Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cloud Computing und Datenschutz: Technische und rechtliche Aspekte, Datenschutzkonferenz IDACON 2022

Veröffentlicht am 31. Oktober 2022 von Dr. DSGVO · Zuletzt aktualisiert am 1. November 2022
0

Kategorien: Datenschutz

Die technischen und rechtlichen Aspekte des Cloud Computing wurden in einem gemeinsamen Vortrag von Informatiker und Jurist auf der IDACON 2022 betrachtet, der hier als Extrakt dargestellt wird. Neben Verschlüsselung und Empfehlungen wurde auch der Data Act der EU thematisiert. Ein Überblick mitsamt Sprachausgabe der Datenschutzhinweise.

Einleitung

Cloud Computing ist ein unscharfer Begriff. Aus technischer Sicht handelt es sich zunächst um einen Dienst, der über ein Netzwerk wie das Internet erreichbar und üblicherweise hochverfügbar ist. Der Dienst wird über eine spezielle Client-Software, die beim Nutzer läuft, verwendet.

Cloud Computing aus technischer Sicht.

Die Dienst-Wolke wird über einen Einstiegspunkt betreten. Hinter diesem Einstiegspunkt verbirgt sich eine Infrastruktur, die vom Nutzer weggekapselt ist, ganz ähnlich wie bei einer Wolke: Wir sehen den Regen, wissen aber nicht, wo genau er herkommt oder wie er sich gebildet hat. Manch wissen es schon, der normale Nutzer (bzw. beim Wetter: Beobachter) muss es aber nicht wissen.

Bekannte Cloud-Anbieter sind insbesondere:

  • Amazon AWS: Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • IBM Cloud

Alle diese Anbieter haben ihre Wurzeln in den USA. Somit haben wir hier das Problem des Datentransfers in unsichere Drittländer. Siehe hierzu das EuGH-Urteil Schrems II und den Art. 49 DSGVO. Leider sind die USA ein Geheimdienststaat, dessen Datenschutzverständnis nicht mit der DSGVO vereinbar ist. Daran ändert sich auch nicht viel, wenn die Server der Anbieter in Europa stehen.

Weil IP-Adressen personenbezogene Daten sind (vgl. Urteile "Breyer" von EuGH und BGH), greift die DSGVO beim Cloud Computing immer, sobald Nutzer an die Cloud angebunden sind.

Die Open Telekom Cloud (OTC) ist eine Lösung eines deutschen Anbieters. Ich selbst habe mir die OTC näher angesehen. Hier besteht die Problematik nicht, die die Platzhirsche Amazon, Google, Microsoft und IBM aufweisen. Übrigens können auch Meta-Daten (technische Verkehrsdaten) als personenbezogen angesehen werden. Zur Erinnerung: Personenbezogene Daten beinhalten personenbeziehbare Daten, wie Art. 4 Nr. 1 DSGVO verrät.

Anwendungsfälle und Technik

Meiner Ansicht nach gibt es im Wesentlichen vier populäre Ausprägungen von Cloud Computing:

  • Cloud Speicher: für statische Dateien oder versionierte Dokumente
  • SaaS: Software as a Service, Anwendungen in der Cloud
  • IaaS: Infrastructure as a Service, beispielsweise Kubernetes Cluster
  • Cloud Computing: Die Königsdisziplin, etwa für verteiltes Rechnen oder KI-Anwendungen

Oder bildlich dargestellt (so wie auf dem Vortrag auf der IDACON 2022 in München:

Typische Ausprägungen des Cloud Computing.

Übrigens wird Kubernetes mit k8s abgekürzt, weil zwischen den ersten und letzten Buchstaben genau 8 weitere Buchstaben liegen. Dann gibt es noch ein Kubernetes light namens k3s, was wohl für kubes steht. Eine Mini-Light-Version namens k0s gibt es auch noch, die dann wohl für ks steht.

Kubernetes sind übrigens eine Softwarebasis, um containerisierte Anwendungen auf einem Cluster von Servern laufen zu lassen. k8s zeichnet sich durch eine Lastverteilung und Ausfallsicherheit aus.

Für Container-Anwendungen wird häufig Docker verwendet, obwohl dieser Dienst nicht besonders gut von k8s unterstützt wird.

Die Hauptanwendung für Cloud Computing, die nicht einfach mal schnell über andere Anbieter realisiert werden kann, ist das verteilte Rechnen. Verteiltes Rechnen wird oft mit einer Master-Worker Architektur realisiert. Der Master koordiniert die Arbeiter, die Worker. Jeder Worker widmet sich einem Teil des Problems. Ansätze wie Map-Reduce helfen beim Zerstückeln von Problemen in gut verdaubare Häppchen.

Eine Beispielarchitektur für verteiltes Rechnen auf AWS ist:

  • AWS Lambda: Worker-Architektur (1 bis 1000 Worker gleichzeitig)
  • Node.js: Programmierplattform (JavaScript auf dem Server)
  • AWS SNS: Asynchrone Verarbeitung, also nichtblockierender Aufruf von Workern
  • AWS S3: Massendatenverarbeitung, etwa zur Speicherung und Auswertung von Ergebnissen

Verschleierung von IP-Adressen

Um die nutzerbezogene IP-Adresse zu schützen, kann ein VPN eingesetzt werden. Dabei sollte jedoch beachtet werden, dass das VPN an der richtigen Stelle zum Einsatz kommt. Die Problematik hat sich durch Heimarbeit (Home Office) weiter verschärft.

Das OSI-Modell aus der Technik bietet einen guten Anhaltspunkt dafür, was möglich ist.

OSI-Schichtenmodell. Quelle: https://www.amtsdruckschriften.bar.admin.ch/viewOrigDoc.do?id=10050653, S. 1342

Die Grafik stammt aus einem schweizerischen Amtsblatt von 1987. Die Schweiz wollte damals ein neues Fernmeldegesetz einführen. Das OSI-Modell besteht aus 7 Schichten:

  • DSL o.ä. = Schicht 1 (Hardware)
  • MAC-Adresse o.ä. = Schicht 2 (Netzwerkschnittstelle)
  • IP-Adresse = Schicht 3 (Netzschicht, Internet)
  • IP-Adresse + Port (TCP) = Schicht 4 (Gerät)
  • Schichten 5 bis 7 = Anwendung (Browser…)

Scherzhaft spricht der Informatiker vom OSI-8-Problem, wenn das Problem vor dem Bildschirm sitzt.

Das OSI-Modell zeigt, dass nur auf Hardware-naher Ebene (OSI-Schichten 1 bis 3) die IP-Adresse eines Nutzers als personenbezogener Wert verschleiert werden kann. Alle später einsetzenden VPN-Dienste senden die Netzwerkadresse des Nutzers jedenfalls direkt irgendwohin. Ob beim Empfänger dann ein ausreichender Schutz für diesen personenbezogene Datenwert existiert, ist eine andere Frage.

Rechtliche Aspekte des Cloud Computing

Vortrag auf der IDACON 2022 in München. Links im Bild Klaus Meffert, rechts im Bild: Jonas Breyer.

Dieser Teil wurde von Rechtsanwalt Jonas Breyer übernommen. Ich will mich mit der Wiedergabe etwas kürzer fassen, weil es nicht meine Inhalte sind und ich kein Rechtsanwalt bin. Das, was ich wiedergebe, entspricht meinem Verständnis und nicht dem, was Herr Breyer mitgeteilt hat oder sagen wollte. Im Idealfall stimmt es überein. Wenn etwas falsch wiedergegeben ist, ist das meine Schuld.

Als rechtliche Schutznorm steht die DSGVO zur Verfügung. Insbesondere ist der Art. 5 Abs. 1 DSGVO zu beachten (Grundsätze der Datenverarbeitung).

Eine Anonymisierung ist eine mögliche Erleichterung. Diese ist aber in der Praxis kaum anzutreffen.

Sehr interessant finde ich folgenden Punkt: auch anonyme Daten (beispielsweise anzumeldende Patente) können schutzbedürftig sein, siehe Geschäftsgeheimnisgesetz.

Open Source-Anwendungen erleichtern die Rechenschaftspflicht, der Verantwortliche unterliegen. Closed Source jedenfalls ist wie eine Black Box. Wichtig ist der Auftragsverarbeitungsvertrag, damit sich Verantwortliche exkulpieren können. Aber Achtung: Der Auftraggeber hat eine Inspektionspflicht. Randnotiz von mir: Der Freemailer web.de wollte alle seine Freemail-Kunden zu Verantwortlichen und sich zum Auftragsverarbeiter machen. Wegen der Intervention bei einer Behörde wurde das zurückgenommen. Ansonsten hätten alle Freemail-Nutzer von web.de über ihre Inspektionspflicht nachdenken müssen.

Der Firmensitz eines Cloud-Anbieters und der Serverstandort sind zu unterscheiden. Drittlandzugriffe können auch bei europäischen Servern stattfinden, wenn der Anbieter in den USA sitzt.

Die Datensicherheit ist vom Verantwortlichen zu gewährleisten. Siehe insbesondere ISO 27001. Der Verantwortliche ist oft der Nutzer des Cloud-Angebots, der dieses Mitarbeitern bereitstellt, die damit arbeiten sollen.

Bei Einsatz von Künstlicher Intelligenz in der Cloud stellt sich die Frage nach einer automatisierten Entscheidungsfindung, über die gemäß DSGVO betroffene Personen gesondert zu informieren wären.

Im Arbeitsrecht ist der Betriebs-/Personalrat einzubinden, wenn die Software abstrakt für Verhaltens- oder Leistungskontrollen geeignet ist (§ 87 Abs. 1 Nr. 6 BetrVG). Dies würde von der Rechtsprechung bereits für MS Office 365 bejaht. Auch gibt es neue Beteiligungsrechte bei KI-Einsatz (§§ 90, 92a, 95, 97 BetrVG). Ferner darf der Betriebsrat bei KI-Anwendungen Sachverständige hinzuziehen (§ 80 Abs. 3 BetrVG).

Der Data Act der EU soll Innovation durch Datenharmonisierung und Datenaustausch fördern. Dabei geht es auch um nichtpersonenbezogene Daten. In einem separaten Beitrag gehe ich näher auf den Data Act ein.

Empfehlungen

Bei US-Anbietern von Cloud Computing-Diensten gibt es in der Praxis keine völlige Rechtssicherheit. Diese lässt sich lediglich erhöhen. Lösungen wie Boxcryptor verschlüsseln nicht alle Inhaltsdaten. Bei MS Teams etwa bleibt das Videobild unverschlüsselt, bei OneDrive die Verbindungsdaten.

Je nach Anwendungsfall gibt es unterschiedliche Alternativen:

  • CDN, Dokumentenverwaltung: rein europäischen Anbieter verwenden, etwa (Managed) Nextcloud
  • Hosting, Server, Videokonferenzen: Deutsche Anbieter verfügbar: Hetzner, ecosero…
  • Verteiltes Rechnen: Open Telekom Cloud, IONOS, US-Anbieter nur mit EU-Server + möglichst wenige Daten + Verschlüsselung

Der Zugang zur Cloud über einen VPN-Zugang verschleiert die IP-Adresse des Nutzers, vor allem im Home Office. Achtung: Software-basiertes VPN verschleiert erst „nach“ der Client-Software (Browser etc.). Siehe hierzu das weiter oben gezeigte Schaubild des OSI-Modells.

Für die Verschlüsselung personenbezogener Daten bieten viele Anbieter eine Möglichkeit, die aber unzureichend ist:

  • AWS: Client-side encryption, server-side encryption
  • Microsoft: BYOK (Bring Your Own Key)
  • Google: CMEK (Customer Managed Encryption Key)
  • IBM: KYOK (Keep Your Own Key), Own Root Keys

Sobald Daten im Klartext in der Cloud vorliegen müssen, greift die Verschlüsselung ins Leere. Zudem sind die genannten Verschlüsselungslösungen oft so gebaut, dass der Schlüssel vom Kunden an den Cloud-Dienst übermittelt werden muss. Einige Cloud-Anbieter versprechen zwar, dass der Schlüssel nur für sehr kurze Zeit im Hauptspeicher gehalten wird. Das hält aber einen amerikanischen Geheimdienst nicht davon ab, den Anbieter zu zwingen, den Schlüssel oder die entschlüsselten Daten auszuleiten. Es existiert also kein echter Zugriffsschutz bzgl. „Schrems II“.

Die Open Telekom Cloud bietet den CMK (Customer Master Key) an. Damit kann die Datensicherheit für diesen deutschen Anbieter weiter erhöht werden.

Idealerweise weist eine Verschlüsselung folgende Merkmale auf:

  • Mindestens: Schlüssel darf nur beim Kunden liegen
  • Spätestens beim Arbeiten mit den Daten müssen die Daten entschlüsselt vorliegen. Hoffentlich muss die Arbeit auf den Daten dann nicht beim amerikanischen Cloud-Anbieter stattfinden.
  • Ausnahme: Homomorphe Verschlüsselung: Daten sind verschlüsselt, weisen aber dieselbe Charakteristik hinsichtlich einer vorzunehmenden Datenanalyse auf, wie die Originaldaten

Mir ist nicht bekannt, dass es für die homomorphe Verschlüsselung einen generischen, also universellen Ansatz gibt. Ich glaube auch nicht, dass es diesen geben kann. Mehr hierzu kann sicher ein Mathematiker sagen.

Kurz gesagt: Kundenschlüssel sind keine endgültige Lösung bei Nutzung von US-Clouds. Deutsche Anbieter entschärfen das Problem; eine Verschlüsselung bietet hier Zusatzsicherheit.

Zur IDACON

Die IDACON ist eine internationale Datenschutzkonferenz. München liegt da strategisch günstig zum Ausland. Veranstalter ist die Weka Akademie. Der Weka Verlag wiederum gibt die Zeitschrift Datenschutz-PRAXIS heraus, in der einige Beiträge von mir veröffentlicht wurden.

Impression von der IDACON 2022 in München.

Das diesjährige Programm war geprägt von zahlreichen interessanten Vorträgen. Insbesondere die digitale Welt war thematisch stark vertreten. Sehr gerne lege ich die IDACON jedem Datenschutz-Interessierten ans Herz. Die Hybridveranstaltung habe ich als sehr gut organisiert empfunden. Der Tagungsort war super. Er war sehr gut erreichbar, ohne sich durch Münchner Verkehr mühen zu müssen. Für den PKW-Fahrer war das Parkhaus direkt unter dem Hotel ein Geschenk. Die anders angereisten kamen anscheinend auch mühelos zum Hotel, wo die IDACON stattfand. Durch die Möglichkeit, sich online einzuwählen, konnten auch geographisch weiter entfernte Personen teilnehmen. Das Abendprogramm eignete sich bestens zum Austausch und Netzwerken.

In einem Vortrag wurde angeregt, Piktogramme in der Datenschutzerklärung zu verwenden. Ich habe das ansatzweise versucht und kam zu keinem vernünftigen Ergebnis. Wenn jemand hierzu ein belastbares Beispiel hat, aus dem der Nutzen von Ikonen in Datenschutzhinweisen ersichtlich wird, bin ich für einen Hinweis dankbar. Die Vertonung meiner Datenschutzhinweise werde ich mal ausprobieren bzw. habe das schon angefangen. Hören Sie mal rein (extra in höherer Geschwindigkeit, damit die Ansage nicht zu lange dauert):

Vetonung meiner Datenschutzhinweise (Auszug).

Beim Erstellen der Audio-Datei ist mir bewusst geworden, dass bestimmte Texte für die Vertonung suboptimal sind. Beispielsweise, wenn man von Durchlesen spricht. Oder wenn im Text der Unterschied zwischen DSGVO und DS-GVO erklärt wird. Auch die automatisierte Aussprache von Mailadressen ist eine Herausforderung. Das kann man aber durch geeignete Texteingaben lösen:

Auch römische Ziffern und Mailadressen können ordentlich ausgesprochen werden, wenn der Input stimmt.

In der automatischen Ansage wird aus IP-Adresse („Ei-Pi-Adresse“) übrigens „Ih-Pe-Adresse“ (Grüße an Herrn Schild).

Mein Dank gilt insbesondere dem Regierungspräsidenten von Unterfranken, Dr. Eugen Ehmann. Er hat den Vortrag von mir und Herrn Breyer moderiert und sich als Fan meines Newsletters geoutet. Ich hoffe, die Qualität des Newsletters auch weiterhin hoch und die Beiträge interessant und relevant halten zu können.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/cloud-computing-und-datenschutz-vortrag-auf-der-datenschutzkonferenz-idacon-2022-in-muenchen
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Fonts Anschreiben mit Auskunftsgesuch erhalten: Empfehlungen und erste Schritte ohne Anwalt