliner Unternehmen Profitbricks betreibt ein deutsches und ein US-Rechenzentrum, ohne Verbindung zueinander. In einem Public-Modell stellt es Server, Speicher, Netzwerk und Loadbalancer nach Bedarf mithilfe einer Konsole namens "Data Center Designer" zusammen.

vCloud.jpg
vCloud Air unterstützt mehr als 5.000 Anwendungen und Dutzende von Betriebssystemen, die zur Ausführung auf vSphere zertifiziert sind. Für die Ausführung in der Cloud sind keine Änderungen erforderlich.

Es fehlt an Transparenz

Doch genau das ist der Pferdefuß: Während diese Flexibilität ja gerade einer der Hauptvorteile des Cloud Computings ist, birgt das dahinterliegende Service-Modell rechtlich gehen große Herausforderungen für denjenigen, der den Auftrag vergibt. Denn er hat kaum Transparenz darüber, welche Sub-Unternehmen an welchen Lokationen mit seinen Daten hantieren. Allerdings trägt er gegenüber seinem Vertragspartner von Anfang an die Verantwortung dafür, dass Datenschutz und Datensicherheit gewährleistet sein müssen, und muss ihm entsprechende vertragliche Pflichten auferlegen.

Risiko Datenschutz entlang der Lieferkette: Ob die gesamte Kette der Sub-Unternehmer abgesichert ist, weiß ein Anwender in den seltensten Fällen.
Foto: Marco2811 - Fotolia.com

Anders sieht sein vertragliches Verhältnis mit dem Sub-Unternehmer aus, den der Cloud-Provider in die Lieferkette einbindet. Mit diesem hat der Kunde selbst kein vertragliches Verhältnis. Das bedeutet für ihn auch, dass er keine Handhabe gegenüber diesem Dritt-Dienstleister hat, sollte seinen Daten einmal etwas "zustoßen". Daher ist es ratsam, mit dem unmittelbaren Vertragspartner selbst schon über einen ausreichenden Pflichtenkanon nachzudenken und diesen auch zu vereinbaren. Nicht nur, um eventuellem Datenverlust vorzubeugen, sondern auch, um den eigenen gesetzlichen Pflichten nachzukommen.

Datensicherung beim Sub-Cloud-Provider

Auch wenn es mühsam ist: Der Kunde kann die Unterauftragsverhältnisse nicht getrost dem Cloud-Provider selbst überlassen. Denn streng genommen fungiert der im datenschutzrechtlichen Sinne nur als so genannter "Auftragsdatenverarbeiter", der weisungsgebunden für den Kunden tätig wird und keine eigenen Nutzungsrechte an den Daten erhält.

Für eine solche Auftragsdatenverarbeitung bestimmt das Gesetz, dass der Auftraggeber für das Einhalten der Vorschriften zu Datenschutz und Datensicherheit verantwortlich bleibt (§11 Bundesdatenschutzgesetz BDSG). Diese Verantwortung erstreckt sich auch auf die Weitergabe der Kundendaten an und deren Umgang durch etwaige Subunternehmer, sofern diese wiederum als weisungsgebundene Dienstleister tätig werden. Die Verantwortung lässt sich also nicht einfach entlang der Lieferkette weiter delegieren.

Datenschutz: So setzen Sie die die geltenden Richtlinien um

Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren.

Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant.

Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein.

Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon.

Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.

Selbst handeln, wenn das Gesetz nicht greift

In vielen Fällen muss der Kunde selbst aktiv werden und handeln, und sich um die Absicherung der Datenschutz-Compliance in der Lieferkette selbst kümmern. Denn das Gesetz selbst macht kaum aussagekräftige Vorgaben dazu, welche Regelungen im Hinblick auf die Abwälzung von Datenschutz- und Datensicherheitsverpflichtungen bei Subunternehmen notwendig sind. Es begnügt sich genau hier mit der pauschalen Vorgabe, dass das "Ob" der Unterbeauftragung weiterer Datenverarbeitungsdienstleister vertraglich festgelegt sein muss. Nicht ausdrücklich geregelt ist aber, zu welchen Bedingungen dies zu erfolgen hat beziehungsweise welche konkreten Pflichten dem Subunternehmer insoweit aufzuerlegen sind.

Transparenz der Subunternehmer

Grundvoraussetzung dafür, dass der Kunde überhaupt auf eine Gewährleistung von Datenschutz und Datensicherheit beim Sub-Cloud-Provider hinwirken kann, ist die Kenntnis darüber, welche Subunternehmer an welchen Orten eingesetzt werden. Schon das ist in den Geschäftsbedingungen mancher Anbieter nicht selbstverständlich. Nicht ohne Grund fordern deshalb auch die Datenschutzaufsichtsbehörden in ihrer Orientierungshilfe zum Cloud Computing, hier mehr Transparenz zu haben. Ein Cloud-Provider sollte dem Kunden folgende Angaben machen können:

Benennung sämtlicher Sub-Cloud-Provider, auch solcher, die nach Vertragsbeginn hinzukommen
Benennung sämtlicher Standorte der Sub-Cloud-Provider, an denen Daten des Kunden verarbeitet werden können

Schutzniveau beim Subunternehmer

Selbstverständlich ist, dass auch der Vertrag des Cloud-Providers mit seinem Unterauftragnehmer den Vorgaben des §11 BDSG genügen muss, der zehn Mindestinhalte für einen solchen Vertrag auflistet. Klar ist weiterhin, dass bei der Unterbeauftragung die Vorgaben des übergeordneten Vertrages mit dem Kunden - auch und vor allem des sog. Auftragsdatenverarbeitungsvertrages - berücksichtigt werden müssen. Das bedeutet allerdings nicht, dass die datenschutzrechtlichen Vorgaben 1:1 weiterzugeben sind. Damit läuft der Kunde in ein Risiko. Viele Cloud-Provider stützen sich an diesem Punkt darauf, dass ihre Unterauftragnehmer (nur) ein insgesamt adäquates Schutzniveau aufweisen, nicht aber einen vollständig identischen Schutz gewährleisten müssen. Cloud-Kunden brauchen in dieser Situation folgende Rechte:

Vereinbarung eines Einzelzustimmungsvorbehalts oder eines Ablehnungsrechts für die Einschaltung von Sub-Cloud-Providern;
Verpflichtung des Vertragspartners zur Vorlage der vollständigen Sub-Cloud-Verträge.

Eigene Kontrollrechte des Kunden

Das schlichte "Kopieren" der Vertragspflichten in die Vereinbarung mit dem Sub-Cloud-Provider reicht allerdings nicht aus. Bei einer gestuften Auftragsdatenverarbeitung, wie sie in der Regel bei Cloud-Lieferketten vorliegt, halten es die Datenschutz-Aufsichtsbehörden für erforderlich, dass sich der Kunde eigene Kontrollrechte bei dem Subunternehmer vorbehält. Das gelte nach Ansicht der Behörden auch unabhängig vom geografischen Ort der unterbeauftragten Datenverarbeitung.

Cloud-Kunden sollten gegenüber ihrem Provider auf folgende Vertragsregelungen dringen:

Verpflichtung des Cloud-Providers, seine Verträge mit seinen Unterauftragnehmern so zu gestalten, dass der Kunde beim Sub-Cloud-Provider unmittelbare, eigene Kontrollrechte besitzt;
Ausgestaltung als so genannten echten Vertrag zugunsten Dritter, aus dem der Kunde deshalb selbst eigene, direkte vertragliche Rechte gegenüber dem Unterauftragnehmer herleiten kann.

Zugegeben sind solche Regelungen in der Praxis nicht immer ganz leicht durchzusetzen. Schon die Effektivität der Kontrolle des Hauptauftragnehmers ist häufig fragwürdig; die Bereitschaft (und auch die faktische Möglichkeit), eigene Untersuchungen oder gar Vor-Ort-Kontrollen vorzunehmen, kaum gegeben.

Die wichtigsten Cloud-Zertifikate

Die wichtigsten Cloud-Zertifikate
Cloud-Zertifikate sollen den wild wuchernden Markt der Cloud-Dienstleister durchsichtiger machen und bei der Suche nach einem zuverlässigen Provider Unterstützung bieten.

EuroCloud SaaS Star Audit
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter und richtet sich mit seinem Zertifikat ausschließlich an Software-as-a-Service Anbieter. Der deutsche Ableger zertifiziert Unternehmen nach dem Standard "Euro Cloud SaaS Star Audit".

Cloud EcoSystem "Trust in Cloud"
Das SaaS-EcoSystem richtet sich vor allem an mittelständisch geprägte Unternehmen, das "Trust in Cloud"-Zertifikat soll sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv vergleichen zu können.

TÜV Rheinland "Certified Cloud Service"
Der TÜV nimmt sich mit dem "Certified Cloud Service"neuerdings auch der Cloud an und hat dazu ein mächtiges Werkzeug für die Prüfung von Cloud-Services entwickelt. Beginnend mit einem "Cloud-Readiness Check" werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft.

SAS 70 von AICPA
Eher in den USA als in Europa wird SAS 70 von AICPA verwendet. Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert.

Safe Harbour
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert.

Cloud Experte
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.

Trust in Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.

German Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.

Umso wichtiger ist es deshalb für den Kunden, überhaupt Kontrollinstrumente in der Hand zu haben. Eine denkbare Alternative wäre es auch, dem Kunden Prüfberichte von externen Stellen auch in Bezug auf die Unterauftragnehmer vorzulegen. Diese müssen natürlich auch aussagekräftig im Hinblick auf die Einhaltung datenschutz- und datensicherheitsrechtlicher Vorgaben sein (beispielsweise eine Zertifizierung nach dem neuen ISO-Standard 27018 für Datenschutz in der Cloud).

Sonderregeln für Nicht-EU-Datentransfers

Sofern Sub-Cloud-Provider außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) eingesetzt werden, kommt eine weitere Komponente hinzu: Sofern der Anbieter nicht in einem anerkannten "sicheren Drittstaat" ansässig ist, braucht der Datenempfänger für ein angemessenes Schutzniveau zusätzlicher Vorkehrungen. Hierfür kommen entweder die so genannten EU-Standardvertragsklauseln zum Einsatz - bei US-Unternehmen sind das die Safe-Harbour-Grundsätze. Beide Regelungsinstrumentarien enthalten auch Vorgaben dazu, unter welchen Voraussetzungen Unterauftragnehmer in die Datenverarbeitung eingeschaltet werden dürfen.

Fazit

Geht es nach den EU-Standardvertragsklauseln, ist der Kunde selbst verpflichtet, ein jährliches, aktuelles Verzeichnis der mit "Unterauftragsverarbeitern" geschlossenen Vereinbarungen zu führen. Dazu braucht er die angesprochenen Unteraufträge vom Cloud Provider. Das Vertragsverhältnis zwischen Cloud- und Sub-Cloud-Provider muss mit den rechtlichen Gegebenheiten des Landes vereinbar sein, in dem der Kunde niedergelassen ist. Bei einer Gewährleistung des Datenschutzniveaus mithilfe des Safe-Harbour-Regimes ist besondere Vorsicht geboten: Das Safe Harbour-Framework gestattet die Weitergabe von Daten an andere Unternehmen als so genannte "onward transfers" unter vermeintlich einfach zu erfüllenden Anforderungen.

Gerade bei der "Lieferung" durch Sub-Cloud-Providern außerhalb der USA (und damit dem Geltungsbereich des Safe Harbour-Regimes) sind zusätzliche Absicherungen ratsam, etwa durch Verwendung der EU-Standardvertragsklauseln. Fest steht: Nicht alle aufgeführten Regelungen werden gegenüber den Cloud-Providern durchsetzbar sein. Die zunehmende Nutzung und Akzeptanz von Cloud-Services zeigt auch eine zunehmende Aufgeschlossenheit gegenüber dem Thema Datenschutz-Compliance in Cloud-Umgebungen. Vor allem müssen anwendende Unternehmen vorausschauend damit umgehen, wenn sie Datenschutz und Datensicherheit in ihrer Cloud-Lieferkette geregelt haben wollen.