Der Begriff Datenschutz wird leider oft sehr unterschiedlich ausgelegt, was es auch ohne globale Vernetzung von Datenbanken erschwert, angemessene Rahmenbedingungen zu schaffen und objektive Kriterien zu definieren. Im Kern verstehen wir den Datenschutz als Maßnahme gegen den Missbrauch von Daten und in der erweiterten Sicherheitsbetrachtung auch als die notwendige Vorkehrung gegen das unberechtigte Löschen oder Verfälschen von Daten. Als besonders schutzbedürftig werden die personenbezogenen Daten betrachtet, wie es schon im weltweit ersten Datenschutzgesetz des Landes Hessen von 1970 und dem folgenden bundesweiten Datenschutzgesetz von 1977 festgelegt wurde.
Seit 1995 wurden in der EU Mindeststandards definiert und der Schutz personenbezogener Daten als Grundrecht definiert. In den USA hingegen reduziert sich der Begriff Datenschutz primär auf die technische Betrachtung. Der Zugriff auf personenbezogene Daten wird dort - bis auf wenige Ausnahmen - weitestgehend gesellschaftlich akzeptiert - maßgeblich aus der Sicht der informellen Selbstbestimmung und Meinungsfreiheit.
Digitalisierung und Datenschutz
Spätestens mit dem Aufkommen von Web 2.0 und Smartphones hat sich gezeigt, dass der Umgang mit personenbezogenen Daten in einer global vernetzten Welt wesentlich komplexer ist, als es in den existierenden Vorschriften berücksichtigt wird. Im Kern geht es um personenbezogene Sozialstrukturen und Aktionen im Web sowie Bewegungsprofile. Daraus hat sich eine Digitalindustrie entwickelt, die nach einem einfachen Prinzip funktioniert: "Komfort und Preisvorteile gegen frei zu verwendende personenbezogene Daten".
Hierbei muss zudem getrennt betrachtet werden, ob es sich um Daten in der direkten Verantwortung des Betroffenen oder mittelbar verwaltete Daten (zum Beispiel beim Arbeitgeber oder bei gewerblichen Partnern) handelt. Auch hier werden neue Geschäftsmodelle entwickelt, bei denen - basierend auf multiplen Big-Data-Quellen und selbst erhobenen Daten - ein kontinuierliches Zielgruppen-Profiling erfolgt, um die Geschäftstätigkeit zu optimieren. Problematisch wird es, wenn die Datenerhebung ohne explizites Einverständnis des Betroffenen erfolgt, zum Beispiel im Rahmen einer Service-Aktion oder einer Angebotsabfrage.
Mit der Einführung von Cloud Computing stellt sich auch zunehmend die Frage, wie die Kontrollfähigkeit zur Einhaltung gesetzlicher Bestimmungen in einer multinationalen und vernetzten IT-Verarbeitung mit unterschiedlichen rechtlichen Partnern gestaltet werden kann. Die derzeit gültigen, europäischen Datenschutzgesetze zu verstehen, ist schon schwierig genug. In Kombination mit den oft kleinen, aber dennoch bedeutsamen Unterschieden zwischen den EU-Mitgliedsstaaten können jedoch ohne geeignete juristische Begleitung fast unüberwindbare Herausforderungen entstehen.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Cloud-Dienstleister und -Nutzer gleichermaßen sehen sich mit schwerwiegenden datenschutzrechtlichen Hürden konfrontiert, die zu massiven und inakzeptablen Wettbewerbsnachteilen - zum Beispiel im Vergleich zu den USA - führen. Am Datenschutz führt bei jedem professionellen Cloud-Anbieter kein Weg vorbei: Er ist essenziell für das Kerngeschäft und steht somit ganz oben auf der Prioritätenliste. Deswegen gibt es hier auch diverse Initiativen und Projekte, die sich intensiv mit dem Thema auseinandersetzen. Unterstützung gibt es beispielsweise beim Cloud Privacy Check (CPC), der die gesamte (Datenschutz)Thematik der Nutzung von Cloud Services auf vier Fragestellungen reduziert und 32 Ländergesetze direkt vergleichbar macht. Hilfreich ist zudem das Trusted Cloud Datenschutzprofil (TCDP), das als Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten zum Einsatz kommt und datenschutzrechtliche Anforderungen auf der Seite des Cloud-Anbieters beschreibt. Das TCDP wurde im Rahmen der Initiative Trusted Cloud im Auftrag des Bundesministeriums für Wirtschaft und Energie entwickelt.
Cloud-Anbieter aus Europa und in besonderem Maße aus Deutschland besitzen eine hohe Kompetenz im Umgang mit Datenschutzfragen der Kunden, da sie den selben Rechtsvorgaben unterliegen.
Wo stehen wir heute?
Die Veränderungen durch die fortschreitende Digitalisierung stellt Gesellschaft, Unternehmen und in besonderem Maße Einzelpersonen vor große Herausforderungen. Sei es die ausufernde Kommunikationswelle im WhatsApp-Chat der Kinder, die ungesicherte Webcam im Wohnzimmer, das aufkommende Kreditrating mittels Social-Media-Profilen oder die sich durch den Einsatz von Algorithmen und Automatisierung stark verändernde Arbeitswelt. Das geht vielen zu schnell - und gerne wird der Datenschutz auch als Bremskraftverstärker verwendet.
Dabei stellt sich aber zu Recht die Frage, ob es der richtige Weg ist, Innovationen anhand von althergebrachten Betrachtungen zu bewerten und zu regulieren. Mehr als zwanzig Jahre hat es gedauert, um ein Datenschutzgesetz von 1995 umfangreich zu novellieren und es halbwegs zeitgemäß an die heutige Informationsgesellschaft anzupassen. Derweil wurden wichtige Klärungen, beispielsweise der Umgang mit der Safe-Harbour-Vereinbarung, durch Privatklagen und nicht auf Initiative der Datenschutzvertreter herbeigeführt, was schon überraschend ist. Im Kontext des Cloud Computings wurden von manchem Datenschutzverantwortlichen Super-GAU-Szenarien heraufbeschworen und auch heute noch heißt es viel zu oft: "Wenn schon Cloud, dann aber nur eine Private Cloud und am besten mit eigenen Systemen". Eine durchaus gefährliche Empfehlung, denn in vielen Fällen mangelt es an der Kompetenz, solche Systeme angemessen zu schützen - besonders im Konsumentenbereich.
- Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen. - Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf. - Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert. - User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten. - Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt. - Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?