23.08.2019

Cloud: Datenschutz-Schreckgespenst Cloud?

Alles geht in die Cloud - zumindest vieles von dem, was wir im KMU-Bereich noch vor wenigen Jahren als lokal oder auf dem Server in unserem Netzwerk bereitgestellte Software für unverzichtbar gehalten haben, kann mindestens eben so gut durch einen Cloudanbieter betrieben werden. Wie aber sieht es dann mit dem Thema Datenschutz aus?

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

Cloud

Wie ist es "in der Cloud" mit dem Datenschutz bestellt?

Im letzten Monat hatten wir uns an dieser Stelle mit der Nutzung von Office 365 und den weiteren Cloudlösungen beschäftigt, deren Nutzung die Softwareanbieter (allen voran Microsoft und Apple) all denjenigen schmackhaft machen möchten, die noch eigene Server und lokal installierte Software betreiben. Letztere gibt es ohnehin immer mehr als SaaS (Software-as-a-Service), Lizenzen werden zunehmend ausschliesslich in einem Abonnementmodell angeboten. Und nach Microsofts Abkündigung des Small Business Servers und dem Schwinden des MacOS Servers werden sich im KMU-Bereich über kurz oder lang die Bereiche neu verteilen:

  • Typische KMU-Umgebungen mit wenigen oder sogar nur einem Server(n) und wenigen bis einigen Dutzend Anwendern werden von den Softwaregiganten in die Cloud getrieben.
  • In grösseren Umgebungen werden weiterhin Server betrieben, allerdings durch Clouddienste ergänzt. 

Dabei muss man vorweg einmal mehr etwas Klarheit in den immer noch nebulösen Begriff der "Cloud" bringen. "Die" Cloud an sich gibt es nicht, weder ist der Begriff normiert noch wird er einheitlich im Sprachgebrauch verwendet. So mancher gestandene Admin muss schmunzeln, wenn er beim Elektronikdiscounter "die Cloud für zuhause" im Angebot sieht. Es handelt sich dann um eine NAS, also ein Network Attached Storage mit einigen Terabyte Kapazität und für die Speicherung der familiären PC-Daten und Lieblingsfilme gedacht ... nun ja, des menschen Wille und Glaube sind ja bekanntlich sein Himmelreich.

Ursprünglich ging es beim Begriff der "Cloud" um Server im Internet, die zu einem Verbund zusammengeschlossen sind, ihre Dienste aber unter einer einheitliche Schnittstelle (oder Adresse) bereit stellen. Natürlich bestand und besteht auch selbst eine gewaltige Cloud wie die von Amazon immer noch aus einzelnen Servern und Speicherlösungen mit teilweise unvorstellbar grossen Lagerungskapazitäten, diese stehen aber in der Regel an vielen geographischen Orten des Internets und nicht mehr in einem einzelnen Rechenzentrum. Das Cloud-Prinzip sorgt zum einen für eine hohe Ausfallsicherheit, eine hohe Skalierbarkeit (also Erweiterbarkeit - "wie viele Terabyte hätten´s denn heute gern, bitte schön?"), aber eben auch für wenig Transparenz. "Den" Server, auf dem Sie vielleicht Ihre CMS-Lösung angemietet haben, gibt es gar nicht - er besteht entweder aus einem Serververbund oder aus einem Backupsystem, das einspringt, wenn Ihr eigentlicher Server einmal Schluckbeschwerden hat.

Daten lassen sich nicht mehr so sorglos horten

Spätestens mit dem Inkrafttreten der nivellierten europäischen Datenschutzverordnung, der DSGVO (GDPR) im Mai 2018 aber ist vielen Administratoren, IT-Verantwortlichen und generell Unternehmensverantwortlichen bewusst geworden, dass sich die Daten nicht mehr so sorglos horten lassen. Ein Kunde, Nutzer oder auch Angestellter, dessen personenbezogenen Daten Sie zur Verarbeitung überlassen bekommen haben, hat ein verbrieftes Anrecht auf Auskunft, Einsicht und Löschung dieser Daten. Wenn er oder sie dieses Recht einfordert und Sie ihm dann antworten müssen, dass Sie erstens gar nicht genau wissen, wo diese Daten denn nun genau liegen und ob nicht eine staatliche Ermittlungsbehörde diese längst schon mitgeschnitten hat, haben Sie ein ernsthaftes juristisches Problem.

  • Regel Nummer 1 also: Nutzen Sie nur Clouddienste, die Ihnen über die Lagerung Ihrer Daten präzise Auskünfte geben können.
  • Regel Nummer 2: Vertrauen Sie sich nur solchen Anbietern an, deren IT-Systeme durch den Rechtsraum der DSGVO erfasst sind.

Falls es jemand noch nicht gewusst haben sollte: Viele Länder wie Nordkorea, Saudi-Arabien, China und die USA gehören nicht dazu - eine illustre Versammlung, ob deren Beteiligter man doch ins Grübeln geraten könnte, ob der Begriff der Werte der westlichen Welt nicht inzwischen ein wenig heruntergekommen ist - aber das gehört eigentlich nicht hierher.

Oder dann vielleicht doch wieder, wenn es um Ihre Daten geht – und die Ihrer Kunden. Niemand möchte irgend jemandem etwas unterstellen, aber es ist eine Tatsache, dass Sie die Ihnen anvertrauten Daten sorgsam und in Übereinstimmung mit den Vorgaben der DSGVO verwahren müssen. Und dass die DSGVO im Zweifelsfall auch für uns Schweizer gilt, haben wir bereits wiederholt festgestellt.

Und dann muss sich der um die Sicherheit seiner IT, seines Unternehmens und der Daten seiner Kunden, externen Kooperationspartner und Mitarbeiter besorgte CEO oder IT-Verantwortliche fragen, wie er eine solche aktuelle Meldung einzuordnen hat:

"Sicherheitslücken und mangelnder Datenschutz: Microsoft patzt bei Office 365". So titelte die iX im April 2019. Und weiter heisst es dort:

"Viele Unternehmen sind bereits auf Office 365 umgestiegen. Doch Microsoft schlampt beim Datenschutz und hält sich nicht an Sicherheitsstandards" (zit. n. ebd.).

Was bringt die Autoren der Fachzeitschrift X zu dieser Erkenntnis?

Offenbar ignoriert Microsoft Sicherheitsstandards und gängige Datenschutzvorgaben. So überträgt Office 365 "beim ersten Anmelden das Kennwort des Nutzers im Klartext und nicht als Salted Hash (...) Bei einem zwischengeschalteten Proxy, zum Beispiel einem erfolgreichen Man-in-the-Middle-Angriff, lässt es sich ohne weiteres Zutun auslesen. Darüber hinaus kommt es bei Microsofts Servern ebenfalls im Klartext an" (zit. n. ebd.).

Starker Tobak - und für ein professionell agierendes Unternehmen wie Microsoft eher peinlich, solche handwerklichen Fehler hätte man eher den IT-Auszubildenden im ersten Lehrjahr zugetraut. Übrigens geht es in dem Vorwurf um den so genannten Hash des Passworts, in der Diskussion auf heise.de wurde das gerne übersehen und den Autoren, die den Missstand entdeckten, wiederum Schlampigkeit vorgeworfen. Nach alter Tradition sollte man jedoch nicht den Überbringer der schlechten Nachricht für deren Inhalt verantwortlich machen. Aber auch der Datenschutz wird bei Microsoft offenbar nicht besonders ernst genommen:

"Ebenso überrascht, dass Office 365 noch vor der Zustimmung zur zugehörigen Einverständniserklärung Telemetriedaten an Microsoft sendet (...) Einstellungen des Betriebssystems (werden) ignoriert (...) Hierbei handelt es sich um (...) personenbezogene Daten" (zit. n. ebd.).

Gemäss der DSGVO bedarf es für eine Weitergabe personenbezogener Daten jedoch der expliziten Zustimmung des Nutzers. Dazu passt, dass "eine Datenschutz-Folgenabschätzung (DSFA) der niederländischen Regierung im November 2018 festgestellt hat, dass Microsofts Office 2016 und Office 365 unerlaubt personenbezogene Daten nach Hause funkt"  (Quelle: buero-kaizen.de).

Dies ist ein kostenloser Beitrag. Sie möchten von fundiertem Praxiswissen rund um den Datenschutz profitieren und die Anforderungen sicherstellen? Jetzt Newsletter abonnieren.

Microsoft lässt kein Inspektionen seiner Rechenzentren durch die Kunden zu

Microsoft lässt übrigens auch keine Inspektionen seiner Rechenzentren durch die Kunden zu - diese ist aber in der DSGVO festgeschrieben. Letztlich sind dies juristische Plänkeleien, die sich durch entsprechende Regelungen und Übungen beheben lassen. Problematischer ist und bleibt die mögliche Speicherung von Anwenderdaten auf Servern in den USA. Microsoft hat sich inzwischen entsprechend zertifizieren lassen, womit Datenübertragungen kein Problem mehr sein sollten (zit. n. ebd.). Aber die mit viel Brimborium gestartet "Microsoft Cloud Deutschland", das spezielle Cloud-Angebot mit einer Daten-Treuhänderschaft durch die Deutsche Telekom, wurde 2018 abgekündigt.

Wir empfehlen die Nutzung lokaler Einstellungen, um Microsofts Datensammelwut so weit wie möglich DSGVO-konform entgegen zu treten:

  • So weit wie möglich lokal installierte Versionen von Office nutzen
  • Connected Services deaktivieren
  • Keine Informationen an Microsoft senden, um Office zu verbessern
  • Sharepoint Online / Onedrive meiden
  • Auf Alternativen wie Libre Office ausweichen

Fazit

Was folgt daraus? Müssen wir nun alle unsere Office 365-Abos kündigen? Das vielleicht nicht, aber solange die praktischen Folgen der DSGVO noch nicht im juristischen Alltag angekommen sind, heisst es zumindest vorsichtig sein. Die Risiken hinsichtlich etwaiger Abmahnungen und schlechter Reputation dürften zwar überschaubar sein, es ist nur wichtig ist, dass man diese kennt und einschätzen kann. Ziehen Sie auf jeden Fall Ihren Datenschutzbeauftragten zu Rate oder einen externen Datenschutzfachmann. Die Kosten für dessen Beratung dürften deutlich unter den Bussgeldern liegen, die Sie bei einem nachgewiesenen Verstoss gegen die Regelungen der DSGVO erwarten könnten.

Produkt-Empfehlungen

  • Datenschutz kompakt

    Datenschutz kompakt

    Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

    ab CHF 148.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Workshop, 1 Tag, ZWB, Zürich

    Datenschutz erfolgreich umsetzen

    Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen

    Nächster Termin: 10. Dezember 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

    Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen

    Nächster Termin: 13. Mai 2020

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos