Datenschutzkonforme Archivierung in der Cloud
Datenschutzkonforme Archivierung in der Cloud
RA Ulrich Emmert, Stuttgart
Revisionssichere Archivierung von Buchhaltungsdaten und E-Mails ist schon seit 1.1.2002 für alle Unternehmen zur Pflicht geworden, aber immer noch gibt es zahlreiche Unternehmen, die den Aufwand einer fälschungssicheren Speicherung scheuen.
Kleine Unternehmen scheuen nicht so sehr die Lizenzkosten einer Softwarelösung zur Archivierung, sondern vor allem die Kosten für die Installation und die Schulung der Mitarbeiter. Datenschutzrechtlich ist zu befürchten, dass bei einer zentralen Archivierungslösung gleichzeitig die Möglichkeiten der Überwachung von der Geschäftsleitung dazu benutzt werden, Verhalten und Leistung der Mitarbeiter zu kontrollieren.
Posteingänge werden auch heute noch meistens per Papier verteilt und sind nach der Einsortierung in Papierakten nicht mehr auf einfache Weise zu finden. Papierdokumente können auf einfache Weise mit falschem Datum versehen werden, Papierdokumente ohne Unterschrift können bei Fälschungen nur sehr schwer erkannt werden.
Der Aufbau einer eigenen Sicherungsinfrastruktur mit qualifizierten elektronischen Signaturen und qualifizierten externen Zeitstempeln ist für die meisten Firmen nicht sinnvoll. Daher eignet sich eine solche Aufgabe sehr gut dazu, diese im Auftrag von einer Fremdfirma durch einen Cloud-Dienst erledigen zu lassen.
Bei schriftformgebundenen Dokumenten ist es jedoch notwendig, dass eigene qualifizierte Signaturen angebracht werden, daher ist hier eine Signatur auf Clientseite erforderlich. Daher muss hier durch eine JAVA-basierte Applikation dem Client ermöglicht werden, mit einem geeigneten Chipkartenleser eine Signatur anzubringen.
Soll der gesamte Posteingang digitalisiert werden, hat der externe Dienstleister Zugriff auf den gesamten Schriftverkehr der Firma. Dies kann bei geheimhaltungsbedürftigen Daten oder besonders schutzwürdigen Daten z.B. nach § 3 Abs. 9 BDSG ein erhebliches Problem für viele Firmen darstellen und ein Grund sein, keinen externen Anbieter damit zu beauftragen. Damit wären jedoch die Kostenvorteile einer zentralen Lösung für viele Firmen und die gemeinsame Verwendung von Zeitstempeln dahin.
a) Übermittlung nur der Hashwerte
Die Ermittlung eines digitalen Fingerabdrucks (Hashwertes) ist jedoch auch im Client möglich. Durch die lokal angebrachte Signatur wird der Hashwert des Dokuments ermittelt. Es ist nicht erforderlich, das Dokument selbst an den Clouddienst zu übermitteln, sondern es ist ausreichend, den Hashwert zu übertragen. Damit kann datenschutzkonform auch bei größerem Geheimhaltungs- und Sicherheitsbedarf die Integrität von elektronischen Dokumenten durch einen externen Dienstleister gesichert werden. Auf dem Server kann die Beweissicherung durch Sicherung der Integrität der Daten durch Verkettung von digitalen Fingerabdrücken und abschließendem Zeitstempel erreicht werden, ohne Daten selbst zu kennen. Lokal auf dem Client kann das Dokument durch ein JAVA-Applet in das Langzeitarchivierungsformat PDF/A gewandelt und nach Referenznr. sortiert abgelegt werden.
b) Rückübertragung nach Zeitstempelung am Ende des Tages
Wenn die Übermittlung des Dokumentes über eine verschlüsselte Verbindung möglich ist, kann das Dokument auf dem Server in das Langzeitarchivierungsformat PDF/A gewandelt werden und nach Texterkennung qualifiziert vom Client oder vom Server aus signiert werden. Durch die Einbettung des Textes in das PDF/A-Dokument wird das Dokument selbst durchsuchbar, durch die Aufnahme des Textes in eine Datenbanksuche mit Volltextindex kann über die Datenbank schnell und einfach gesucht werden. Aus Datenschutzgründen ist es jedoch erforderlich, die zu durchsuchenden Daten an die jeweilige Berechtigung des angemeldeten Nutzers zu knüpfen und nur bei bestimmten Kombinationen von Berechtigungen eine Recherche über mehrere Benutzerkennungen zuzulassen.
Es ist möglich, durch den täglichen Zeitstempel sowohl die in der Datenbank gespeicherten Daten mit Ausnahme der Hashwerte und der dort gespeicherten Signaturen auf den Client zu übertragen. Nur im Falle einer erforderlichen Nachsignatur wegen nachlassender Schlüsselstärke der Signatur oder des Hashverfahrens (vgl. auch BSI TR3125) muss der Nutzer die Daten nochmals dem Server verfügbar machen. Findet die Nachsignatur noch während der Gültigkeit der bisherigen Signatur statt, kann durch ein Java-Programm die Integrität der neu zu signierenden Daten mit den schon signierten Daten ohne Übermittlung an den Server gewährleistet werden.
Dazu erforderlich ist natürlich, dass die Java-Applikation nicht manipuliert wird und vor der Ausführung auf die Integrität der Signatur des Applets geprüft wird.
c) Verschlüsselung
Digitale Dateien können vor der Übertragung in das Archiv mit einem Verschlüsselungszertifikat des Kunden mit starker Kryptographie gesichert werden, so dass nur der Kunde in der Lage ist, die Daten zu lesen. Die Daten werden direkt beim Kunden in einem Java-Applet verschlüsselt, so dass der Server zu keinem Zeitpunkt die unverschlüsselten Daten übermittelt bekommt. Anders sieht es bei einzuscannenden Daten aus:
Hier kann der Cloud-Nutzer zwischen 3 Verfahren wählen:
1. Der Cloud-Nutzer scannt die Daten selbst ein. Dann kann er die Daten in verschlüsselter Form an den Cloud-Service senden.
2. Der Cloud-Nutzer verwendet die Möglichkeit, direkt über ein Browser-Plugin zu scannen. In diesem Fall werden die Daten transportverschlüsselt und zum Server übertragen. Dort wird eine leistungsfähige Texterkennung vorgenommen, um die Inhalte durchsuchbar zu machen. Anschließend werden die Daten verschlüsselt, signiert und mit einem Zeitstempel gegen nachträgliche Änderung gesichert. Die unverschlüsselten Daten werden sofort nach der Verschlüsselung revisionssicher gelöscht.
3. Der Cloud-Nutzer übergibt dem Scan-Service des Cloud-Anbieters die Daten zum Einscannen. Dort werden die Dokumente gescannt, mit einer leistungsfähigen OCR versehen und in Form eines durchsuchbaren PDF/A-Dokumentes zwischengespeichert. Die Datei wird anschließend mit dem Verschlüssungszertifikat des Cloud-Nutzers verschlüsselt und das Originaldokument revisionssicher gelöscht. Das Ergebnis wird mit Signatur und Zeitstempel versehen und gespeichert.
d) Blinde Signaturen
Wenn auf der Serverseite nicht nur Hashwerte mit einem abschließenden Tageszeitstempel angebracht werden sollen, sondern die Dokumente nochmals signiert werden sollen, ohne zugleich Kenntnis von den einzelnen Dokumenten zu erhalten, ist auch dies möglich. David Chaum hat bereits 1990 die Firma Digicash gegründet, um einen anonymisierten Zahlungsverkehr über das Internet möglich zu machen. Er entwickelte das Verfahren der so genannten „Blinden Signatur“ basierend auf dem RSA-Kryptoverfahren. Damit ist es möglich, ein Dokument so zu verschlüsseln, dass es signiert werden kann und nach Entschlüsselung die Signatur noch verifiziert werden kann, der Signierende aber bei der Unterschrift keine Kenntnis vom Dokumentinhalt nehmen kann.
Der Beweiswert von Cloud-gesicherten Dokumenten kann nur dann erreicht und erhalten werden, wenn die jeweiligen gesetzlichen Anforderungen eingehalten werden.
Bei Verwendung qualifizierter elektronischer Signaturen nach dem Signaturgesetz kann nach § 371a ZPO faktisch ein ebenso hoher Beweiswert erreicht werden wie mit der handschriftlichen Unterschrift auf Papier (§ 416 ZPO). Bei qualifizierten Signaturen öffentlicher Stellen gilt nach § 371a Abs. 2 ZPO sogar die Echtheitsvermutung des 437 ZPO für öffentliche Urkunden. Aber selbst ohne die Verwendung von qualifizierten Signaturen kann im Rahmen der freien Beweiswürdigung ein hoher Beweiswert erreicht werden, wenn technisch die Sicherheit des Verfahrens lückenlos nachgewiesen werden kann. Das kann zb durch die Sicherung des Dokumentes über Hashbäume nach Merkle gemäß der TR-ESOR des BSI erfolgen.
Nach den Aufbewahrungsvorschriften des Handelsgesetzbuches und der Abgabenordnung ist es zulässig, Daten auch auf Daten- oder Bildträgern aufzubewahren (§ 257 Abs. 3 HGB bzw. § 147 Abs. 5 AO). Nach den GoBS ist dazu eine Verfahrensdokumentation erforderlich, in der unter anderem beschrieben ist, wer scannt, wie gescannt wird und wie die Übereinstimmung des Scans mit dem Original kontrolliert wird.
2008 hat das Bundeswirtschaftsministerium bereits einen Handlungsleitfaden für das ersetzende Scannen herausgegeben. Das BSI veröffentlicht im Herbst 2012 die TR RESISCAN mit Verfahrensanweisungen zum ersetzenden Scannen für die Verwaltung.
Es ist auch bei einem cloudbasierten Verfahren möglich, die Sorgfalts- und Verfahrenshinweise der Technischen Richtlinie zu beachten. Damit wird es für viele kleinere Firmen erst möglich, das papierlose Büro zu verwirklichen, da sich ein kleines Unternehmen weder selbst mit Hashbäumen befassen noch den Aufwand einer komplexen Softwareinstallation und entsprechendem Schulungsaufwand tragen will.
Verfahren, die keine Möglichkeit der Kenntnisnahme von personenbezogenen oder sonst geheimhaltungsbedürftigen Daten bieten, haben erhebliche datenschutzrechtliche Vorteile. Werden die Daten wie in Variante a nicht übertragen oder wie in Variante c nur in RSA-verschlüsselter Form mit ausreichender Schlüssellänge, dann liegen keine personenbezogenen Daten im Sinne des Datenschutzrechtes mehr vor. Das bedeutet, dass hier Clouddienste auch im internationalen Bereich angeboten werden können, ohne auf die Beschränkungen der EU-Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 oder zukünftig auf die EU-Datenschutzverordnung, die frühestens 2015 in Kraft treten wird, Rücksicht nehmen zu müssen.
Um personenbezogene Daten in Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums zu übertragen, sind Vorkehrungen zu treffen, dass auch beim Empfänger ein entsprechendes Datenschutzniveau gewährleitet ist. Das kann über Anwendung der EU-Standardvertragsklauseln für den Datenschutz, über Binding Corporate Rules im Konzern, über die freiwillige Akzeptanz entsprechender Regeln durch US-amerikanische Firmen nach dem Safe-Harbor-Abkommen (empfohlen nur mit Nachprüfung gemäß Beschluss des Düsseldorfer Kreises vom 28./29.4.2010) oder durch Anerkennung eines gleichwertigen Datenschutzniveaus durch die EU-Kommission geschehen.
Bei personenbezogenen Daten ist Auftragsdatenverarbeitung wegen § 3 Abs. 8 BDSG nach Meinung vieler Datenschützer nur im Bereich von Europäischer Union und Europäischem Wirtschaftsraum möglich.
Seit Februar 2010 ist es zwar mit Hilfe der reformierten EU-Standardvertragsklauseln auch möglich, Auftragsdatenverarbeitung bei Beteiligung von Partnern außerhalb von EU/EWR abzubilden. Jedoch ist es wesentlich einfacher, beim Angebot von Cloud-Diensten auf die Erstellung und Verwendung komplizierter Vertragsverhältnisse verzeichten zu können und trotzdem weltweit diese Cloud-Archivierungsdienste anbieten und verwenden zu können.
Durch die Kombination des Scannens nach den Empfehlungen der neuen Technischen Richtlinie TR-RESISCAN und der Signatur von verknüpften Hashwerten in Anlehnung an die Richtlinie TR-ESOR, die vom BSI für kryptographisch gesicherte Dokumente der Bundesverwaltung vorgesehen ist, kann ohne großen technischen Aufwand beim Client ein sehr hoher Beweiswert erreicht werden, ohne dazu Datenschutzrisiken eingehen zu müssen.
Ulrich Emmert, Rechtsanwalt bei esb Rechtsanwälte, Schockenriedstr. 8A, 70565 Stuttgart (www.kanzlei.de), Lehrbeauftragter für Online-, Urheber- und Wettbewerbsrecht an der Hochschule für Wirtschaft und Umwelt (www.hfwu.de)
Vorstand der Reviscan AG (www.reviscan.de)