Widersprüchliche internationale Rechtsvorschriften
Kaum eine andere IT-Technologie ist so stark von extraterritorial wirkenden Gesetzen abhängig wie die Cloud. Da Cloud-Dienste geografische und juristische Grenzen überschreiten, entsteht eine hochkomplexe Rechtslage.
Als Beispiel dient die DSGVO der EU, die Erhebung und Verarbeitung personenbezogener Daten von EU-Bürgern regiert. Sie gelten auch für Organisationen außerhalb der EU, sofern diese Daten von EU-Bürgern verarbeiten. Zusätzlich können einzelne EU-Mitgliedsstaaten eigene Datenschutzgesetze erlassen, die teilweise von der DSGVO abweichen.
Für Unternehmen ergeben sich daraus zwei zentrale Anforderungen:
Erstens die Datenlokalisierung – also die Speicherung von Daten innerhalb der EU sowie die Einführung von Zugriffsbeschränkungen, um unkontrollierte Datenübertragungen in anderen Regionen zu verhindern.
Zweitens müssen vor der weltweiten Bereitstellung von Cloud-Infrastruktur die rechtlichen Beschränkungen der jeweiligen Region geprüft werden, andernfalls riskieren Unternehmen Verstöße gegen lokale oder internationale Gesetze.
Bewertung der für das Cloud-Computing spezifischen rechtlichen Risiken
Die grenzüberschreitende Speicherung und Verarbeitung von Daten führt zu zusätzlichen regulatorischen Herausforderungen. Besonders kritisch wird es, wenn die Organisationen in einen direkten Rechtskonflikt geraten.
Ein konkreter Konflikt entsteht z. B. zwischen der DSGVO und dem US CLOUD Act, der US-Behörden den Zugriff auf Daten amerikanischer Cloud-Anbieter erlaubt – auch wenn diese physisch in der EU gespeichert sind. Dies widerspricht direkt den Grundsätzen der DSGVO.
Die rechtliche Lage zwingt oft einige Unternehmen dazu, in bestimmten Regionen keine Dienste anzubieten, wenn die rechtlichen Risiken nicht tragbar sind.
Rechtlicher Rahmen und Leitlinien
Auch wenn ich diesen Abschnitt gerne überspringen würde, man sollte zumindest über die Existenz der zahlreichen internationalen Standards, Richtlinien und Organisationen Bescheid wissen.
OECD Leitfaden (Organisation for Economic Cooperation and Development)
Die OECD ist eine internationale Organisation zur Förderung wirtschaftlicher und sozialer Entwicklung. Sie haben grundlegende Datenschutzprinzipien formuliert – gesagt: „Darfst du das? Ist es sicher? Wissen die Betroffenen Bescheid vereinfacht?“ – die häufig als Grundlage anderer Rahmenwerke dienen.
Zentrale Datenschutzprinzipien der OECD
- Sammlungsbeschränkung – nur das Nötigste sammeln, und das nur rechtmäßig.
- Datenqualität – Daten müssen korrekt, aktuell und zweckrelevant sein.
- Zweckbestimmung – der Erhebungsgrund muss von Anfang an feststehen.
- Nutzungsbeschränkung – Nutzung nur für den vereinbarten Zweck, außer bei neuer Erlaubnis.
- Sicherheitsmaßnahmen – Schutz gegen Verlust, Zugriff oder Missbrauch ist Pflicht.
- Offenheit – Transparenz darüber, was mit den Daten passiert.
- Individuelle Teilnahme – Nutzer dürfen ihre Daten einsehen, prüfen und korrigieren.
- Verantwortlichkeit – wer Daten verarbeitet, haftet für die Einhaltung dieser Regeln.
APEC Privacy Framework (Asia-Pacific Economic Cooperation)
Das APEC Privacy Framework hat das Ziel, einen einheitlichen Ansatz zum Schutz von personenbezogenen Daten im asiatisch-pazifischen Raum zu schaffen.
Neun Kernprinzipien des APEC-Rahmenwerks:
- Schaden verhindern – Risiken für Betroffene vermeiden.
- Hinweis – klare Informationen über Datenerhebung und -nutzung.
- Collection Limitation – begrenzte und zweckmäßige Datenerhebung.
- Verwendung personenbezogener Daten – Transparenz und Zweckbindung.
- Choice & Consent – Kontrolle der Betroffenen über die Nutzung ihrer Daten.
- Integrität personenbezogener Daten – Daten müssen korrekt und vollständig sein.
- Sicherheitsmaßnahmen – Schutz vor unbefugtem Zugriff.
- Zugriff und Berichtigung – Recht auf Einsicht und Berichtigung.
- Verantwortlichkeit – Verantwortung für die Umsetzung liegt bei den Datenverarbeitern.
DSGVO
Die DSGVO ist bereits mehrfach im Kurs erwähnt worden.
eDiscovery
Als eDiscovery (Electronic Discovery) wird der rechtlich geregelte Prozess bezeichnet, bei dem elektronische Daten für juristische Verfahren gesammelt, gesichert und bereitgestellt werden.
Der Standardrahmen dafür ist das EDRM (Electronic Discovery Reference Model), das den Prozess von der Identifikation bis zur Präsentation der Beweise strukturiert.
Ergänzend dazu definiert ISO/IEC 27050 (Ausgabe 2, 2019) internationale Standards für eDiscovery in digitalen Umgebungen – von der Identifikation über die Aufbewahrung bis zur Analyse und Bereitstellung elektronischer Beweise.
Eine besondere Herausforderung besteht darin, dass sowohl Cloud-Provider als auch Cloud-Kunden in der Lage sein müssen, relevante Daten schnell zu identifizieren und bereitzustellen, auch wenn diese über mehrere Rechtsräume verteilt sind. Damit eDiscovery korrekt abläuft, ist eine enge Zusammenarbeit zwischen IT und Rechtsabteilung notwendig.
Forensische Anforderungen
Digitale Forensik beschäftigt sich mit der sachgerechten Beweissicherung, Analyse und Dokumentation digitaler Beweise nach einem Sicherheitsvorfall. Dabei gelten drei zentrale Anforderungen:
Beweissicherung – gesammelte Daten müssen unverändert und manipulationssicher aufbewahrt werden.
Nachvollziehbarkeit – jeder Schritt der Analyse muss sorgfältig und lückenlos dokumentiert sein.
Zulässigkeit vor Gericht – das gesamte Verfahren muss den gesetzlichen Standards des jeweiligen Landes entsprechen.
Darüber hinaus bringt die Cloud-Umgebung zusätzliche Herausforderungen mit sich: Daten können auf verteilten Infrastrukturen liegen, Cloud-Anbieter dürfen möglicherweise nicht alle Daten freigeben, und nationale Gesetze können den Prozess zusätzlich beeinflussen.