• Startseite
• Aktuelles
• Umstellung auf Microsoft 365 So gelingt die datenschutzkonforme Umstellung auf Cloud-Computing

Umstellung auf Microsoft 365 So gelingt die datenschutzkonforme Umstellung auf Cloud-Computing

Non-Profit-Organisationen, Vereine, Stiftungen und Sozialunternehmen, die sich bisher (noch) nicht mit Cloud-Computing oder Videokonferenzen beschäftigt hatten, mussten durch Covid19 umdenken. Diese Technologien werden in Zukunft einen immer größeren Stellenwert einnehmen. Grund genug, schon heute die Vor- und Nachteile der Umstellung auf Cloud-Lösungen wie Microsoft 365 kritisch zu bewerten, um Risiken im Hinblick auf den Datenschutz zu minimieren. Ein Überblick von Thomas Althammer und Dietrich Branscheid.

Ein großer Teil der Vereine und Verbände, Unternehmen und privaten Nutzer muss sich künftig mit dem Umzug der Daten in die Wolke auseinandersetzen. Denn klassische Desktop-Anwendungen von Microsoft und auch anderen Anbietern werden – der „Cloud-first“ Strategie folgend – immer weiter aus der Wartung fallen. Am Beispiel von Microsoft als Marktführer in Deutschland wollen wir aufzeigen, wo die Vorteile und Risiken des Cloud-Computings liegen und wie die datenschutzkonforme Migration der Daten in die Wolke gelingen kann. 

Welche Arten des Cloud-Computings gibt es und wie werden sie aus Datenschutzsicht bewertet?

Innerhalb der Cloud-Angebote wird grundsätzlich zwischen drei Services unterschieden:

• Infrastructure as a Service (IaaS): Dieser Service ermöglicht, das komplette Rechenzentrum virtuell abzubilden und in die Cloud zu verlegen.
  Beispiel: Miete von Computern beziehungsweise virtuellen Maschinen 

• Plattform as a Service (PaaS): Hier werden nur bestimmte Bereiche virtuell abgebildet. Der Cloud-Anbieter stellt fertig konfigurierte Betriebssysteme und virtuelle Server zur Verfügung und wartet diese.
  Beispiel: Speicherdienste wie OneDrive oder DropBox  

• Software as a Service (SaaS): Dies ist der bekannteste Service beim Cloud-Computing. Hierbei werden Web-basierte Programme direkt gestellt und die Bedienung erfolgt in der Regel über einen Web-Browser, ohne dass Programme auf dem lokalen Computer installiert werden. Vorteil des  SaaS-Modelles ist, dass dem Servicenehmer die Anschaffungs- und Betriebskosten teilweise erspart werden, weil der Cloud-Anbieter die komplette IT-Administration und weitere Dienstleistungen wie Wartungsarbeiten und Softwareaktualisierungen übernimmt. 

Die Cloud-Lösung über Microsoft 365 bezeichnet also zunächst das Anbieten einer virtuellen Dienstleistung im Bereich des Hostings für Anwendungen und Speicherressourcen. Während Organisationen oder Unternehmen früher üblicherweise selbst lokal Computer-Server betrieben, boten in den letzten 15 Jahren immer mehr IT-Dienstleister professionelles Server-Hosting an. Auf das Betreiben eines eigenen Servers konnten NPOs oder Unternehmen daher bereits verzichten. 

Anders als beim klassischen Hosting kann der Cloud-Anbieter die länderübergreifende Infrastruktur seiner Rechenzentren im Rahmen der rechtlichen Möglichkeiten und vertraglicher Vereinbarungen frei wählen. Das heißt, er ist dazu berechtigt, Systeme in verschiedenen Rechenzentren zu hosten. Der Endkunde kann jedoch eine Speicherregion, zum Beispiel in Deutschland oder der Europäischen Union bestimmen, insofern dort ein Rechenzentrum verfügbar ist und dies vom jeweiligen Dienst unterstützt wird.

Der größte Vorteil des Cloud-Computings – die permanente Erreichbarkeit von Daten überall auf der Welt – ist gleichzeitig das größte Risiko, dessen sich Organisationen und Unternehmen bewusst sein müssen. Sie müssen Vor- und Nachteile gegen die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität der eigenen Daten und damit der potentiell Betroffenen abwägen und Maßnahmen treffen, um die Risiken zielgerichtet reduzieren zu können.

Verfügbarkeit: Gerade die Corona-Pandemie hat gezeigt, wie wichtig es ist, dass die eigenen Daten für Mitarbeiterinnen und Mitarbeiter verfügbar bleiben. Zwar sorgt das Cloud-Computing prinzipiell für jederzeitige Verfügbarkeit, doch der Internetzugang ist hier oft der Flaschenhals. Besitzt das Personal im Homeoffice beispielsweise die IT-Infrastruktur, um über das Internet Informationen zu verarbeiten?

Vertraulichkeit: Non-Profit-Organisationen, Vereine und Verbände arbeiten in der Regel mit besonders schützenswerten Daten – man denke nur an die Jugend- und Familienhilfe, die Altenpflege oder Sozialdienste. Der Vertrauensverlust durch Verstöße gegen die Vertraulichkeit lässt sich nicht umkehren und ist im Hinblick auf den Datenschutz gravierend[1].

Integrität: Wenn Informationen manipuliert oder ungewollt verändert werden – zum Beispiel in Patientenakten -, kann erheblicher Schaden entstehen. Deshalb gilt der Integrität der Daten besonderes Augenmerk, wenn personenbezogenen Daten in der Cloud verarbeitet werden sollen.

Auftragsverarbeitung in der DSGVO geregelt

Beim Cloud-Computing werden im Auftrag des Verantwortlichen organisationseigene Daten auf IT-Systemen externer Dienstleister verarbeitet (zum Beispiel bei Microsoft sowie weiteren Subunternehmen). Das nennt man Auftragsverarbeitung. Dafür gelten in der Europäischen Union strenge gesetzliche Regeln. In der Datenschutzgrundverordnung (DSGVO) sind insbesondere Artikel 28 und 32 relevant. Demgegenüber finden sich für die evangelische Kirche und Einrichtungen der Diakonie Regularien in den §§ 27 und 30 des Kirchengesetzes über den Datenschutz der evangelischen Kirche (DSG-EKD) oder für die katholische Kirche und Organisationen der Caritas in den §§ 26 und 29 des kirchlichen Datenschutzgesetzes (KDG) Regelungen zur rechtskonformen Auftragsverarbeitung.  

Unternehmen, NPOs und weitere Nutzer müssen den beauftragten Dienstleister zusätzlich hinsichtlich der notwendigen technisch-organisatorischen Maßnahmen überprüfen. Die Überprüfung hat erstmals vor der Beauftragung zu erfolgen und ist regelmäßig (Empfehlung: jährlich) zu wiederholen. Die Datenübermittlung in das Ausland ist getrennt zu überprüfen. Unabhängige Sicherheitszertifizierungen, z.B. gemäß ISO 27001[2], können teilweise als Ersatz für persönliche Kontrollen herangezogen werden. 

In der Praxis wird Cloud-Computing von den verschiedenen Datenschutzbehörden teils als problematisch eingestuft. Die Übermittlung personenbezogener Daten ist unter anderem nur dann zulässig, wenn die hohen datenschutzrechtlichen Anforderungen der Auftragsverarbeitung auch tatsächlich erfüllt werden. Besonders problematisch ist die Datenübermittlung an Server im Nicht-EU-Ausland oder der Zugriff auf Daten in Drittstaaten. 

Das EU-US Privacy Shield sowie die EU-Standard-Vertragsklauseln sind Grundlage der Datenübermittlung in Drittländer.

Microsoft bietet die Möglichkeit, Daten in den zwei deutschen Rechenzentren beziehungsweise innerhalb der EU zu speichern, allerdings müssen US-amerikanische Unternehmen im Rahmen der Auftragsverarbeitung gegebenenfalls US-Behörden aufgrund des CLOUD Acts[3] Zugriff auf diese Daten gewähren. 

Beim Cloud-Computing werden oft Rechenzentren auf der ganzen Welt verwendet. Das bedeutet, dass personenbezogene Daten „in der Cloud“, also zum Beispiel in Indien, China oder eben den USA verarbeitet werden, ohne dass der Auftraggeber über den tatsächlichen Ort, an dem sich seine Daten befinden, Kenntnis hat. Auch der Zugriff eines Microsoft-Mitarbeiters im Rahmen des Kunden-Supports, kann einen Auslandsbezug darstellen. Beispielsweise wird der Support für Microsoft Office 365 aus Ägypten durchgeführt, inklusive Zugriff per Fernwartung (nach vorheriger Freischaltung durch den Anwender). 

Die datenschutzrechtlichen Voraussetzungen der Auftragsverarbeitung inklusive Drittlandsbezug werden durch Microsoft vertraglich zugesichert. Das heißt aber nicht, dass der Auftraggeber dadurch von einer schutzbedarfsorientierten Risikoanalyse bezüglich der konkreten Verarbeitung von personenbezogenen Daten in der Wolke befreit wird. Insbesondere Sozial- und Gesundheitsorganisationen und Non-Profits verarbeiten regelmäßig besonders schützenswerte Daten und müssen bei der Migration in die Cloud zusätzliche Maßnahmen ergreifen, um den europäischen Standard des Datenschutzes zu gewährleisten. 

Europäischer Gerichtshof kippt Datentransfer in die USA

Grundlage der Datenübermittlung in die USA waren bisher das EU-US Privacy Shield sowie die EU-Standard-Vertragsklauseln. Mitte Juli 2020 hat nun der Europäische Gerichtshof (EuGH) die Vereinbarung der EU mit den USA für ungültig erklärt.  Der strenge europäische Datenschutz erlaubt den Transfer von Daten ins EU-Ausland nur, wenn dort das gleiche Schutzniveau sichergestellt ist, wie in der EU. Das sah der Europäische Gerichtshof in den USA nicht als gegeben an. Nun bedarf es einer neuen Vereinbarung zwischen der EU und den USA. Speicherort der Microsoft-Cloud-Dateien sind unter anderem zwar Server in Deutschland und der EU, allerdings können US-Behörden aufgrund des sogenannten CLOUD Acts darauf gegebenenfalls Zugriff nehmen. 

Wie gelingt die datenschutzkonforme Cloud-Migration für NPO 

Um die Schutzziele nicht zu gefährden, müssen NPOs vor der Migration von Daten in die Wolke die Möglichkeiten und Risiken des Cloud-Computings für den jeweiligen Anwendungsfall genau prüfen. Es gibt diverse technische und organisatorische Möglichkeiten, die einzelnen Verarbeitungsvorgänge sowie die Nutzerrechte auf das Nötigste zu begrenzen, zum Beispiel in dem die an Microsoft übermittelten Telemetrie- und Diagnosedaten beschränkt werden, soweit das möglich ist. Welche Optionen und Maßnahmen sich hier anbieten, hängt auch von den erforderlichen Diensten und der Situation im Einzelfall ab.

WICHTIG: Zu jedem Zeitpunkt bleibt die Pflicht des Verantwortlichen bestehen, für eine rechtmäßige Verarbeitung von personenbezogenen Daten in Microsoft 365 oder anderen Cloud-Angeboten Sorge zu tragen. 

Wer braucht eine Datenschutz-Folgeabschätzungen?

Für einige Verfahren, insbesondere bei der Verarbeitung besonderer Arten personenbezogener Daten (beispielsweise Gesundheitsdaten) sind Datenschutz-Folgeabschätzungen zwingend vorgeschrieben. Sie werden über sogenannte White- und Blacklists definiert. IT-Verantwortliche müssen im Rahmen des Prozesses Verfahren beschreiben, Risiken identifizieren und überprüfen, ob die getroffenen Schutzmaßnahmen angemessen sind.

 

VORSICHT: Maßnahmen, die im Falle des Falles von Behörden nicht als „angemessen“ eingestuft werden, bergen Risiken auf Schadenersatz oder Bußgeldverfahren. Entsprechen die eigenen Lösungen dem Stand der Technik und sind sie im Hinblick auf die Risiken ausreichend? 

EMPFEHLUNG: Auch wer nicht zu Datenschutz-Folgeabschätzungen verpflichtet ist, sollte trotzdem den risikobasierten Ansatz nutzen, um geeignete Maßnahmen zu treffen.

Auf dem Weg in die Cloud gibt es viele Fragen zum Datenschutz zu beachten. Doch der Aufwand kann sich durchaus für Organisationen lohnen: In Zeiten der Digitalisierung sind neuartige Dienste und verbesserte Formen der Zusammenarbeit gefragt. Die Corona-Krise hat gezeigt, dass auch mit verteilten Standorten und Arbeit aus dem Homeoffice der Informations- und Kommunikationsfluss gewährleistet sein muss. Viele Cloud-Angebote halten hierfür gute Antworten bereit.

Auf der anderen Seite erhöht sich die Abhängigkeit von Anbietern. Organisationen sollten kritisch beleuchten, für welche Angebote sie sich entscheiden und potentielle Risiken bei der Kosten- und Qualitätsentwicklung in ihre Überlegungen mit einbeziehen. Die Schritte in die Cloud sollte in Verbindung mit der mittelfristigen IT-Strategie betrachtet werden. 

Checkliste für die Datenmigration in die Wolke

    Strukturen analysiert und Zielkonzept erarbeitet?

• Lizenzmodell und nötige Dienste identifiziert
• Bestandsaufnahme des Status quo
• Vertragliche Fragen und rechtliche Prüfung geklärt (Interessenabwägung hinsichtlich Auftragsverarbeitung formuliert)

 

    Datenschutz-Folgeabschätzung durchgeführt?

• Datenschutzkonzept erstellt und Verfahren dokumentiert
• Risiken identifiziert, analysiert und mit Datenströmen abgeglichen
• Maßnahmen zur Datenschutzkonformität ergriffen

 

    Berechtigungen angepasst, Schutzmaßnahmen implementiert?

• Konfigurationen / Gruppenrichtlinien betrachtet
• technische und organisatorische Maßnahmen implementiert
• Restrisiko ermittelt und Datenschutz-Folgeabschätzung ergänzt

     Gesamtkonfiguration regelmäßig überprüft?

• IT-Sicherheitsanalyse der Konfiguration vorgenommen
• laufende Anpassung an technische und rechtliche Weiterentwicklung
• regelmäßige Kontrolle durch Penetrationstests