Schlagwort: Cloud

Europäischer Datenschutzbeauftragter schließt Rahmenvertrag für Nutzung von Nextcloud und LibreOffice in EU-Institutionen

28. Februar 2023

Wie der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski bekanntgab, hat seine Behörde einen Rahmenvertrag mit einem in der EU ansässigen Dienstleister der Open Source-Software Nextcloud und LibreOffice geschlossen.

Datenschutzkonforme Gesamtlösung für EU-Einrichtungen

Mit Nextcloud und LibreOffice können in einer gesicherten Cloud-Umgebung beispielsweise Dateien ausgetauscht, Nachrichten versendet oder auch Videoanrufe getätigt werden. Der gewählte Dienstleister ist in der EU ansässig und nach Aussage des EDSB für alle Organe, Einrichtungen, Ämter und Agenturen der EU zugänglich. Dabei sei die Einhaltung des Datenschutzrechts sowie weiterer spezieller Vorschriften gewährleistet.

Vermeidung von Drittlandstransfers und Unterauftragsverarbeitern

Anders als bei anderen Anbietern sei hier gewährleistet, dass keine Datenübertragung in Nicht-EU-Länder stattfinde. Zudem werde der Einsatz von Unterauftragsverarbeitern vermieden. Der Rahmenvertrag soll damit eine bessere Kontrolle über personenbezogene Daten ermöglichen. Dabei möchten die EU-Institutionen mit gutem Beispiel vorangehen, um digitale Rechte zu schützen und Daten verantwortungsvoll zu verarbeiten.

Alternative zu Microsoft und co.

Bisher bestanden und bestehen vor allem Verträge mit Microsoft für die Office-Produkte in den EU-Institutionen. Bereits 2020 hatte der EDSB deren Einsatz als problematisch eingeordnet. Auch in Deutschland haben die Datenschutzbehörden erhebliche Bedenken gegenüber dem Einsatz der cloudbasierten Microsoft-Produkte geäußert und zuletzt im Rahmen der Datenschutzkonferenz einen datenschutzkonformen Einsatz von Microsoft 365 in öffentlichen Stellen für nicht möglich erachtet. Problematisch ist hier insbesondere, dass Verantwortliche unter Umständen keine Kontrolle über Datentransfers haben.

Vorbild für den nichtöffentlichen Bereich?

Auch im nichtöffentlichen Bereich stellt sich oft die Frage nach datenschutzkonformen Cloud-Lösungen. Hier könnte der Rahmenvertrag des EDSB ein Vorbild sein. Jeder nach dem Datenschutzrecht Verantwortliche muss sich schließlich damit auseinandersetzen, ob die von ihm gewählten Programme datenschutzkonform nutzbar sind. Dabei kann es helfen, solche zu nutzen, die vom EDSB als datenschutzkonform eingeordnet werden. Allerdings ist in jedem Fall eine Einzelfallabwägung erforderlich, die die eigenen Bedürfnisse und Risiken für die Daten berücksichtigt.

Cloud-Dienste im Test

25. April 2019

Die Stiftung Warentest hat elf Cloud-Anbieter verglichen. Am besten schnitt der deutsche Freemail-Anbieter Web.de mit seinem Online-Speicher ab, knapp gefolgt von der Magentacloud der Telekom.

Es wurden nur Anbieter von kostenfreien, deutschsprachigen und betriebssystemunabhängigen Cloud-Diensten wie Dropbox, OneDrive, Amazon und iCloud verglichen. Das Testergebnis setzt sich aus Noten für die Handhabung (40 % der Wertung), die technischen Funktionen (30 %) und für die Datensicherheit (30 %) zusammen. Einen pauschalen Notenabzug gab es beispielsweise bei Mängeln in der Datenschutzerklärung oder den Nutzungsbedingungen (z.B. nur auf Englisch vorhanden oder für schwammige Verweise) oder wenn Daten von der Smartphone-App an die Cloud mitübertragen wurden, die für die Funktion nicht notwendig sind.

Fünf von elf Anbietern erhielten die Endnote „gut“. Die schlechteste Note für Datensicherheit bekam – trotz Zweitplazierung in der Gesamtwertung – die Magentacloud  der Telekom (2,7). Den letzten Platz in der Gesamtwertung belegte der US-amerikanische Cloud-Dienst Sugarsync mit 3,5. Hier gab es vor allem Mängel beim Übertragen von zusätzlichen Daten an die Cloud und bei den Begleittexten.

Erben haben Zugang zur Apple iCloud

Im vergangenen Juli hatte der Bundesgerichtshof (BGH, Urteil vom 12. Juli 2018 – III ZR 183/17) entschieden, dass auch persönliche Inhalte im Netz grundsätzlich an die Erben fallen. Es gebe keinen Grund, digitale Inhalte anders zu behandeln als Briefe oder Tagebücher. (wir berichteten)

Nun urteilte das Landgericht Münster (LG Münster, Urteil vom 16. April 2019 – 014 O 565/18), Apple müsse den Erben eines verstorbenen iCloud-Nutzers Zugang zu dem Apple-Service gewähren.

Die Sichtung der in der iCloud wohl gespeicherten Fotos, E-Mails und weiteren Dokumente, soll den Erben Erkenntnisse über die Gründe, die zum Tod des ins Ausland verreisten Familenvaters liefern.

Nachdem der Zugang außergerichtlich verweigert wurde, erging am 16. April 2019 ein Versäumnisurteil gegen Apple. Die Beklagte habe sich bislang nicht anwaltlich vertreten lassen.

Kategorien: Allgemein
Schlagwörter: , ,

Speicherung von Bodycam-Daten in Cloud

8. April 2019

Polizeiaufnahmen mit Hilfe von Bodycams werden teilweise in einer Amazon-Cloud gespeichert. Über die Rechtswidrigkeit dieser Verfahrensweise sind das Bundesinnenministerium und der Bundesdatenschutzbeauftragte geteilter Meinung.

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Speicherung von Bodycam-Daten von Polizeieinsätzen in der Amazon-Cloud. Nunmehr hat das Bundesinnenministerium dazu Stellung bezogen.

Laut Kelber sei es rechtswidrig, die Bildaufnahmen der Bundespolizei auf Servern des amerikanischen Konzerns Amazon zu speichern. Vielmehr habe die Speicherung solch sensibler Daten bei einem deutschen Cloud-Anbieter zu erfolgen. „Wir haben bereits 2018 der Bundespolizei und dem Bundesinnenministerium mitgeteilt, dass wir die Speicherung der Bodycam-Daten in der Amazon-Cloud für rechtswidrig halten“, sagte Kelber. Ein Zugriff von amerikanischen Behörden auf die Daten könne nicht ausgeschlossen werden.

Indes teilt das Bundesinnenministerium diese Meinung nicht. Grund für den Einsatz solcher Bodycams sei es einerseits, mögliche Angreifer abzuschrecken sowie andererseits, Straftäter im Nachhinein besser identifizieren zu können. Die derzeitige Lösung gelte nur übergangsweise bis bundeseigene und für diesen Zweck geeignete Clouds zur Verfügung stünden, sagte der Sprecher des Bundespolizeipräsidiums, Gero von Vegesack. Die gefundene Lösung mit der  Amazon-Cloud sei im Vorfeld über mehrere Monate gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft worden. Laut einer Sprecherin des Bundesinnenministeriums entspreche die Speicherung der Daten bei Amazon deutschen Datenschutz-Standards, da man die Daten „auf deutschen Servern in Deutschland nach deutschem Recht“ speichere. Trotzdem werde derzeit geprüft, „ob es noch andere Möglichkeiten gibt“, etwa eine Speicherung auf der Bundescloud.

Digitalpakt für Schulen

21. Februar 2019

Nach der erreichten Einigkeit zwischen Bund und Ländern hinsichtlich des Digitalpakts für Schulen soll das Grundgesetz geändert werden.

Der Kernpunkt der Einigung ist, dass der Bund zukünftig die Möglichkeit hat, die Länder finanziell bei der Digitalisierung von Schulen zu unterstützen, eine gemeinsame Finanzierung der Mittel wurde aber abgelehnt. Der Bund erhält Kontrollrechte, wonach er Unterlagen der Länder über die Ausgabe und Verwendung der Bundesmittel anfordern darf.

“Finanziert werden damit etwa WLAN-Anschlüsse, die Anschaffung digitaler Lerngeräte oder entsprechender Anzeigegeräte wie ‘digitale Tafeln’. Damit soll erreicht werden, dass schnelles Internet in allen Schulen verfügbar wird und der Einsatz digitaler Medien in die Lerninhalte integriert werden kann. Sie sollen die traditionellen Lernmethoden ergänzen, aber können sie keinesfalls ersetzen“ – teilte der Vizechef der Unionsfraktion, Andreas Jung (CDU) der FAZ mit.

Auch das Thema des Einsatzes von Schul-Clouds wird diskutiert. Dadurch soll erreicht werden, dass die zentralen Cloudlösungen die Anschaffung und Wartung von Serverstrukturen, die Auswahl und Aktualisierung der Software sowie eine grundlegende Gewährleistung des Datenschutzes übernehmen. Sollte die Bundesregierung eine bundesweit oder länderübergreifend flächendeckende Schul-Cloud-Dienste einsetzen wollen, sind vorab viele wichtige datenschutzrechtlichen Fragen zu klären. Aus datenschutzrechtlicher Sicht bringt daher der Digitalparkt eine Reihe von Nuancen, die bei der Digitalisierung von Schulen zukünftig zu beachten sind.  

Kategorien: Allgemein
Schlagwörter: , ,

Rechtsrisiken für Cloud User

16. März 2015

Die Cloud ist Realität – rechtlich aber im Detail umstritten. Was also ist für die Zukunft in Hinblick auf Haftungsfragen zu beachten, wenn in absehbarer Zeit kaum praktische Alternativen zur Datenhaltung in der Cloud existieren und schon heute die Cloud wirtschaftlich betrachtet für viele konkurrenzlos günstig erscheint?

Immer wieder, so etwa auch auf den MS Cloud Events in diversen deutschen Städten im Herbst 2014, wird auf die datenschutzrechtliche Problematik der Internationalität der Cloud verwiesen. Jedenfalls in Bezug auf “sensitive Daten”, also z.B. Gesundheitsdaten, sei die Internationalität ein rechtliches Problem bei der Datenhaltung in der Cloud. Diese Problematik wird jedoch nicht einmal von allen Aufsichtsbehörden für Datenschutz so gesehen.

Mitunter unterschätzt hingegen wird der in der Natur der Cloud begründete rechtliche Kritikpunkt an der fehlenden Datenherrschaft des Cloudnutzers und an den fehlenden Kontrollmöglichkeiten gegenüber dem Cloud-Provider. Wo sind die Daten genau jetzt? Werden technisch erforderliche Vervielfältigungen, wie es das Gesetz erfordert, gelöscht? Kann sich der Cloudnutzer von der Datensicherheit bei seinem Provider höchstpersönlich ein Bild machen? Dieses Problemfeld ist klar zu benennen und wenig hilfreich erscheint es, wenn festgehalten wird, dass “klassische Datenschutz-Sichtweisen im Datenschutz in der Cloud nicht funktionieren”. Umgekehrt kommt man der Wahrheit näher: die der Cloud eigenen Funktionsweisen werden vom Gesetz, was die erwähnten Kontrollmöglichkeiten betrifft, jedenfalls in Europa bisher nicht anerkannt. Denn der Gesetzgeber verlangt nun einmal Kontrolle über den Dienstleister, dem man eigene oder fremde Daten anvertraut. Diese Kontrolle funktioniert nur mithilfe von Transparenz in Bezug auf wichtige Fragen: Wer kann auf die Daten aktuell zugreifen? Kann ich diese Punkte vom Cloudanbieter in Erfahrung bringen, wenn mein eigener Kunde dies von mir wissen möchte? Kurz: Bin ich noch Herr der Daten? Kann ich die für die Daten übernommene Verantwortung überhaupt noch übernehmen oder scheitere ich an der faktischen Macht des Cloudanbieters und der technischen Funktionsweise der Cloud?

Bei der Frage der Kontrollmöglichkeiten sollte man Farbe bekennen und den Europäischen Gesetzgeber dazu auffordern, eigene Regelungen für die Cloud zu fordern, die die fehlende Kontrollmöglichkeiten als Kollateralschäden der Cloud anerkennen. Es erscheint denkbar, Cloudanbieter im Gegenzug besonderen Pflichten zu unterwerfen, damit die mit den Kontrollrechten verfolgten Grundkonzepte des Datenschutzes auf alternativem Wege erreicht werden. Sollte eine etablierte Rechtsauffassung – die Notwendigkeit des Kontrollprinzips – aufgegeben werden, um einer modernen Art der Datenhaltung aus der juristischen Problemzone zu verhelfen? Oder wird der Datenschutz seinem Auftrag, den Bürger zu schützen, nur dann gerecht, wenn eine lückenlose Transparenz und Kontrolle weiterhin festgeschrieben ist?

Gelegentlich wird juristisch vertreten, dass man das aktuelle Datenschutzrecht einfach uminterpretieren müsse: Eine technische Auslegung des Datenschutzrechts würde das Problem lösen. Sinngemäß dürfe einer sinnvollen technischen Lösung kein unmodernes, nicht IT-ausgerichtetes Gesetz entgegen stehen. Das klingt verlockend. Eine Revision des Datenschutzgesetzes wäre damit gar nicht nötig. Doch hier ist Vorsicht geboten: Anders als etwas das Urheberrecht ist Datenschutzrecht kein Wirtschaftsrecht. Datenschutzrecht ist Persönlichkeitsrecht. Damit stehen die Interessen des Bürgers am Datenschutz grundsätzlich hinter einer technischen und damit wirtschaftsfreundlichen Interpretation des Gesetzes zurück. Im Ergebnis bleibt das Thema Kontrolle und Datenherrschaft in der Cloud daher aktuell ungelöst.

Das ist der Grund, warum gelegentlich behauptet wird, die Cloud sei “rechtswidrig”. Das trifft so sicherlich nicht zu. Doch haftungsrechtlich sind die Pflichten in Bezug auf eine Datenherrschaft des Cloud-Kunden nicht zu unterschätzen. Als solcher haftet man unter Umständen für eventuelle Mängel des Cloud-Anbieters, obwohl man die Dienstleistung Cloud nur einkauft. Dies betrifft immer die Kette: Cloud Anbieter – Cloud Kunde – Kunde des Cloud Kunden. Als Cloud Kunde steht man in der Mitte und muss ein ordnungsgemäßes Datenschutz-Level gegenüber seinem eigenen Kunden sicher stellen, was aktuell wie dargestellt einfach nicht angeboten wird und was die Kontrolle angeht auch nicht realisierbar erscheint, eben weil die Daten in der Cloud ubiqitär sind und z.B. keine sichere Auskunft über den Datenaufenthaltsort gegeben werden kann.

Selbst, wenn man diese Haftungsproblematik akzeptiert und das Risiko einer Datenschutz-Incompliance eingeht: Weitere Aspekte der Cloud sind datenschutzrechtlich problematisch. Dies betrifft zum Beispiel die Datenqualität. Gerade die bereits erwähnten sensiblen Daten dürfen, wenn überhaupt, nur in die Cloud gebracht werden, wenn eine detaillierte Prüfung des Einzelfalles dies als zulässig erscheinen lässt. Dies hängt von technischen Rahmenbedingungen ab, aber auch von den AGBs der Anbieter.

Weitere Diskussionen betreffend die Rechtmäßigkeit der Cloud sind vor allem:
• Datenzugriff durch Dritte, insbesondere Behörden (Nicht nur Datenschutz, sondern auch Know How Schutz)
• Technisch – organisatorische Maßnahmen (nicht nur vorhanden, sondern auch dokumentiert und kontrollierbar)
• Subdienstleister (Fehlende Transparenz bezüglich deren Einbindung, Technisch Organisatorische Maßnahmen umgesetzt?
• AGB

Dabei gilt immer (wie schon oben): Wenn ich selbst die Cloud “einkaufe” und für Services Dritten gegenüber benutze, kann ich mich i.d.R. schlecht exkulpieren, muss ggf. für die o.g. “eingekauften” Mängel gegenüber meinem Auftragnehmer, meinem Arbeitnehmer etc. haften.

Natürlich lockt die Cloud mit vielen Vorteilen. Haben Sie Ihre Haftung analysiert und gehen Sie Risiken bewusst ein?

Kategorien: Allgemein
Schlagwörter: ,

Clouds bei deutschen Firmen weiterhin beliebt

4. März 2014

Trotz der Snowden-Enthüllungen setzen deutsche Unternehmen weiterhin auf Clouds. 40 Prozent der deutschen Unternehmen nutzen cloudbasierte Dienste, wie Chip Online schreibt. Was die NSA-Affäre aber mit sich bringt ist, dass Nutzer und Interessenten deutlich vorsichtiger geworden sind und genauer wissen wollen, was wie funktioniert und wie die Daten geschützt und transportiert werden, sagt Dirk Emminger vom Cloud-Dienstleister Finanz Informatik Technologie Service (FI-TS). Das Bewusstsein für die Sicherheit der eigenen Daten wurde in den letzten Jahren mehr und mehr geschult und gehört zur strategischen Notwendigkeit eines jeden Unternehmens. Das mag auch ein positiver Effekt der Snowden-Enthüllungen sein.

Bitkom stellt auf seiner Homepage den Leitfaden „Wie Cloud Computing neue Geschäftsmodelle ermöglicht“ zum Download bereit und zeigt hier u.a. an Beispielen aus der Wirtschaft und der öffentlichen Verwaltung, wie Cloud Computing bereits sinnvoll und sicher in Geschäftsabläufe integriert wird.

Der Nutzen und die Vorteile von cloudbasierten Anwendungen sind mittlerweile unumstritten. Und so ist auch mit einem weiteren Anstieg des Cloud Computing zu rechnen, wie es auch bei der Cloudconf im Dezember in Berlin hieß.

Kategorien: Online-Datenschutz
Schlagwörter: ,

Über die Sicherheit von und das Vertrauen in Cloud-Dienste

30. Juli 2013

Wie gut sind Online-Speicherdienste? Diese Frage stellte sich die Stiftung Warentest und untersuchte 13 Online-Speicher (der Abruf der ausführlichen Testergebnisse ist kostenpflichtig). Das Ergebnis dürfte die Anbieter solcher Speicherdienste nicht erfreuen – keiner der getesteten Dienste konnte ein “gut” erreichen. Als größtes Manko aller Dienste identifizierte Stiftung Warentest dabei die Datensicherheit und den Datenschutz. Sämtliche US-amerikanischen Dienste erhielten hier nur ausreichende Zensuren. Jedoch betonen die Autoren, dass auch europäische Dienste nicht viel besser seien. Einzig der in der Schweiz beheimatete Dienst wuala by LaCie wurde insofern lobend erwähnt, dass die Daten der Nutzer vor dem Upload auf den Server bereits auf dem heimischen Rechner verschlüsselt werden und daher vom Dienstanbieter nicht eingesehen werden können. Wer nicht auf den Komfort eines Cloud-Speichers verzichten will, seine Daten aber keinem Dienst-Anbieter anvertrauen möchte, kann mit überschaubarem Aufwand und quelloffener Software wie OwnCloud seine eigene Cloud auf einem NAS oder einem Webspace verwirklichen. Natürlich ist weder ein NAS noch der eigene Webspace im Gegensatz zu den Lockangeboten von Dropbox & Co. kostenlos – es läuft letztlich also wie so häufig auf die Frage hinaus, ob man mit Geld oder Daten zahlen möchte.

Eine nicht repräsentative Umfrage der Cloud Security Alliance, (ein Zusammenschluss von Anbietern von Cloud-Diensten, dem u.a. Amazon, Microsoft, Google, Adobe, Swisscom, Thales, Türk Telekom und die indische Tata-Gruppe angehören) hat ergeben, dass die Enthüllungen Snowdens im Rahmen der PRISM Affäre zu einem Dämpfer bezüglich des Vertrauens in Cloud-Dienst geführt haben.
Die Umfrage ergab, dass nach den Enthüllungen Snowdens 56 % der 207 befragten Nicht-Amerikanern es für weniger wahrscheinlich halten US-Cloud-Dienste  zu nutzen. 31 % sehen keine Auswirkungen, 10 % haben als Konsequenz der Enhüllungen sogar schon ein Projekt mit amerikanischen Cloud-Diensten beendet und nur 3 % halten es aufgrund der PRISM Vorkommnisse für wahrscheinlicher einen US-basierten Cloud-Dienst zu nutzen.
Die Amerikaner selbst sehen jedoch weniger ein Problem in den Enthüllungen: 64 % der befragten 220 US-Amerikaner gaben an, dass es für ihre Unternehmen infolge des Snowden Vorfalls nicht schwieriger werde, Geschäfte außerhalb der USA zu tätigen.