Sebastian Schweda

Wolken über dem Rechtsstaat? Recht und Technik des Cloud Computing in Verwaltung in Wirtschaft


Bericht zur Tagung der Alcatel-Lucent-Stiftung  für Kommunikationsforschung und u.a. dem Institut für Europäisches Medienrecht (EMR) am 3./4.5.2012 im Ministerium für Finanzen und Wirtschaft Baden-Württemberg in Stuttgart

 

ZD-Aktuell 2012, 30109     Die von der Alcatel-Lucent Stiftung traditionell im Mai veranstaltete Tagung der Veranstaltungsreihe „Allianz von Medienrecht und Informationstechnik“ befasste sich in diesem Jahr mit den Fragen des Cloud Computing (CC). Kooperationspartner waren diesmal das Institut für Europäisches Medienrecht (EMR), die Landesanstalt für Kommunikation Baden-Württemberg (LfK), der Landesbeauftragte für den Datenschutz Baden-Württemberg, das Forschungszentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel und die Informationstechnische Gesellschaft im VDE (ITG). In vier Vortragspanels und einer Podiumsdiskussion wurde u. a. über den Innovationsrahmen für Cloudnetze, Sicherheit in der Cloud und Fragen des Persönlichkeitsschutzes referiert und diskutiert.

 

Schon in ihrer Begrüßung wies die Vize-Präsidentin der LfK, Dr. Angela Frank, auf einige Problemfelder des CC hin. So sei zunächst zu klären, welches Recht überhaupt Anwendung findet. Viele Cloud-Anbieter operierten aus den USA. Auch Haftungsfragen seien zu thematisieren, insbesondere für den Fall, dass ein Anbieter nicht ausreichend gegen Risiken abgesichert sei und insolvent werde. Der Landesbeauftragte für den Datenschutz Baden-Württemberg, Jörg Klingbeil, machte in seiner Einführung darauf aufmerksam, dass oft schon unklar sei, wo die in der Cloud gespeicherten Daten physikalisch überhaupt gelagert würden. Außerhalb Europas sei ein ausreichendes Datenschutzniveau zumeist nicht gewährleistet. Daraus ergebe sich die Frage, ob das CC überhaupt datenschutzkonform gestaltet werden könne. In einer Umfrage zeigten sich etwa die Hälfte der Unternehmen skeptisch und setzten CC nicht ein – vor allem auf Grund von rechtlichen Bedenken. Prof. Dr. Alexander Roßnagel, Direktor des ITeG, wies darauf hin, dass es bislang weder im deutschen noch im EU-Recht „cloud-spezifische“ Regeln gebe. Bestehende Rechtsnormen müssten daher durch Auslegung an die Bedürfnisse des CC angepasst werden.

 

Die Vorträge des ersten Panels beschäftigten sich mit den Chancen und Risiken des CC. Nach der kurzen Vorstellung eines Memorandums mit Gestaltungsregeln für Clouds im EU-Binnenmarkt durch den früheren Direktor der Alcatel-Lucent Stiftung für Kommunikationsforschung, Dr. Dieter Klumpp, erläuterte Prof. Dr. Helmut Krcmar, Inhaber des Lehrstuhls für Wirtschaftsinformatik an der Technischen Universität München, die Situation aus Sicht der Privatwirtschaft. Krcmar illustrierte anschaulich die drei Ebenen des „Wertschöpfungsnetzwerks“ aus Cloud-Nutzer, Cloud-Dienstanbieter, und Cloud-Infrastrukturbetreiber und machte das Vertrauen der Nutzer auf den ordnungsgemäßen Betrieb der Cloud als wesentliche Voraussetzung für den Erfolg des CC insgesamt aus. Im „Angebots-Ecosystem“ seien zudem Interoperabilitätsstandards für den Austausch zwischen Diensten und von (Meta-)Daten zu entwickeln und herstellerübergreifende „Testbeds“ zur Erprobung in der Praxis zu schaffen. Derzeit könnten Lock-in-Effekte und die Austauschbarkeit der Dienste oft nicht beurteilt werden. Auch fehlten einheitliche Beschreibungen von Cloud-Diensten und der Erfahrungsaustausch unter den Nutzern. Das Datenschutzniveau innerhalb der EU könne sich dabei auch im internationalen Wettbewerb zum Markenzeichen entwickeln. Krcmar machte auf das Problem von „Lock-in“-Effekten aufmerksam, die entstehen könnten, wenn eimal hochgeladene Daten nicht mehr ohne weiteres aus der Cloud heruntergeladen werden könnten. Dies könne einen Umzug des Cloud-Nutzers erschweren.

 

Die Entwicklungsperspektiven des CC im Bereich der öffentlichen Verwaltung zeigte Georg Schäfer, Leitender Ministerialrat im Innenministerium Baden-Württemberg, auf. Erfahrungen aus dem Pilotprojekt einer „Baden-Württemberg-Cloud“ sind nach seiner Darstellung überwiegend positiv: Das von Microsoft im Auftrag des Landes realisierte Vorhaben sei mitnichten im „rechtsfreien Raum“ entstanden, sondern durch umfangreiche Vertragsunterlagen rechtlich abgesichert. Neben einer Senkung der Kosten um 90% und den Standardisierungseffekten durch die Verwendung eines einzigen Betriebssystems hob er die fortbestehenden Gestaltungsmöglichkeiten der Verwaltung hervor, die die Kontrolle über die Cloud behalte. Schäfer sprach sich für eine EU-weite Vereinheitlichung verwaltungsspezifischer Standards aus und hielt die Schaffung einer „EU-Cloud“ unter einem einheitlichen Datenschutzrecht für möglich. Generell sei CC mit den derzeitigen datenschutzrechtlichen Vorgaben realisierbar. Allerdings könne die Kontrolle der Implementierung der Bestimmungen auf Grund der Komplexität und des benötigten umfassenden IT-Wissens nicht mehr von den Datenschutzbeauftragten alleine bewerkstelligt werden. In der anschließenden Diskussion forderte Krcmar, die Aufsichtspflicht müsse an kompetente Zertifizierungsstellen weitergereicht werden, die über das für eine effektive Prüfung notwendige technische Wissen verfügen.

 

Die zweite, vom ehemaligen Landesdatenschutzbeauftragten von Bremen, Prof. Dr. Alfred Büllesbach, moderierte Vortragsrunde befasste sich noch intensiver mit den spezifischen Herausforderungen des CC für die Verwaltung. Dr. Sönke E. Schulz, geschäftsführender wissenschaftlicher Mitarbeiter am Lorenz-von-Stein-Institut der Christian-Albrechts-Universität zu Kiel, stellte die in diesem Zusammenhang zu beachtenden datenschutz-, organisations- und vergaberechtlichen Anforderungen dar. Aus seiner Sicht gibt es derzeit aus Datenschutzgründen zu einer von der Verwaltung selbst – wenn auch u.U. unter Beteiligung Privater – betriebenen Cloud (IT-Kooperation) keine Alternative. „Echtes“ CC sollte daher jedenfalls zu Beginn nur dort Anwendung finden, wo keine personenbezogenen Daten verarbeitet werden. Vor einer Ausweitung sei u. a. zu klären, wie eine Anonymisierung von Daten und die räumliche Begrenzung der Datenverarbeitung auf Gebiete, auf die die relevanten Datenschutzvorschriften Anwendung finden, in geeigneter Weise sichergestellt werden könne. Dagegen ist aus Sicht von Prof. Dr. Ali Sunyaev von der Wirtschafts- und Sozialwissenschaftlichen Fakultät der Universität zu Köln die „private cloud“ im Wege der klassischen IT-Kooperation hauptsächlich für große Verwaltungen geeignet. Für kommunale Behörden komme eher eine spezialisierte „community cloud“ in Betracht. Auch der Blick in die USA könne sich lohnen: Dort hätten Verwaltungen ihre Daten bereits in privatwirtschaftlich betriebene sog. „public clouds“ abgelegt, was Kosten- und Flexibilitätsvorteile biete. Neben den organisatorischen Optionen erläuterte Sunyaev auch die technischen Gestaltungsmöglichkeiten auf Software-, Plattform- und Infrastrukturebene. In der Diskussion wurde deutlich, dass US-Unternehmen eine mit dem EU-Datenschutzrecht konforme Cloud-Lösung auch dann nicht anbieten können, wenn dies vertraglich vereinbart wird, da sie US-Behörden nach dem „Patriot Act“ zur Auskunft verpflichtet seien. Für die öffentliche Verwaltung sei daher eine zwar EU-weite, nicht aber international vereinheitlichte Cloud-Lösung anzustreben.

 

Die von Frank moderierte Podiumsdiskussion zum Thema „Recht und Technik des Cloud Computing“ versammelte mit Krcmar, Schäfer und Schulz eine Reihe der vorangegangenen Redner. Als vierter Diskutant nahm Dr. Alexander Tettenborn, Ministerialrat im Bundesministerium für Wirtschaft und Technologie, teil. In seinem Eingangs-Statement forderte er eine bedarfsbezogene Gestaltung der Sicherheitskonzepte für Cloud-Dienste und –Anwendungen, die etwa zwischen der Webpräsenz eines Unternehmens und dessen Lohnbuchhaltung differenziere. Zudem dürften sich die Sicherheitsanforderun­gen der virtuellen nicht zu sehr von denen der realen Welt entfernen. In der Diskussion mit dem Publikum warnte A. Roßnagel davor, datenschutzrechtliche Probleme zu unterschätzen. Für verschiedene Fachbereiche gälten unterschiedliche Pflichten. Es sei zu fragen, ob ein privater Anbieter diese differenzierten Lösungen anbieten könne, und ob der Nutzer die Einhaltung der Vorschriften auch überprüfen könne. Wenn dies nicht der Fall sei, müssten vertragliche Regelungen getroffen werden, die die spezifischen Bedürfnisse berücksichtigten. Ggf. könne die Prüfung an sachkundige Dritte ausgelagert werden. Schulz verlangte in diesem Zusammenhang, nicht nur die Kontrollkette zu verlängern, sondern dem Dritten auch die rechtliche Verantwortung zu übertragen. Hierbei könne laut Daniel Holzapfel (Berliner Beauftragter für Datenschutz und Informationsfreiheit, Bereich Recht I) eine Zertifizierung helfen, das Vertrauen, das sich als zentraler Begriff der abendlichen Debatte herauskristallisierte, auf eine rechtliche Grundlage zu stellen. Auch die Einführung unabhängiger Datenschutzaudits wurde verschiedentlich, so u. a. von A. Roßnagel, als geeignetes und notwendiges Mittel zur Sicherung eines Vertrauens durch Kontrolle genannt. Tettenborn bezeichnete Audits als sinnvollen Mittelweg zwischen einer Selbstverpflichtung der Industrie und einer vollständigen „Verrechtlichung“. Bei bestimmten Anwendungen, etwa solchen, bei denen besonders schutzwürdige Daten verarbeitet würden, müsse u.U. auch völlig auf CC verzichtet werden, so Krcmar.

 

Das erste Panel am 4.5.2012 zum Thema „Sicheres Cloud Computing“ eröffnete Dr. Detlef Hühnlein von der ecsec GmbH. Er stellte das SkIDentity-Projekt vor, mit dem die Verwendung elektronischer Ausweise (eID) zur sicheren Gestaltung von Cloud-Strukturen ermöglicht werden soll. Hühnlein skizzierte Angriffsmöglichkeiten gegen bestehende Sicherheitstechniken und zeigte auf, auf welche Weise SkIDentity diese Sicherheitslücken schließen will. Mark Bedner, Projektgruppe verfassungsverträgliche Technikgestaltung (provet) der Universität Kassel, erläuterte die derzeitigen rechtlichen Anforderungen an das CC, die sich in Deutschland im Wesentlichen aus § 9 des Bundesdatenschutzgesetzes (BDSG) einschließlich der Anlage und den entsprechenden Vorschriften der Landesdatenschutzgesetze ergäben und insbesondere bei der Auftragsdatenverarbeitung nach § 11 BDSG zu beachten seien. Die enthaltenen Regeln seien jedoch zu allgemein gehalten und könnten die spezifischen Probleme des CC nur unzureichend erfassen. Bedner stellte anhand von Beispielen – etwa dem Verlust der Vertraulichkeit von Daten bei unzureichender Sicherheit des Hypervisors (der Umgebung, auf der die virtuellen Maschinen der Cloud aufsetzen) oder den Gefahren von Botnetzen „aus der Cloud“ – die Anforderungen an sicheres CC dar. Um den Herausforderungen zu begegnen, sei eine Spezialnorm erforderlich, die ähnlich der jetzt in § 109 des TKG für den TK-Weg geregelten Datensicherheitsbestimmungen ausgestaltet sein könnte. Da ein Teil der beim CC angebotenen Dienstleistung in Telekommunikation besteht, sei auch eine „cloud-spezifische“ Datensicherheitsnorm im TKG am besten angesiedelt. Die gesetzlichen Vorgaben ließen sich mit der an der Universität Kassel entwickelten Methode KORA (Konkretisierung rechtlicher Anforderungen) in umsetzbare Gestaltungsvorschläge bringen. In der anschließenden Diskussion wurde angeregt, die Cloud-Infrastruktur von den darauf erbrachten Diensten und Anwendungen zu entkoppeln und getrennt zu regulieren und zu standardisieren.

 

Im letzten Panel der Tagung lag der Fokus auf dem Persönlichkeitsschutz beim CC. Dr. Heiko Roßnagel vom Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO) stellte verschiedene Verfahren zur Authentifizierung in der Cloud vor. Nach seiner Aussage findet diese aktuell in 99% der Fälle durch die Angabe von Benutzername und Passwort statt. Diese einfach zu realisierende Möglichkeit berge allerdings Nachteile: Häufig wählten Benutzer ein schwaches Passwort, was den Schutz kompromittieren könne. Werde zudem für unterschiedliche Anwendungen dasselbe Passwort verwendet, könne sich ein Dominoeffekt ergeben, wenn dieses einmal Unbefugten bekannt werde. Sicherheitsintermediäre wie das von Microsoft angebotene Cardspace seien hingegen zwar sehr hilfreich; sie würden jedoch in der Praxis kaum genutzt. Sog. „anonyme Credentials“ ermöglichten zwar den sicheren Nachweis der Zugangsberechtigung, ohne dass dabei personenbezogene Daten preisgegeben werden müssten. Allerdings seien sie sehr aufwendig zu realisieren. In vielen Anwendungsfällen sei daher zu fragen, ob dieser Aufwand zum Nutzen in einem angemessenen Verhältnis stehe. Letztlich sei die Benutzbarkeit eines Authentifizierungsverfahrens für dessen tatsächlichen Einsatz auch ein wesentlich entscheidenderes Kriterium als die dadurch erlangte Sicherheit.

 

Prof. Dr. Gerrit Hornung, Inhaber des Lehrstuhls für Öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau, befasste sich im letzten Vortrag mit den Rechtsfragen des Identitätsmanagements. Er erörterte zunächst die Möglichkeiten eines elektronischen ID-Managementsystems auf Basis des neuen Personalausweises (nPA). Einen praxisorientierten Ansatz sah er in der Zwischenschaltung eines „eID-Brokers“ zwischen Cloud-Nutzer und -Anbieter. Hornung analysierte auch die Ansätze, die der Ende Januar 2012 von der EU Kommission vorgelegte Entwurf für eine neue DS-GVO verfolgt. Das eigentlich auf soziale Netzwerke zugeschnittene Recht auf Datenübertragbarkeit sei dem Grunde nach auch auf CC anwendbar. In beiden Fällen sei das Ziel, „Lock-in“-Effekte zu vermeiden und einen Anbieterwechsel zu ermöglichen. Auch das vorgeschlagene „Recht auf Vergessen-Werden“ könne nur durch die „Verwaltbarkeit“ von Identitäten gewährleistet werden. Zur Datensicherheit enthalte der Verordnungsentwurf selbst wenig; die Kommission werde ermächtigt, durch tertiäre Gesetzgebung konkretisierend tätig zu werden. Die Weite der Befugnisse, die der Kommission hier eingeräumt würden, beurteilte Hornung jedoch als problematisch.

 

Die anschließende Diskussion kreiste vor allem um das „Recht auf Vergessen-Werden“, dem neu entwickelte Begriffe wie ein „Recht auf Nicht-Gemerkt-Werden“ und ein „Recht auf Nicht-Vergessen-Werden“ zur Seite gestellt wurden. Mit dem erstgenannten soll der Schutz personenbezogener Daten schon auf eine erstmalige Speicherung vorverlagert werden. Letzteres bezieht sich zum einen auf ein überwiegendes öffentliches Interesse an der Erhaltung von Berichtenswertem, dass einer Löschung entgegenstehen kann. Zum anderen könne auch das Urheberrecht ein Gegenrecht zum „Recht auf Vergessen-Werden“ darstellen, das eine materielle Prüfung eines Löschanspruchs erforderlich machen könne.

 

In seiner Zusammenfassung der Tagungsinhalte machte A. Roßnagel nochmals auf das Problem der rechtlichen Regulierung in den Fällen aufmerksam, in denen entweder kein Weisungsrecht gegenüber dem Cloud-Anbieter oder keine wirksame Kontrollmöglichkeit bestehe. Die Regeln der Auftragsdatenverarbeitung fänden in dieser Konstellation keine Anwendung, sodass nach einer funktionsäquivalenten Alternative zu suchen sei. Diese könne etwa in einer Vorwegnahme der Weisung durch vertraglich niedergelegte Datenschutzbedingungen und in der Auslagerung der Kontrolle an einen sachverständigen Dritten liegen. Bei der Konzipierung von Sicherheitsstandards sei das Verhältnismäßigkeitsprinzip zu beachten: Kosten und Nutzen von Technologie müssten gegeneinander abgewogen werden. Die technische Entwicklung des CC sei rechtspolitisch unterstützend zu begleiten. Zugleich müsse der Staat seiner Schutzpflicht gegenüber dem Nutzer nachkommen. Darüber hinaus müsse er u.U. auch – mit Blick auf die Daseinsvorsorge – die Sicherheit des CC gewährleisten: Spätestens, wenn CC zu einem IT-Angebot „aus der Steckdose“ werde, sei es als kritische Infrastruktur einzuordnen und entsprechend zu schützen.

Info Die nächste Tagung der Reihe „Allianz von Medienrecht und Informationstechnik“ wird voraussichtlich am 2. und 3.5.2013 stattfinden.

 

RA Sebastian Schweda ist Wissenschaftlicher Mitarbeiter am EMR, Saarbrücken.