Cloud für Versicherer Teil 1: Datenschutzrechtliche Herausforderungen

Seit 2006 die ersten Cloud-Services auf den Markt kamen, hat die Cloud einen regelrechten Siegeszug angetreten. Während neue Unternehmen mit Business-Modellen entstanden, die ohne Cloud-Computing gar nicht denkbar wären, haben auch viele klassische Unternehmen Teile ihrer Applikationen in die Cloud migriert. Finanzdienstleister agieren im Vergleich zu anderen Industriezweigen aber noch zurückhaltend. Jedoch ist ein eindeutiger Trend erkennbar. Mittlerweile nutzen verschiedene Banken und erste Versicherer Cloud-Services.

Über das, was Cloud genau bedeutet, bestehen oft Missverständnisse. Daher sollen hier kurz die definierenden Merkmale von Cloud-Services vorgestellt werden. Erstens stellt die Cloud Infrastruktur und Software als Services zur Verfügung, welche von den Nutzern in einem «Self-Service»-Ansatz bezogen und administriert werden. Zweitens können Cloud-Services in kürzester Zeit (Minuten) hoch- und runter skaliert werden. Man spricht daher von «elastischen» Services. Drittens teilen Cloud-Services einen Pool an Ressourcen in Form von Hardware und Betriebspersonal. Dank dieses sogenannten «Resource Poolings» können starke Skaleneffekte realisiert werden. Viertens kann die Nutzung von Cloud-Services mit detaillierter Auflösung gemessen werden, was über entsprechende Metriken verschiedene Verrechnungsmodelle erlaubt, darunter auch «Pay as you go». Fünftens werden Cloud-Services über das Internet zur Verfügung gestellt und genutzt. Ähnlich wie Strom aus der Steckdose vor vielen Jahren eigene Kraftwerke für Unternehmen überflüssig machte, sind Cloud- Services als «IT-Infrastruktur aus der Steckdose» dabei, den Betrieb eigener Rechenzentren überflüssig zu machen.

Aus der oben erwähnten Cloud-Eigenschaft des Resource Poolings leiten sich verschiedene Typen der Cloud ab. Wenn alle gepoolten Ressourcen ausschließlich von einer einzigen Organisation genutzt werden, sprechen wir von einer «Private Cloud». Die Ressourcen müssen dabei nicht zwingend von der nutzenden Organisation selbst gestellt werden, da der Betrieb einer Private Cloud auch auf einen Outsourcing-Anbieter übertragen werden kann. Private Clouds entfalten ihr volles Potenzial nur bei Unternehmen ab einer gewissen Größe. Bei «Public Clouds» teilen sich viele Nutzer den Ressourcen-Pool eines gemeinsamen Anbieters. Die sogenannte «Virtualisierung» sorgt dafür, dass die physischen Hardware-Ressourcen auf viele Nutzer aufgeteilt werden können und diese trotzdem voneinander isoliert bleiben. Ihr Vorteil liegt darin, dass sie jedem noch so kleinen Nutzer die Möglichkeit bietet, über einen praktisch unbegrenzten und modernen Ressourcen- Pool zu verfügen. Während bei einer Private Cloud die volle Kontrolle über die Cloud besteht, muss sich ein Nutzer einer Public Cloud den Bedingungen des Cloud-Anbieters relativ stark unterwerfen. Dieser möchte ja einen möglichst starken Skaleneffekt realisieren, um ökonomisch wirtschaften zu können und wird daher einzelnen Nutzern in der Regel keine Sonderbehandlung bieten.

Wenn reine IT-Infrastruktur wie Rechenleistung und Speicherplatz als Cloud-Service angeboten wird, spricht man von «Infrastructure as a Service» (IaaS). Da es sich hier um bloße IT-Infrastruktur handelt, vergleichbar mit einem frisch gekauften PC oder Server, ist der Nutzer für das Installieren und die Wartung der gesamten Software selbst verantwortlich. Cloud- Anbieter haben daher ihr Angebot erweitert, wobei sie dem Nutzer weitere Verantwortlichkeiten abnehmen. Bei Angeboten im Bereich «Platform as a Service» (PaaS) werden Laufzeitumgebungen für eine bestimmte Programmierplattform (z. B. Java) zur Verfügung gestellt, sodass sich deren Nutzer nicht mehr um die Wartung von Betriebssystem und Laufzeitumgebung kümmern müssen. Bei «Software as a Service» (SaaS) betreibt der Cloud-Anbieter auch die eigentlichen Applikationen. Cloud-Anbieter und -Nutzer teilen sich also die Verantwortlichkeit für die Sicherheit cloudbasierter Applikationen, wobei die jeweiligen Anteile je nach Service-Modell unterschiedlich ausfallen (Abb. 1).

Gerade die Public Cloud bietet diverse Vorteile gegenüber dem klassischen eigenen Rechenzentrum. Neben geringeren Kosten für IT-Infrastruktur ist insbesondere die massiv höhere Agilität hervorzuheben, die sich ergibt, weil IT-Infrastruktur den Entwicklern im Self-Service zur Verfügung steht und weil die Cloud-Anbieter einen stetig wachsenden Baukasten an High-Tech-Komponenten anbieten. Diese können ähnlich wie Legosteine zusammengesetzt werden, um neue Anwendungsszenarien in kürzester Zeit zu realisieren.

Betrachtet man den Cloud-Markt, wird deutlich, dass trotz zahlreicher Vorteile die Public Cloud von Versicherern bisher noch wenig genutzt wird. Dies liegt wohl daran, dass Versicherer besonderen regulatorischen Vorschriften unterliegen und auch datenschutzrechtliche Herausforderungen bestehen. Diese diskutieren wir im Folgenden. In einem zweiten Teil in der nächsten Ausgabe von «The Magazine» werden wir dann auf die regulatorischen Aspekte eingehen.

Aktuell besitzen die einzelnen EU-Mitglieder eigene nationale Datenschutzgesetzgebungen, welche zwar die europäische Datenschutzrichtlinie umsetzen, sich in den Details jedoch unterscheiden können. Verkompliziert wird die Lage durch europäische Staaten wie die Schweiz, die nicht zur EU gehören. International operierenden Versicherern stellt sich somit die Frage, welche Gesetze schlussendlich zu beachten sind und welche Datenschutzbehörde zuständig ist. Gemäß einem Urteil des europäischen Gerichtshofs findet die Datenschutzgesetzgebung eines EU-Landes Anwendung, wenn ein Unternehmen in diesem eine qualifizierte Niederlassung besitzt. Jedoch sieht sich die dortige Datenschutzbehörde oft nicht zwingend als verantwortlich, da auch die Datenschutzbehörde im Land des Hauptsitzes eines Unternehmens als zuständig erachtet werden kann.

Ab Mai 2018 tritt nun die neue Datenschutz-Grundverordnung (DSGVO, engl. GDPR) der EU in Kraft, welche die Regeln für die Verarbeitung von personenbezogenen Daten EU-weit vereinheitlichen soll. Kontrolle über die Datenverarbeitung Sobald ein Versicherer personenbezogene Daten in der Cloud verarbeitet (dazu gehört auch die bloße Speicherung), schreibt das Gesetz vor, dass er die volle Kontrolle über die Datenverarbeitung haben muss. Wenngleich er bei IaaS- und PaaS-Services die Instruktionen zur Datenverarbeitung de facto ohnehin selbst festlegt und der Cloud-Anbieter diese in der Regel vollautomatisiert ausführt, muss trotzdem vertraglich vereinbart werden, dass der Cloud-Anbieter die Datenverarbeitung exakt gemäß den Anweisungen des Cloud-Nutzers durchführt. Falls der Cloud-Anbieter dies nicht im Standardvertrag bereits garantiert, hält er für Kunden im EU-Raum auf Nachfrage für gewöhnlich einen standardisierten Vertragsanhang bereit, mit dem die Vorgaben der EU-Datenschutzrichtlinie vertraglich umgesetzt werden können.

Um personenbezogene Daten vor unbefugtem Zugriff zu schützen, empfiehlt es sich, sie nur in verschlüsselter Form abzuspeichern. Die großen Anbieter von Public Clouds bieten hier entsprechende, zum Teil sehr ausgefeilte Funktionalität an. Es ist allerdings zu beachten, dass personenbezogene Daten normalerweise auch in verschlüsselter Form noch als personenbezogene Daten zu betrachten sind, wenngleich hier teilweise unterschiedliche Auffassungen je nach zuständiger Datenschutzbehörde bestehen. Solange die Daten nicht bereits in verschlüsselter Form in die Cloud übermittelt werden, muss man sich ohnehin auf die Aussagen des Cloud-Anbieters beziehungsweise von dessen unabhängigen Zertifizierungs- und Auditstellen verlassen, wenn es darum geht, ob und unter welchen Umständen dessen Mitarbeiter Daten im Klartext sehen können.

Für Cloud-Nutzer, die in hohem Maße personenbezogene Daten verarbeiten, sind Angaben, die ausschließlich vom Cloud-Anbieter stammen, in der Regel nicht ausreichend. Um einen zusätzlichen Nachweis für eine hinlängliche Implementierung geeigneter Sicherheitsmechanismen zu erbringen, lassen sich viele Cloud-Anbieter daher freiwillig durch unabhängige Zertifizierungs- und Auditstellen prüfen. Cloud-Anbieter sind so in der Lage, die Einhaltung beziehungsweise Erfüllung von international anerkannten Normen glaubwürdig nachzuweisen. Cloud-Nutzer sollten daher bei der Auswahl eines Anbieters genau überprüfen, welche Zertifizierungen und Audit-Reports die Kandidaten vorweisen können. Zu den wichtigsten unabhängigen Zertifizierungen und Reports für Datensicherheit und Datenschutz eines Cloud-Anbieters zählen unter anderem ISO 27001, ISO 27017, ISO 27018, CSA STAR sowie die sogenannten SOC Reports.

Die Datenschutzgesetzgebungen der EU-Länder stellen besondere Anforderungen, wenn Daten außerhalb der EU verarbeitet werden beziehungsweise an einen Drittstaat übermittelt werden. Die großen Anbieter von Public Cloud bieten daher alle die Möglichkeit, die geografische Region festzulegen, in der sich die Rechenzentren befinden, aus denen die bezogenen Cloud-Dienstleistungen erbracht werden. Mehrere Aspekte müssen dabei jedoch im Auge behalten werden: Erstens hält der Cloud-Anbieter rund um die Uhr Wartungspersonal bereit, um bei eventuell eintretenden technischen Problemen sofort eingreifen zu können. Hier ist mit dem Anbieter zu klären, inwiefern dabei auch Personal von außerhalb der EU zum Einsatz kommt, da zumindest nach deutschem Datenschutzrecht ein solcher Zugriff als Datenübermittlung in einen Drittstaat gewertet wird. Zweitens ist zu prüfen, ob tatsächlich alle verwendeten Cloud-Services lokal in der ausgewählten Region ausgeführt werden. Bei manchen Anbietern existieren nämlich auch sogenannte «globale Services», im Rahmen derer Nutzerdaten u. U. auch in andere Staaten fließen können. Inwiefern dies datenschutzrechtliche Relevanz hat, ist im Einzelfall zu klären. Drittens ist zu prüfen, inwiefern der Cloud- Anbieter für die Erbringung seiner Dienstleistungen auf Unterauftragsnehmer zurückgreift und ob die oben genannten Punkte auf diese zutreffen. Manche PaaS-Anbieter nutzen bspw. ihrerseits einen IaaS-Anbieter als Unterauftragsnehmer. Für den Cloud-Nutzer kann es sich jedoch als schwierig erweisen, die vertraglichen Beziehungen zwischen einem Cloud- Anbieter und allen Unterauftragsnehmern vollständig zu kontrollieren.

Falls eine Datenübermittlung in einen Drittstaat nicht ausgeschlossen werden kann, müssen entsprechende Maßnahmen implementiert werden, um trotzdem datenschutzkonform zu bleiben. Dazu gehört etwa, dass die EU-Standardvertragsklauseln im Vertrag mit dem Cloud-Anbieter integriert werden. Das deutsche Datenschutzrecht schreibt außerdem im Falle von besonderen Arten (d. h. besonders sensitiver) personenbezogener Daten vor, dass eine explizite Einverständniserklärung der betroffenen Personen eingeholt werden muss, wenn eine Übermittlung in einen Drittstaat vorgesehen ist oder nicht ausgeschlossen werden kann. Diese Pflicht entfällt allerdings vsl. mit der baldigen Einführung der erwähnten europäischen Datenschutz-Grundverordnung.

Aufgrund ihrer Vorteile hat Cloud-Technologie bereits in vielen Industriezweigen begonnen, kommerzielle Rechenzentren zu verdrängen. Eine Umkehr dieses Trends ist nicht zu erwarten, sondern eher eine Beschleunigung.

Finanzdienstleister im Allgemeinen und Versicherer im Speziellen stehen oft vor datenschutzrechtlichen Herausforderungen, wenn sie die Public Cloud nutzen wollen. Diese können durchaus gemeistert werden, wobei aber eine enge und abteilungsübergreifende Zusammenarbeit zwischen verschiedenen Disziplinen wie IT, Recht und Compliance nötig ist.

Im zweiten Teil in der nächsten Ausgabe werden wir die finanzmarktaufsichtsrechtlichen Herausforderungen der Nutzung von Public Cloud durch Versicherer genauer beleuchten.