Die Cloud & Datenschutz: Das sind die Probleme

Veröffentlicht am: 02. Januar 2013
Clouddienste sind eine praktische Sache. Sie ermöglichen die Datenspeicherung an einer zentralen Schnittstelle, auf die man von (fast) überall zugreifen kann. Wer also am Rechner einen Termin einträgt, sieht ihn später auch beim Blick in den Handy-Kalender, wer in seinem Smartphone einen Kontakt hinterlegt, kann ihn später auch am PC abrufen. Auch ganze Adressbücher, wichtige E-Mails, Fotos, Videos und weitere Dokumente können ganz einfach in einer Cloud abgelegt und jederzeit aufgerufen werden. Einen Haken hat die Sache jedoch: Das Cloud-Prinzip funktioniert nur „online“ – und hat somit entscheidende Schwachstellen. Gerade in puncto Datenschutz gilt es daher, einige wesentliche Dinge zu beachten! Aber der Reihe nach…
Die Cloud
Um ein Gefühl für die „Fallstricke“ einer Cloud zu erhalten, sollte man sich zunächst ganz konkret das Prinzip dieser Datenspeicherungs-Methode vor Augen führen. Nutzt man eine Cloud, speichert man Daten extern bei einem Dienstleister. Dies wiederum bedeutet, je nach den jeweiligen AGBs des ausgewählten Anbieters, sind die Daten nur bedingt sicher. So behält sich Apple bei seinem iCloud-Dienst beispielsweise vor, auch verschlüsselte iCloud-Daten einzusehen – gerade bei sensiblen Daten eine beunruhigende Erkenntnis. Wenn du also mit dem Gedanken spielst, eine Cloud zu nutzen, informiere dich unbedingt vorab genau über die Datenschutzbestimmungen deines favorisierten Cloud-Dienstes. Denn selbst, wenn der Cloud-Anbieter damit wirbt, dass Dokumente, Backup-Daten, Kontakte, Kalender und andere private Daten verschlüsselt in der Cloud gespeichert werden, lauert der Teufel oftmals im Detail! So zeigt das Beispiel Apple, um nochmals auf die „Tücken“ der iCloud einzugehen, dass sich der Cloud-Dienstleister durchaus vorbehalten kann, auch sensible Daten einzusehen. In den Nutzungsbedingungen der iCloud heißt es:
Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Kontoinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritte weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessenerweise notwendig ist, …
Auch andere Cloud-Angebote sind an solche Nutzungsbedingungen gekoppelt, die die User oftmals – geblendet von den scheinbar unzähligen Vorteilen einer Cloud – viel zu blauäugig akzeptieren. Denn nur, wenn die Cloud-Daten vollständig verschlüsselt wären, wäre gewährleistet, dass wirklich niemand unberechtigt auf die Dokumente zugreifen kann – dies behalten sich jedoch die meisten Anbieter vor. Ein weiterer, wichtiger Aspekt, der kritisch durchleuchtet werden muss, ist auch die personenbezogene Datenverarbeitung im Rahmen des Cloud-Computing. Hierbei treten immer auch rechtliche Fragestellungen auf, die bisher nur unzureichend aufgearbeitet sind. So bleiben die meisten Cloud-Anbieter bei ihren Garantien für Sicherheitsmaßnahmen äußerst schwammig. Auch das deutsche Bundesdatenschutzgesetz, das eigentlich alle Sicherheitsmaßnahmen genau regelt, greift bei Clouds nur bedingt. Zwar sieht es vor, dass Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, technische und organisatorische Maßnahmen treffen müssen, um die hiesigen Datenschutzauflagen zu erfüllen, da Cloud-Anbieter jedoch weltweit agieren, weiß der Kunde oft nicht, in welchem Land die datenspeichernden Cloud-Server stehen – und ob das Bundesdatenschutzgesetz überhaupt verbindlich für den Dienstleister ist. Beim grenzüberschreitenden Cloud-Computing ist nicht gewährleistet, dass es in den jeweils involvierten Staaten überhaupt Datenschutzregeln gibt oder dass diese den Anforderungen des deutschen Datenschutzrechts entsprechen. Ausländische Anbieter sind nicht zur Einhaltung datenschutzrechtlicher Grundsätze, die denen der EU gleichen, verpflichtet. Hinzu kommt, dass es sich üblicherweise um eine sogenannte Auftragsdatenverarbeitung handelt, lässt man fremde Daten in einer Cloud von externen Anbietern verarbeiten. Diese Auftragsdatenverarbeitung ist an weniger strenge Auflagen gekoppelt, als die sogenannte „Weitergabe an Dritte“. Das wiederum bedeutet, der Cloud-Provider, der den Auftrag zur Datenverarbeitung erhält, kümmert sich zwar um die Verarbeitung und Speicherung personenbezogener Daten, der Auftraggeber – also der Cloud-User – bleibt jedoch letztlich uneingeschränkt für Sicherheit und Datenschutz verantwortlich. Kein Wunder also, dass das Urteil vieler Experten im Hinblick auf die Nutzung einer Cloud eher negativ ausfällt. Zwar bietet die Cloud durchaus attraktive Vorteile, Experten raten Verbrauchern dennoch davon ab, ihre privaten Dokumente unverschlüsselt in Clouds wie die von Apple, Google, Microsoft, etc. hochzuladen.

Unsere Tipps im Umgang mit der Cloud

In der Tat sind viele Datenschutzfragen bislang ungeklärt. Wenn du dennoch einen Cloud-Dienstleister in Anspruch nehmen möchtest, solltest du einige Dinge beachten: Schon bei der Auswahl des Cloud-Anbieters empfiehlt es sich, denjenigen Betreibern den Vorzug zu geben, die nach den Sicherheitsstandards SAS70 in den USA oder ISO 27001 in Europa zertifiziert sind. Um die Leistungen verschiedener Anbieter besser miteinander zu vergleichen, vergibt der Verband EuroCloud zudem seit Anfang 2011 ein Gütesiegel für die Dienste von Software-as-a-Service-Anbietern. Auch hierauf solltest du achten. Wer an einem Dokument arbeitet und dies Anderen in der Cloud zur Verfügung stellt, läuft Gefahr gegen BDSG-Vorschriften zu verstoßen. Am besten trägst du sensible Daten, wie etwa Namen und Adressen erst nachträglich lokal ein. Ohne datenschutzrechtliche Probleme ist nämlich eigentlich nur die Nutzung von Daten ohne Personenbezug möglich – oder die rein familiäre Verwendung. Unbedingt beachten solltest du zudem, dass du wichtige Daten wie Passwörter nicht unverschlüsselt in Textfiles in die Cloud lädst. Eine verschlüsselte Übertragung und ein regelmäßiger Wechsel des Logins sind auf jeden Fall ratsam. Es empfiehlt sich zudem, sich für einen Cloud-Anbieter zu entscheiden, der einen integrierten Datensafe bietet. Diesen verschlüsselten Speicher in der Cloud kann man nutzen, um persönliche, sensible Dokumente und Daten abzulegen. Einige Anbieter, wie etwa die COMPUTERBILD-Cloud, verfügen zudem über eine „Anonym Surfen“-Funktion. Dank dieser kannst du dich im Internet bewegen, ohne nachverfolgbare Spuren zu hinterlassen. Auch solltest du darauf achten, dass der Cloud-Provider nach einem definierten Vorgehensmodell für das Management von IT-Prozessen arbeitet – wie etwa ITIL oder COBIT. So kannst du sicher sein, dass er die vielen Aufgaben des Sicherheitsmanagements strukturiert angehen kann. Um mögliche Angriffe auf deine Daten direkt zu erkennen, empfiehlt es sich, alle Zugriffe und Aktivitäten innerhalb der Speicherdienste und Cloud-Anwendungen zu protokollieren. Wichtig ist auch, dass du Daten in der Cloud vollständig löschen kannst. Oft hat man als Anwender keinen Zugriff auf das vom Cloud-Provider vorgehaltene Backup, daher bietet es sich an, die Daten ausschließlich verschlüsselt zu speichern. Beim Löschvorgang wird somit der zugehörige Schlüssel vernichtet und eine Datenentschlüsselung damit fast vollständig ausgeschlossen. Leider bieten nicht alle Cloud-Dienstleister diese Verschlüsselung an. Entscheide dich im Zweifelsfall also besser für einen Anbieter, der dir diese Option bietet.

Fazit

Beachtet man einige Dinge und entscheidet man sich für einen renommierten Cloud-Dienstleister, der sich der Informationssicherheit, dem Datenschutz und den klaren gesetzlichen Regelungen verschrieben hat, ist eine Cloud durchaus eine attraktive Sache. Denn der wesentliche Vorteil bei der Auslagerung von Daten in die Cloud ist ja eigentlich gerade die Sicherheit! Mit der Cloud gehen auch bei Verlust oder Diebstahl von Mobilgeräten, Laptops, etc. keine Daten verloren, da sie im Internet abgespeichert sind und jederzeit wieder darauf zugegriffen werden kann. Allzu sensible Daten solltest du dennoch besser nicht über die Cloud absichern.

Schreibe einen Kommentar