Mit eigenen „Cloud-Anwendungen“ unabhängig werden

Was bedeutet, „Die Daten sind in der Cloud“?

Wenn Daten in der Cloud sind, bedeutet es eigentlich nur, dass die Daten auf einem Server sind, von dem ich meistens keinerlei Ahnung habe, wo er steht und wie er eingerichtet ist.

Die Cloudanbieter sorgen – im Idealfall – für die technische Bereitstellung mit hoher Verfügbarkeit, für Backups, Datensicherheit und Datenschutz.

Leider gibt es diese ideale Welt nicht.

Sicherheit und Datenschutz

Regelmäßig gibt es Sicherheitsvorfälle, bei denen Hacker auch bei renommierten Anbietern riesige Datenmengen abfließen lassen. Häufig beruhen diese Vorfälle auf Fehlkonfigurationen, die Kundenadmins bei der Bedienung von Cloud-Diensten machen.

Derartige Vorfälle sind aber nicht der einzige Aspekt, der die Datensicherheit und den Datenschutz gefährdet. Vielmehr sind die Anbieter selbst häufig an der „Mitnutzung“ ihrer Kundendaten interessiert (1) und gegebenenfalls auch zur Zusammenarbeit z.B. mit den us-amerikanischen Geheimdiensten verpflichtet (2).

Wegen dieser Zusammenarbeit hat unlängst der Europäische Gerichtshof die Regeln zur Verarbeitung europäischer, personenbezogener Daten in den USA unter dem Privacy Shield gekippt (3, 4).

Und auch die Rechtmäßigkeit der Alternative, die Weitergabe von personenbezogenen Daten mit EU-Standardvertragsklauseln, wird u.a. von den irischen Datenschutzbehörden als nicht mehr DSGVO-konform angesehen. Sie haben deshalb Facebook die Weitergabe von Daten in die USA mit dieser Rechtsgrundlage untersagt, da in den USA kein vergleichbares Schutzniveau gegeben sei (5).

Alternativen

Wenn meine hausinterne IT sowieso umfangreich in der sicheren Konfiguration von Cloud-Diensten geschult werden muss und zusätzlich die rechtliche Zulässigkeit von Datentransfers in die Cloud offensichtlich auf tönernen Füßen steht, warum baue ich mir dann die passende Infrastruktur nicht gleich selbst?

Quelloffene, alternative Software existiert und die gegenseitige Integration wird auch immer besser. Wer sich von Cloud-Diensten außerhalb der EU unabhängig machen will, kann mit einer Kombination aus Nextcloud, Collabora, BigBlueButton und einem LMS wie Moodle oder Iomad weitreichende Unabhängigkeit erzielen.

Die Nextcloud stellt Dateien, Kalender, E-Mail, To-dos, Kanban-Boards, Terminabstimmungen, Messenger, Fragebögen und vieles mehr zur gemeinsamen Nutzung bereit. Die meisten Funktionen haben Schnittstellen zu Mobilgeräten oder Applikationen wie Mozillas Thunderbird.

Textdateien, Tabellenkalkulationen und Präsentationen können von NutzerInnen gemeinsam in der Nextcloud mit Collabora im Browser bearbeitet werden. Und ist das von LibreOffice abgeleitete Web-Office schon einmal installiert, kann es auch in Lernmanagementsystemen wie Moodle oder Iomad integriert werden und Lernenden Zusammenarbeit in Lernszenarien ermöglichen.

Genauso integriert sich die Videokonferenz-Software BigBlueButton in Nextcloud (wenn die interne Talk-Lösung nicht ausreicht) und Moodle/Iomad. Neben der Video- und Audioübertragung kann der Bildschirm geteilt werden, ein Whiteboard gemeinsam bearbeitet werden oder gemeinsame Notizen zum Meeting erstellt werden.

Kosten

Die Hersteller der Lösungen geben ihre Software kostenlos zum Download ab. Aber kostenlos sind die Lösungen dadurch natürlich nicht. Sachgerechte Installation, Konfiguration und Betrieb erfordern Expertise und zeitlichen Aufwand. Der Betrieb eigener oder gemieteter Hardware verursacht weitere Kosten. Ob die Kosten in der Summe über die Lebenszeit der Lösung günstiger liegen als für eine proprietäre Lösung muss im Einzelfall geprüft werden.

Neben dem eigenen Betrieb der Software bietet sich auch das Hosting bei spezialisierten Dienstleistern in der EU an.

Fazit

Ein Leben – und vor allem Arbeiten – ohne Cloud-Dienste von Microsoft, Google oder Amazon ist möglich. Abhängig von der vorhandenen Expertise im Haus kann so eine Lösung sogar kostengünstiger sein. Auf jeden Fall befreit sie aber von rechtlichen Unsicherheiten bei der DSGVO-konformen Verarbeitung von Daten. Denn am Ende ist immer der/die Datenverarbeitende und nicht der Dienstleister in der rechtlichen Verantwortung für die Daten.

Office 365 DSGVO-konform?

Golem meldet, dass Microsoft für deutsche Großkunden Office 365 auch aus deutschen Rechenzentren anbieten möchte, um Bedenken hinsichtlich des DSGVO-konformen Betriebs auszuräumen.

In der Vergangenheit musste Microsoft das Produkt schon u.a. auf Druck der niederländischen Regierung überarbeiten, da personenbezogene Daten unbefugt an Dritte und in die USA abflossen.

Verbessert die Datenhaltung in Deutschland also die rechtliche Position der Auftraggeber hinsichtlich Einhaltung der DSGVO? Aus meiner Sicht nicht wesentlich.

Zum jetzigen Zeitpunkt hat Microsoft ein gültiges Zertifikat unter dem Privacy Shield (Gültigkeit noch bis 30.9.2020). Damit könnte schon jetzt ein Vertrag über Auftragsverarbeitung in einem Drittland nach DSGVO abgeschlossen werden.

Die Notwendigkeit zum Abschluss eines Vertrages über Auftragsverarbeitung ergibt sich daraus, dass zum einen in den bearbeiteten Dokumenten in der Regel personenbezogene Daten enthalten sein dürften und zum anderen auch durch die Nutzer der Software personenbezogene Daten (z.B. Telemetriedaten) erzeugt werden (s.a. Art. 4 und Art. 24 DSGVO).

„Die Verarbeitung durch den Auftragsverarbeiter wird … grundsätzlich dem Verantwortlichen zugerechnet.“ (s.a. Kurzpapier Nr. 13, Auftragsverarbeitung, Art. 28 DS-GVO, Datenschutzkonferenz). Der Verantwortliche (in der Microsoft beauftragenden Organisation) ist für die Auswahl geeigneter Auftragsverarbeiter verantwortlich.

Die Frage, die sich Verantwortliche jetzt stellen müssen, ist zum einen, ob die rechtliche Absicherung mittels Vertrag hinreichend ist, wenn der Auftragsverarbeiter in der Vergangenheit gegen die DSGVO verstoßen hat auch die Aufsichtsbehörden noch keine eindeutige Position bezogen haben.

Zum anderen sollte man sich allerdings auch fragen, ob man Datenabflüsse auch aus Sicht der IT-Sicherheit überhaupt tolerieren möchte, selbst wenn sie rechtlich nach DSGVO nicht zu beanstanden wären. Einmal in die USA abgeflossen, ist die Kontrolle vollständig verloren.
Zumal durch den Cloud Act Unternehmen in den USA zur Herausgabe von Daten auch auf europäischen System verpflichtet sind. Hierbei sollte man auch daran denken, dass die DSGVO nur personenbezogene Daten aber nicht beispielsweise Informationen zu Geschäftsprozessen oder Technologien schützt.

Viele Funktionen der Microsoft Lösung lassen sich auch durch Software wie z.B. Nextcloud oder Owncloud realisieren. Diese können In-House oder bei geeigneten Hostern innerhalb der EU installiert werden und belassen die Kontrolle über die Daten bei den Verantwortlichen.

UPDATE 24.2.20: Heise berichtet, dass sich die Business-Versionen von Office 365 nicht an das per Gruppenrichtlinie erzwungene Abschalten von Makros bei MS Office-Dokumenten halten. Damit kann die Software zu einem Einfallstor für Schadsoftware wie Emotet werden, wenn nicht die teureren Enterprise-Versionen genutzt werden.

Bußgelder nach DSGVO vereinheitlicht

Die Datenschutzbehörden von Länder und Bund haben sich laut heise.de auf einheitliche Regeln zur Berechnung von Bußgeldern bei Verstößen gegen die DSGVO geeinigt.

Danach fließen in die Berechnung die Schwere des Verstoßes, die Größe des Unternehmens und der mittlere Jahresumsatz von Unternehmen vergleichbarer Größe ein. Drohe die Zahlungsunfähigkeit, könne dieses auch berücksichtigt werden.