DSGVO: Die zertifizierte Cloud kommt!

Das DSGVO – Zertifikat für die Cloud!

Im Laufe dieses Jahres wird es ein erstes öffentlich anerkanntes Zertifikat geben, durch das alle Cloud-Provider nachweisen können, dass sie personenbezogene Daten rechtskonform verarbeiten. Das Zertifikat wird für 3 Jahre ausgestellt und zielt grundsätzlich auf kleine und mittelständische Cloud-Provider ab. Voraussichtlich werden sich jedoch auch große Cloud-Provider wie Microsoft und Amazon Web Services (AWS) zertifizieren lassen.

Das Zertifikat wird von dem Forschungsprojekt AUDITOR, „European Cloud Service Data Protection Certification”, erstellt und im Laufe dieses Jahres erprobt. In Zukunft wird das Kompetenznetzwerk „Trusted Cloud e.V.“ die Verwaltung des Zertifikates verantworten. AUDITOR baut auf dem bereits bestehenden „Trusted Cloud Datenschutzprofil“ sowie dem Standard-Datenschutz Modell auf und ergänzt beide um die Anforderungen der DSGVO. Durch das Zertifikat soll es in Zukunft leichter sein, datenschutzkonforme Anbieter von Cloud-Diensten zu identifizieren, um deren Angebote für den eigenen Unternehmenserfolg nutzen zu können.

Neben dem Zertifikat wird momentan zudem eine DIN-Norm mit Standards für eine rechtskonforme Verarbeitung von personenbezogenen Daten erstellt.

Wie ist das Datenschutz-Zertifikat aufgebaut?

Für die Zertifizierung müssen die Cloud-Provider eine Reihe von Kriterien erfüllen, die von AUDITOR in Form eines Kriterien-Katalogs erarbeitet worden sind. Dabei werden die datenschutzrelevanten Aspekte aus Sicht des Auftragsverarbeiters und des für die personenbezogenen Daten Verantwortlichen i.S.d. DSGVO berücksichtigt. Der Kriterien-Katalog ist zugegebenermaßen umfangreich. Jedoch bietet er eine Übersicht aller Aspekte, die bei der Umsetzung eines datenschutz-konformen IT-Betriebes zu beachten sind. Nicht alle Kriterien des Katalogs müssen von jedem Unternehmen erfüllt werden. Eine individuelle Fallprüfung wird zeigen, welche Kriterien jeweils erfüllt werden müssen.

Ein besonderer Vorteil des Kriterienkataloges sind die Umsetzungshin- bzw. -nachweise für die abstrakten Anforderungen des aktuellen Datenschutzrechts. Der Katalog lässt die verschiedenen technischen und organisatorischen Maßnahmen, die für den Datenschutz getroffen werden müssen, greifbarer werden. Sie verbinden sie inhaltlich zudem mit weiteren Rahmenwerken und Standards, wie der ISO 27001.

Das Schutzklassen-Konzept des AUDITOR-Zertifikates

Kern des Zertifizierungsprozesses bilden Datenverarbeitungsvorgänge des zu prüfenden Cloud-Providers. Diese Datenverarbeitungsvorgänge werden drei definierten Schutzklassen zugeordnet. Die Zuordnung zu den Schutzklassen ist abhängig von der Art der personenbezogenen Daten, die durch den zu prüfenden Datenverarbeitungsvorgang verarbeitet werden.

Dabei gilt es zu beachten, dass personenbezogene Daten immer mindestens einen normalen Schutzbedarf haben und daher mindestens der Schutzklasse 1 zugewiesen werden müssen. Der Grund hierfür ist, dass die Verarbeitung von personenbezogenen Daten stets einen Eingriff in die Grundrechte von einer oder mehreren Personen darstellt. Personenbezogene Daten mit hohem und sehr hohem Schutzbedarf werden den Schutzklassen 2 bzw. 3 zugeordnet. Für alle Schutzklassen listet der AUDITOR – Kriterienkatalog Beispiele auf. So sind Angaben über das Einkommen, Sozialleistungen oder Steuern der Schutzklasse 2 zugeordnet, während sich Daten, die einem Berufs-, Geschäfts- oder Fernmeldegeheimnis unterliegen, in Schutzklasse 3 wiederfinden. Jedoch muss stets der Kontext der zu prüfenden Datenverarbeitung betrachtet werden, um eine abschließende Zuordnung von Datenverarbeitungsvorgängen zu den Schutzklassen vorzunehmen. Beispielsweise können Angaben von Namen und Adressen in einem Web-Shop der Schutzklasse 2 zugeordnet werden, während die gleichen Daten in einer Datenbank für Krebserkrankungen der Schutzklasse 3 zugeordnet werden müssen.

Personenbezogene Daten mit einem extrem hohen Schutzbedarf werden in keine der drei oben genannten Schutzklassen eingeordnet! Das sind personenbezogene Daten deren Offenlegung erhebliche Gefahren für Leib und Leben der betroffenen Person(en) mit sich bringen kann (bspw. Daten von V-Leuten/Daten aus Zeugenschutzprogrammen). Sie werden von dem AUDITOR Zertifikat ausdrücklich nicht berücksichtigt!

Der Schutzbedarf und technisch organisatorische Maßnahmen

Mit der Zuordnung zu den Schutzklassen leitet sich ein Schutzbedarf für die individuellen Datenverarbeitungsvorgänge ab. Je nach Schutzklasse und dem damit einhergehenden Schutzbedarf müssen angemessene technische und organisatorische Maßnahmen für den Schutz der Datenverarbeitungsvorgänge ergriffen werden. Daten mit hohem Schutzbedarf können folglich nur von Systemen mit entsprechenden technischen Schutzvorrichtungen verarbeitet werden. Die Nutzung dieser Systeme muss so organisiert sein, dass es möglichst nicht zu einem Datenschutzvorfall kommen kann. Die Systeme und Dienste, die personenbezogene Daten verarbeiten müssen folglich dem Schutzbedarf angemessene technische und organisatorische Anforderungen erfüllen. Die Systeme selber werden daher sogenannten Schutzanforderungsklassen zugeordnet.

Schutzanforderungsklassen

Für ein besseres Verständnis wird das Konzept der Schutzanforderungsklassen an dieser Stelle noch einmal erläutert: Datenverarbeitungsvorgänge werden von IT-Systemen oder (Cloud-)Diensten vollzogen. Diese Systeme und Dienste müssen bestimmten Anforderungen gerecht werden, um den Schutzbedarf, der durch sie verarbeiteten Daten, zu erfüllen. IT-(Cloud)-Systeme, die der Anforderungsklasse 1 zugeordnet worden sind, dürfen demnach keine Daten der Schutzklassen 2 und 3 verarbeiten à entsprechende Compliance-Regeln müssen implementiert werden

Zuordnung personenbezogener Daten zu den Cloud-Systemen gemäß der Schutzklassen dieser Daten

Abbildung 1 Zuordnung personenbezogener Daten zu den Cloud-Systemen gemäß der Schutzklassen dieser Daten

Das Schutzklassenkonzept am Beispiel „Verschlüsselung gespeicherter Daten“ (Data at Rest) (Art.32 Abs.1 DSGVO) 

Am Kriterium „Verschlüsselung gespeicherter Daten“ des AUDITOREN Kriterienkatalogs lassen sich die oben beschriebenen Prinzipien verdeutlichen. Die hier beschriebenen Maßnahmen sind nicht verpflichtend, bieten jedoch Hinweise, wie die Anforderungen der drei Schutzklassen erfüllt werden könnten.

Schutzklasse 1 – Normaler Schutzbedarf

Cloud-Anbieter müssen es ihren Kunden immer ermöglichen, personenbezogene Daten zu verschlüsseln. Ein bestimmtes Verfahren wird für diese Schutzklasse jedoch nicht vorgeschrieben! Es steht folglich jedem Nutzer frei, welches Verschlüsselungsverfahren für die Datensicherung verwendet wird. Dabei muss lediglich sichergestellt sein, dass die Daten unter Wahrung der Verschlüsselung gespeichert werden können. Unterlagen könnten folglich als einfach passwort-geschützte zip-Dateien in der Cloud gespeichert werden. Als Orientierung für die Verschlüsselung von Cloud-Systemen nach dem aktuellen Stand der Technik kann der „Advances Encryption Standard“ (AES) herangezogen werden. In der Regel sollten 256-Bit Schlüssel für Datenverschlüsselungen angewendet werden.

An dieser Stelle ist es sinnvoll auf einen Grundsatz hinzuweisen: In der Cloud sollten personenbezogene Daten grundsätzlich verschlüsselt gespeichert werden. Denn auch wenn die Daten später wieder gelöscht werden, ist es in der Regel so, dass nicht die Daten selber, sondern nur die Referenzen auf die Daten aus den Cloud-Datenbanken entfernt werden. Prinzipiell könnten Daten also auch nach ihrer „Löschung“ ausgelesen werden. Durch die redundante Speicherung von Daten in der Cloud, kann man zudem kaum sagen, wo genau die Daten physisch gespeichert worden sind. Theoretisch könnten sie somit auch nach einem Löschvorgang über längere Zeit in den Rechenzentren der Cloud-Provider verbleiben.

Nutzer von Cloud-Diensten sollten personenbezogene Daten in der Cloud also nicht nur stets verschlüsselt ablegen, sondern auch sicherstellen, dass ein dem Stand der Technik angemessenes Löschkonzept im Vorfeld vertraglich mit dem Cloud-Dienst-Anbieter abgeschlossen wird. Dieses Löschkonzept kann bspw. vorsehen, dass Daten mehrfach überschrieben und damit endgültig gelöscht werden. Kommt es zu einem Datenschutzvorfall, kann dem Cloud-Nutzer durch dieses Konzept Rechtssicherheit nach der Löschung garantiert werden.

Von dem Grundsatz der Verschlüsselung sind natürlich personenbezogenen Daten ausgeschlossen, die nach Zustimmung der betroffenen Personen, ausdrücklich veröffentlicht werden sollen. Vorhandene Löschkonzepte müssen zudem gesetzlich vorgeschriebene Aufbewahrungspflichten von bestimmten Datensätzen berücksichtigen!

Schutzklasse 2 – Hoher Schutzbedarf

Das AUDITOR Zertifikat stellt an die Verschlüsselung von personenbezogenen Daten mit hohem Schutzbedarf in der Cloud weiterreichende Anforderungen. Verschlüsselungstechnologien müssen für Daten der Schutzklasse 2 aktuellen technischen Empfehlungen – Best Practices – entsprechen. Des Weiteren müssen die Verschlüsselungsverfahren stetig vom Cloud-Anbieter auf ihre Aktualität hin geprüft und ggf. aktualisiert werden. Über regelmäßige dokumentierte Tests seitens des Cloud-Providers wird sichergestellt, dass die Verfahren nachweislich korrekt implementiert sind. Für die Durchführung der Verschlüsselung der personenbezogenen Daten bleibt jedoch letzten Endes immer der Cloud-Nutzer allein verantwortlich.

Schutzklasse 3 – Sehr hoher Schutzbedarf

Personenbezogene Daten mit sehr hohem Schutzbedarf müssen neben den Maßnahmen für die Schutzklasse 2 noch weitergehende Datenschutz-Maßnahmen treffen. Bei der Nutzung von Cloud-Technologien sieht das AUDITOR Zertifikat vor, dass der Cloud-Anbieter seine Kunden bei der Verschlüsselung der Daten technisch und organisatorisch in Form von Hilfsmaßnahmen unterstützt. Diese Hilfsmaßnahmen müssen stets genau dokumentiert werden!

Konkret könnte der Cloud-Anbieter seinem Kunden spezielle Versschlüsselungsdienste und konkrete Handlungsanweisung während des Verschlüsselungsprozesses anbieten. Verantwortlich für die Verschlüsselung bleibt aber auch hier immer der Cloud-Nutzer. Er ist es auch, der die Verschlüsselung stets selbst durchführen muss! 

Anforderungen an das Schlüsselmanagement

Die Erzeugung von Schlüsseln für die Verschlüsselung von personenbezogenen Daten sollte immer in einer sicheren Umgebung und mit geeigneten Schlüsselgeneratoren durchgeführt werden. Welche konkreten Maßnahmen angemessen sind, muss aber erst im Einzelfall geprüft werden. In der Regel bieten Cloud-Anbieter eine Reihe von Möglichkeiten für das Schlüsselmanagement. Allg. gilt, dass Schlüssel ausschließlich für einen Einsatzzweck verwendet werden sollten und in angemessen abgesicherten, redundanten Systemen gespeichert werden müssen. Die Schlüssel sollten im Falle eines Zwischenfalls schnell wiederhergestellt werden können. Durch einen Schlüsselmanagement-Prozess muss zudem sichergestellt sein, dass die Schlüssel regelmäßig ausgetauscht werden. Cloud-System-Administratoren sollten dabei selbst nie auf die Schlüsselmanagement – Systeme zugreifen können!

Dokumentation

Selbstverständlich müssen die technischen und organisatorischen Maßnahmen, die für die Erfüllung von den AUDITOR-Kriterien getroffen worden sind, stets dokumentiert werden. Im Falle der Speicherung von Daten in der Cloud kann dies in Form eines Datensicherungskonzeptes erfolgen. Dieses Konzept muss unter anderem festschreiben, dass die angewendeten Verschlüsselungsverfahren dem aktuellen Stand der Technik entsprechen. In dem Konzept ist auch festzuhalten, dass geeignete technische Tests durchgeführt wurden. Durch die Tests wird nachgewiesen, dass die dokumentierten Verschlüsselungsverfahren auch wirklich effektiv angewendet werden.

Des Weiteren sollten die Prozesse selbst dokumentiert werden, die für die Verschlüsselung von personenbezogenen Daten implementiert worden sind. Das betrifft das Schlüsselmanagement genauso wie Prüf-Prozesse, durch die sichergestellt wird, dass die angewendeten Verschlüsselungsverfahren dem aktuellen Stand der Technik entsprechen.

Fazit

Cloud-Computing nimmt für Unternehmen einen immer größeren Stellenwert ein, um den mannigfaltigen Anforderungen ihrer Kunden gerecht zu werden. Es bestehen jedoch oft Zweifel, ob die Anbieter von Cloud-Diensten dabei auch die Anforderungen des aktuellen Datenschutzes erfüllen. Das AUDITOR-Zertifikat schafft hier Transparenz. Es wird der erste offiziell anerkannte Nachweis für die datenschutzkonforme Verarbeitung von personenbezogenen Daten für Cloud-Provider sein. Dadurch wird die Vertragsgestaltung zwischen Cloud-Nutzern und Cloud-Providern in Zukunft in allen Bereichen vereinfacht.

Zudem kann der AUDITOR – Kriterienkatalog als Leitfaden für alle Unternehmen dienen, Maßnahmen zu ergreifen, alle Vorteile von Cloud-Technologien zu nutzen und gleichzeitig die teils umfangreichen Anforderungen des aktuellen Datenschutzrechts zu erfüllen.

Wie hoch die Praxistauglichkeit und damit die Akzeptanz des Zertifikates am Markt letztendlich sein wird, wird sich zeigen. Klar ist jedoch, dass die Nachfrage nach einem strukturierten Maßnahmenkatalog für die Umsetzung der DSGVO groß ist – nicht nur bei Anbietern von Cloud-Diensten!

Über den Autor:

Stefan Müller ist Business-Consultant in der Unit IT Security der direkt gruppe in Hamburg mit mehrjähriger Erfahrung als IT-Projektleiter im Bankenumfeld. Gegenwärtig berät er Kunden aus verschiedenen Branchen in den Bereichen Cloud-Governance und -Compliance.

Quellen:

https://www.auditor-cert.de

https://www.computerwoche.de/a/cloud-daten-sicher-loeschen,2547357,3

Diesen Artikel teilen: