Cloud und Regulatorik in der Praxis – Teil 1: Einführung und Datenschutz

Einführung

Unabhängig davon, ob ein Finanzinstitut schon Cloud-Dienste nutzt oder nicht, kommt die Frage auf, welche Anforderungen die verschiedenen Gesetze und Vorschriften im Finanzwesen an Cloud-Dienste stellen und wie diese in der Praxis umzusetzen sind.

Dabei geht es vorrangig oft nicht um die technische Umsetzung, sondern um vielfältige Anforderungen an Verträge, Prüfkriterien, Dokumentation und Prozesse.

Diese nichttechnischen Aspekte werden häufig als Hindernisse wahrgenommen, etwa bei Fragen wie „Sind meine Daten in der Cloud sicher?“ oder „Darf ich diese Daten überhaupt mithilfe von Cloud-Diensten verarbeiten?“.

Spätestens dann stellt sich die Frage, wie eine Bank Cloud-Dienste in Einklang mit den zahlreichen bestehenden regulatorischen und gesetzlichen Vorgaben einsetzen darf und kann. Oder einfacher gefragt: Was muss ein Finanzinstitut beachten, wenn es Cloud-Dienste nutzen möchte?

Diese Artikelserie betrachtet das umfangreiche Thema Cloud-Dienste aus verschiedenen Blickwinkeln.

Wir beginnen mit einer Begriffsbestimmung zu Cloud-Diensten sowie einem grundlegenden Prozess zur Einführung dieser in einem Finanzinstitut. Anschließend gehen wir auf das Thema Datenschutz und seine erfolgreiche Umsetzung mit Cloud-Diensten ein.

Begriffsdefinition: Was sind Cloud-Dienste?

Infrastructure-as-a-Service (IaaS)

Jeder Cloud-Dienst nutzt IT-Infrastruktur, und zwar Rechenkapazität (CPU), Speicher (Memory, Storage) und Netzwerke (Networking).

Diese Infrastruktur-Hardware wird von Cloud-Anbietern eingekauft, betrieben und virtualisiert. Den Cloud-Kunden wird sie als Services zur Verfügung gestellt, vereinfacht gesagt, als konfigurierbare virtuelle Maschinen.

Ein Praxisbeispiel: Microsoft Azure bietet etwa 17 seiner über 140 Cloud-Dienste¹ als IaaS an. Dies zeigt, dass Infrastruktur zwar einen grundlegenden Bestandteil an Cloud-Diensten darstellt, es jedoch noch viele weitere Dienste gibt.

Platform as a Service (PaaS)

Viele IT-Anwendungen benutzen eine ganze Reihe weiterer Software, wie Betriebssysteme, Datenbanken, Webserver, Monitoring-Tools, DNS-Dienste oder auch Laufzeitumgebungen, wie OpenShift oder KI-Dienste für Bild- oder Spracherkennung.

Cloud-Anbieter stellen Software als Dienst zur Verfügung, indem sie diese selbst auf ihrer eigenen Cloud-Infrastruktur betreiben und Kunden die entsprechende Funktionalität zur Verfügung stellen. Da die Dienste als Plattform dienen, auf der Applikationen einfacher entwickelt und betrieben werden können, spricht man von Platform as a Service (PaaS).

Die Vielfalt dieser Plattformdienste spiegelt sich auch in deren Anzahl wider: Microsoft Azure bietet etwa 90 seiner über 140 Cloud-Dienste² als PaaS an.

Software as a Service (SaaS)

Eine vollständige Business-Applikation, die mithilfe von IaaS und/oder PaaS realisiert ist, wird als Software as a Service (SaaS) bezeichnet.

Microsoft Azure bezeichnet etwa 28 seiner über 140 Cloud-Dienste³ als SaaS. Anbieter von SaaS sind aber auch eine ganze Reihe von IT-Produktherstellern wie SAP oder Salesforce.

Private und Public Cloud

Betreiben Finanzunternehmen Cloud-Dienste komplett in eigenen Rechen- zentren oder lassen Cloud-Dienste exklusiv nur für die eigene Benutzung be- treiben, besitzen sie eine Private Cloud. Sobald Cloud-Dienste von Drittfirmen einkauft werden, die für viele Nutzer zugänglich ist, spricht man von einer Public Cloud.

Prozess zur Einführung von Cloud-Diensten

Die Einführung von Cloud-Diensten enthält im Wesentlichen dieselben Prozessschritte wie das Einführen einer On-Premise-Applikation:

1. Anforderungserhebung sowie Markt- und Risikoanalyse
2. Vertragsabschluss
3. Realisierung und Inbetriebnahme
4. Betrieb und Lifecycle

Speziell für Cloud-Projekte ergeben sich folgende Aufgaben

• Diverse vorbereitende Tätigkeiten:
  1. Leistungskriterien für Cloud-Dienst festlegen
  2. Marktanalyse inklusive Eignungs- und Leistungsprüfung für Cloud-Anbieter
  3. Risikomanagement für den Cloud-Dienst durchführen, inklusive Datenschutz
  4. Vertragsinhalte für Cloud- Vertrag festlegen
• Cloud-Vertrag abschließen
• Entwicklung, Konfiguration, Test und Inbetriebnahme des Cloud- Diensts
• Überwachung, Kontrolle und Lifecycle eines Cloud-Diensts

Für eine effiziente Gestaltung von Cloud-Projekten ist es ratsam, allgemein nutzbare Checklisten und Vorlagen zu erstellen. Dazu zählen Fragelisten für die Eignung von Cloud-Anbietern, Vorlagen für Cloud-Verträge und Auftragsdatenverarbeitung sowie Anforderungslisten für Leistungskriterien, etwa zur IT- Sicherheit.

Die BaFin hat im Februar 2024 eine aktualisierte Fassung ihrer Aufsichtsmitteilung zur Auslagerung an Cloud-Anbieter⁴ und damit zur Nutzung von Cloud-Diensten veröffentlicht. Die dort beschriebenen Empfehlungen unterstützen den obigen Einführungsprozess und geben hilfreiche Anhaltspunkte.

Praxisbeispiele

Im Folgenden beleuchten wir das Thema Datenschutz bei Cloud-Diensten und zeigen anhand ausgewählter Praxisbeispiele, in welchem Prozessschritt und in welchen Cloud-Dokumenten diese Informationen sinnvoll integriert werden können.

Datenschutzvorgaben

Der Datenschutz wird durch die EU- Verordnung 2016/679⁵ (EU-DSGVO) sowie das Bundesdatenschutzgesetz⁶ (BDSG) gesetzlich geregelt. Diese beiden Regelwerke umfassen insgesamt über 130 DIN-A4-Seiten Text – eine beträchtliche Menge an Inhalten.

Eine bloße Erwähnung der EU-DSGVO und des BDSG in Verträgen ist daher nicht ausreichend. Um sicherzustellen, dass sie den datenschutzrechtlichen Vorgaben entsprechen, nutzen viele Unternehmen Checklisten, die relevante Fragen und Anforderungen für IT-Projekte abbilden.

Auf die Darstellung von bundesland- spezifischen Datenschutzgesetzen (Landesdatenschutzgesetze, LDSG) verzichten wir der Übersichtlichkeit halber.

Im Folgenden stellen wir drei Beispiele zum Datenschutz bei Cloud-Diensten vor, die in verschiedenen Cloud-Projekten erfolgreich angewendet wurden.

Schutzobjekte und Zugangsdaten für Cloud-Infrastruktur

Grundsätzlich sind alle personenbezogenen Daten im Rahmen der Schutzbedarfsfeststellung und Risikoanalyse zu berücksichtigen. Dies betrifft alle Datenarten, unabhängig von ihrer Nutzung. Kunden-, Partner- und Mitarbeiterdaten sind ohne Ausnahme gleichwertig zu behandeln.

Für die Konfiguration und Steuerung kann es nötig sein, direkten technischen Zugriff auf Cloud-Dienste wie IaaS oder PaaS zu haben. Dieser Zugriff erfolgt über eine Benutzerverwaltung, die zur Identifikation und Autorisierung derjenigen Personen dient, die Cloud-Ressourcen verwalten – etwa zur Softwareentwicklung oder deren Betrieb.

In der Regel handelt es sich dabei um Informationen, wie sie im Microsoft-Umfeld häufig verwendet werden, wie Name, E-Mail-Adresse oder Profilbilder sowie die entsprechenden Berechtigungen.

Für den Umgang mit diesen Zugangsdaten gelten folgende Anforderungen:

• Die Cloud-Zugangsdaten müssen in den Schutzobjekten erfasst sein.
• Es muss dokumentiert werden, wo die Zugangsdaten gespeichert sind. Dies ist bei einigen Cloud-Anbietern schwer auffindbar. Beispielsweise werden Zugangsdaten bei Microsoft Azure überregional, also in den USA, gespeichert und verarbeitet. Eine Beschränkung der Datenverarbeitung von Zugangsdaten auf deutsche Rechenzentren ist bei Microsoft Azure derzeit nicht möglich.
• Die Zugangsdaten müssen aktiv verwaltet werden, beispielsweise im Fall eines Mitarbeiteraustritts oder Abteilungswechsels.
• Die Zugangsdaten müssen im Rahmen einer Datenschutzauskunft auf Anfrage bereitgestellt werden.

Da dieselben Kriterien ebenfalls für SaaS-Anbieter gelten, müssen sie die oben genannten Aspekte auch bei einer Eignungsprüfung zufriedenstellend präsentieren können.

Automatisiertes Löschen von personenbezogenen Daten

Gemäß dem in der EU-DSGVO festgelegten „Recht auf Löschung“ müssen Daten „unverzüglich“ gelöscht werden, sobald sie nicht mehr benötigt werden – beispielsweise bei Ablauf einer Aufbewahrungsfrist.

Da diese Fristen automatisch ablaufen, kann es täglich erforderlich sein, Daten zu löschen. Schon bei wenigen Datensätzen ist ein manuelles Löschen nicht mehr praktikabel und zu aufwendig. Daher muss das Prüfen und Löschen von personenbezogenen Daten mindestens einmal täglich automatisiert über einen Hintergrundprozess erfolgen.

Obwohl die Löschpflicht klar in der EU-DSGVO verankert ist, sollte das automatische Löschen bei SaaS-Produkten als vertragliche Leistungsanforderung festgelegt werden. So können SaaS-Anbieter diese Vorgabe gezielt umsetzen und prüfen. Dies hilft, unerwartete Kosten oder Streitigkeiten zwischen Auftraggeber und Auftragnehmer zu vermeiden.

Standard-SLAs von Cloud-Anbietern: Änderungen und Prüfrechte

Viele Cloud-Anbieter und speziell die drei bekannten Hyperscaler Amazon, Google und Microsoft besitzen Standardbedingungen (Service Level Agreements – SLA) für die Nutzung ihrer Cloud-Dienste.

Die Standard-SLAs von Microsoft Azure⁷ definieren zu den 140 Cloud- Diensten Details, wie Speicherort der Daten, Reaktionszeiten, Verfügbarkeiten und viele weitere Informationen.

Diese SLAs unterscheiden sich je nach Cloud-Dienst teilweise stark, zudem werden die SLAs fast jeden Monat aktualisiert. Finanzinstitute haben in der Regel strenge regulatorische Anforderungen und müssen sicherstellen, dass vertragliche Änderungen vorhersehbar und kontrollierbar sind.

Einseitige Änderungen an SLAs müssen daher als problematisch angesehen werden, da sie die langfristige Compliance eines Instituts gefährden können.

Ein weiterer Nachteil der Standard- SLAs besteht darin, dass die durch die BaFin geforderten Prüfrechte nicht ausreichend berücksichtigt werden. Microsoft Azure sichert lediglich das Versenden von Prüfberichten durch Drittfirmen zu. Weder die Auswahl dieser Drittfirmen noch eine eigene Prüfung oder Prüfrechte der Bankaufsicht werden in den Standard-SLAs zugesichert.

Daher empfehlen wir, individuelle Enterprise-Agreements und Verträge mit dem Cloud-Anbieter abzuschließen, in denen einseitige Änderungen ausgeschlossen und beispielsweise die erforderlichen Prüfrechte garantiert werden.

Fazit

Wir empfehlen, die hier beschriebenen Beispiele – und weitere relevante Themen – in spezifische Checklisten und Prozesse für Cloud- Projekte zu integrieren. Auf diese Weise können Finanzinstitute Cloud- Projekte effizient, konform und vor allem planbar umsetzen.