Datenschutzrechtliche Nachteile von Cloud DMS Software

Wie groß ist das datenschutzrechtliche Risiko bei Cloud-basierter DMS Software?

Datenschutz und die Cloud – Eine Kombination, die in den Augen vieler nach wie vor höchst problematisch ist. Und das aus gutem Grund: Laut dem Check Point Security Report 2019 erlebte im vergangenen Jahr fast jedes fünfte Unternehmen einen Vorfall in der Cloud Sicherheit. 
Doch wer hat Schuld an den Vorfällen und was sind die größten Sicherheitslücken? 

„IT-Experten bewerteten die Fehlkonfiguration von Cloud-Plattformen, die zu Datenverlust oder -verletzungen führt, mit 62 Prozent als größte Bedrohung (…)“. (vgl. security-insider.de). Im Folgenden soll vor allem die Fehlkonfiguration von Cloud-Plattformen – die laut Report häufigste Ursache für Datenschutzverletzungen – thematisiert werden. 

Fehlkonfiguration als Risikofaktor für Cloud-basierte DMS Software 

Grundsätzlich gilt, dass es wesentlich schwieriger ist, komplexe, miteinander vernetzte Cloud-Strukturen zu sichern. Physische, lokale Server, wie beispielsweise die in einem hauseigenen Rechenzentrum bei Verwendung einer On-Premises DMS Software, weisen wesentlich weniger agile bzw. „bewegliche“ Teile auf, die stetig dem jeweiligen Geschäftsbedarf angepasst werden können. Somit ist die adäquate Sicherung „herkömmlicher“ DMS Software wesentlich einfacher als die eines komplexen Cloud Lösung, welche in manchen Fällen aus vielen, stetig variierenden Teilen zusammengesetzt ist, die alle permanent ordnungsgemäß geschützt werden müssen. 

Erhöhtes Risiko durch DMS Software aus der Public Cloud 

Die Public Cloud stellt ein zusätzliches Sicherheitsrisiko dar, da sie von allen Computern – überall auf der Welt – angewählt werden kann, sofern sie das Passwort besitzen. Folglich gilt dies auch für alle DMS Systeme, welche Anbieter mittels Public Cloud zur Verfügung stellen. Sind keine weiteren Sicherheitsmaßnahmen durch den Anbieter getroffen worden, liegt die Entscheidung beim Unternehmen: Ist DMS Software aus der Public Cloud zu verantworten? Wenn ja, welche Maßnahmen müssen intern getroffen werden, um die eigenen Daten zusätzlich abzusichern? Und wie hoch ist der entsprechende Ressourcenaufwand? 

Sicherheit der DMS Software: Cloud-Provider in der Verantwortung? 

Das „Shared Responsibility“ Modell zieht Cloud-Provider mit in die Verantwortung. Es sieht vor, dass der Anbieter selbst regelmäßig seine Infrastruktur aktualisiert und sicherstellt, dass diese keine Sicherheitslücken aufweist. Auf der anderen Seite stehen Anwender in der Verantwortung, ihre eigenen Daten zusätzlich zu schützen. 

Einige IT-Experten, welche im Rahmen des Check Point Security Reports 2019, unterstützen dieses Modell. „30 Prozent der befragten IT-Experten sind außerdem der Meinung, dass die Sicherheit in der Verantwortung des Cloud-Service-Providers liegt: Cloud-Sicherheit sollte das gegenseitige Vertrauen zwischen dem Cloud-Provider und Kunden fördern und die Verantwortung gerecht aufteilen.“ (vgl. security-insider.de). 

In der Theorie klingt dies nach einem plausiblen Vorschlag für ein Zukunftsmodell, welches das Interesse aller Beteiligten vertritt. In der Praxis ist die Rechtslage gemäß DSGVO jedoch deutlich: Es liegt in der Verantwortung des Unternehmens, sich über die geltenden Datenschutzvorkehrungen des jeweiligen Cloud-Providers zu informieren und sicherstellen, dass diese nicht den europäischen Datenschutzrichtlinien widersprechen. Besonders bei auslandansässigen Cloud-Providern wird dies denkbar problematisch. 

US Cloud-Provider und der Datenschutz im DMS System 

Eine der größten Problematiken eines Cloud-basierten DMS Systems ist die amerikanische Dominanz im Bereich der Cloud-Lösungen. Amerikanische Großkonzerne wie Google, Amazon oder Microsoft führen den Markt der Cloud-basierten DMS Lösungen eindeutig an. Viele europäische Unternehmen greifen deshalb bei der Wahl eines geeigneten Providers auf etablierte Lösungen amerikanischer Anbieter zurück. Doch was bedeutet das für den Datenschutz europäischer Nutzer? 

Die Relevanz des Cloud Acts für DMS Systeme 

Amerikanische Konzerne unterliegen amerikanischer Gesetzgebung. Teil der für US-amerikanische Konzerne geltende Gesetze ist der sogenannte Cloud Act. „Cloud“ steht dabei für Clarifying Legal Overseas Use of Data. Dieses Gesetzt verpflichtet alle amerikanischen IT- und Softwareprovider (Cloud-Provider eingeschlossen) dazu, auf Anfrage der Behörden sämtliche mittels ihrer Rechenzentren verwalteten Daten preiszugeben.

Dies bezieht sich auch auf Rechenzentren amerikanischer Firmen, welche sich außerhalb der Vereinigten Staaten – wie beispielsweise in der europäischen Union – befinden. Für europäische Unternehmen bedeutet dies im Detail, dass sämtliche Dokumente, welche sie mittels einer Cloud DMS Systems eines amerikanischen Anbieters verarbeiten, auch in die Hände US-amerikanischer Behörden fallen können. 

Hintergrund des Cloud Acts ist, dass den Behörden Strafverfolgung über die Grenzen der Vereinigten Staaten hinaus erleichtert wird. Ausschlaggebend für das Gesetz war eine Forderung seitens der Behörden an Microsoft, Daten, die in einem Microsoft Rechenzentrum in Irland verwaltet wurden, zwecks gezielter Strafverfolgung zugänglich zu machen. 

Letztendendes liegt es vermutlich im Ermessen amerikanischer Gerichte, ob der Zugang zu gewissen Daten wirklich notwendig ist. Diese Ungewissheit sorgt bei vielen europäischen Unternehmen für Unsicherheit. Inwiefern kann ein Unternehmen den Schutz sensibler Daten gewährleisten, wenn die Cloud, mittels derer das DMS System betrieben wird, Service eines amerikanischen Konzerns ist? 

GAIA-X: Datenschutz im DMS System durch die EuropaCloud noch Zukunftsmusik 

Um wirtschaftliche Unabhängigkeit zu schaffen und gleichzeitig bessere Kontrolle über die Einhaltung der DSGVO bei der Verwendung Cloud-basierter DMS Systeme erlangen, wurde im Herbst 2019 das Konzept GAIA-X vorgestellt. Ihm liegt die Idee einer europäischen Cloud-Lösung zugrunde. Wenn europäische Unternehmen neben den Angeboten amerikanischer Anbieter auch auf eine europäische Cloud-Lösung zurückgreifen könnten, wären Gesetze wie der Cloud Act, die bei ausländischen Anbietern zum Tragen kommen, weniger relevant. Die Einhaltung der europäischen Datenschutzrichtlinien wäre folglich wesentlich leichter.

Auch, wenn dieses Konzept in der Theorie vielversprechend klingt, gibt es in der Praxis noch einige Probleme. Zunächst handelt es sich bei GAIA-X noch um reine Zukunftsmusik. Es ist also ungewiss, ab wann eine gewisse Unabhängigkeit von amerikanischen Konzernen geschaffen werden kann. Zudem kritisieren Experten, dass US-Cloud-Provider über einen nur schwer aufholbaren technischen Vorsprung verfügen. Klar ist also, dass noch einige Zeit ins Land gehen wird, bis DMS Systeme aus der europaeigenen Cloud eine echte Alternative darstellen.

Weitere Risikofaktoren Cloud-basierter DMS Systeme

Neben der Fehlkonfiguration beinhaltet der Check Point Security Report 2019 auch Sicherheitslücken wie die Möglichkeit eines unberechtigten Zugriffs auf Cloud-Ressourcen, unsichere Schnittstellen und die Entführung von Konten oder Datenverkehr (vgl.security-insider.de). 

Es gibt diverse Möglichkeiten, diesen Sicherheitslücken entgegenzuwirken. Pseudonymisierung, Verschlüsselung oder Multi-Faktor Authentifizierung sind nur einige der Maßnahmen, die Unternehmen treffen können, um die Sicherheit ihrer Daten innerhalb des DMS Systems zu gewährleisten. Zu beachten ist jedoch, dass all diese Maßnahmen zusätzliche Ressourcen in Anspruch nehmen. Ist also bereits ein funktionsfähiges On-Premises DMS in Gebrauch, bleibt fraglich, in welchen Fällen sich der Umstieg auf eine Cloud-Lösung wirklich lohnen würde.