Anwender von Cloud-Diensten müssen sich auf die Infrastruktur, die Plattform und die Anwendungs-Software des Anbieters verlassen können. Der Einfluss des Anwenders ist naturgemäss gering, da er praktisch alles vorgefertigt einkauft. Weil er sich damit jedoch in nahezu vollständiger Abhängigkeit vom Anbieter befindet, ist Transparenz das wichtigste Schutzziel. Sie muss ihn in die Lage versetzen, angemessene Service Level Agreements zu vereinbaren und Compliance-Anforderungen zu erfüllen. Die zum Erreichen der Datenschutzziele nötigen technischen und organisatorischen Massnahmen müssen dabei verschiedene Risiken auf ein akzeptables Mass reduzieren.
Die wichtigsten Schutzziele
Wie angemessen diese Massnahmen sind, lässt sich beurteilen, sobald der Anwender seinen Schutzbedarf festgelegt hat. Dieser lässt sich anhand einer aus der IT-Sicherheit übernommenen Unterscheidung in «normal», «hoch» sowie «sehr hoch» festlegen. Aus Datenschutzperspektive ist es dabei wichtig, dass der Schutzbedarf der Betroffenen, deren Daten verarbeitet werden, definiert sowie prioritär behandelt wird. Entsprechende Vereinbarungen müssen Bestandteil des Vertrags mit dem Anbieter sein. Eine Einzelfallbetrachtung jedoch ist abhängig vom Umfang der Einsicht des Cloud-Anbieters in die Daten. Bestehen Restrisiken, müssen möglicherweise Betroffene informiert werden. Im Folgenden sollen die wichtigsten Schutzziele für Anbieter von Cloud-Diensten benannt werden.
Transparenz
Beim Schutzziel Transparenz geht es um die Frage, wer auf die Daten zugreifen kann und welche technischen sowie organisatorischen Sicherheitsmechanismen greifen. Transparenz bei der Datenverarbeitung in der Cloud herrscht für Anwender nur dann, wenn der Anbieter gewisse Massnahmen umsetzt und die Datenverarbeitung anhand von Systemdokumentationen und Protokollen nachvollziehbar, prüfbar und bewertbar gestaltet.
Deshalb ist es hilfreich, wenn er einschlägige Zertifikate unabhängiger Stellen vorlegen kann. Dann genügt Anwendern in der Regel eine vereinfachte Prüfbarkeit: Beispielsweise wollen sie wegen der rechtlichen Implikationen wissen, wo die Rechenzentren stehen. Insbesondere in Drittländern ist ein Zugriff durch staatliche und private Stellen möglich und nicht kontrollierbar. Entscheidend ist, ob von einem gleichwertigen Datenschutzniveau in dem Drittland ausgegangen werden kann. Nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofs ist dies bei den Staaten ausserhalb der Europäischen Union nicht der Fall. Ausgenommen davon sind die sogenannten «sicheren Drittländer», zu denen die Schweiz gehört.
Auch der Übergang von Daten von einem stationären IT-System wie einer Personal-Software, einer ERP- oder CRM-Lösung auf ein System, das mit Cloud-Elementen arbeitet oder sich in der Cloud befindet, muss protokolliert werden und für den Anwender transparent erfolgen. Bestandteil einer einfachen Prüfbarkeit ist eben-so der Nachweis der Revisionsfähigkeit.
Diese wird durch eine Prüfung aller sicherheitsrelevanten Datenverarbeitungsprozesse erreicht. Damit ist feststellbar, wer wann welche personenbezogenen Daten auf welche Weise verarbeitet hat.Des Weiteren müssen Aufsichtsbehörden und Experten Audits oder Penetrations-Tests durchführen können. Hochauflösende Prüfbarkeit ist denn auch Grundvoraussetzung für Zertifizierungen, beispielsweise nach ISO/IEC 27001 für das Rechenzentrum oder nach ISO/IEC 27018 für die Cloud-Lösung. Insbesondere bei Letzterer stellt sich die Frage, ob die Prüfberichte veröffentlicht werden, können sich doch die Inhalte von Zertifikat zu Zertifikat unterscheiden.
Intervenierbarkeit
Intervenierbarkeit ist dann gegeben, wenn der Anwender die Herrschaft über seine Daten hat. Das heisst, er muss detailliert und fortlaufend darüber informiert werden, welche Daten unter welchen Voraussetzungen zu welchen Zwecken übertragen werden. Nur so kann er festlegen, ob Informationen lokal gespeichert oder in die Cloud übermittelt werden sollen.
Dazu gehört die Kontrolle darüber, wer welche Informationen sehen und auf sie zugreifen kann. Dazu muss der Kunde explizit Rechte und Privilegien freigeben können sowie in der Lage sein, selbst stringente Regeln für Passwörter und eine Zwei-Faktor-Authentifizierung festzulegen. Ausserdem sollte vertraglich geregelt sein, dass der Anbieter den Kunden über Sicherheitsvorfälle, die seine Anwen-dung betreffen, informiert.