Wenn die Wolke brennt

Daten in einer Cloud sind für viele Menschen ein abstraktes Konstrukt. Diese Daten liegen nach einhelliger Meinung „irgendwo“ auf einem Server, erreichbar von überall auf der Welt. Durch sichere Bauten vor Naturkatastrophen geschützt und jederzeit wiederherstellbar.

Dieses Bild bekam in der Nacht vom 10. März für viele Kunden des französischen Cloud-Dienstleister OHV einen deutlichen Dämpfer. Es war vorerst nur eine kleine Randnotiz in den Nachrichten, dass ein Rechenzentrum des französischen Cloud-Dienstleisters OHV in Straßburg brannte. Jedoch hatte dieses Ereignis große Auswirkung auf eine Vielzahl von Unternehmen und auch stattliche Stellen oder Behörden, welche ihre Daten hier sicher und gut aufgehoben sahen.

Für einen Teil der Kunden bedeutete der Brand nur einen zeitweiligen Verlust von Daten. Diese setzten im Anschluss einen „Disaster Recovery Plan“ um, für die Widerherstellung der verlorenen Daten mittels lokaler Backups oder Sie hatten mit OHV ein Backup auf einem anderen Ihrer 31 Rechenzentren vertraglich vereinbart. Stichwort „Redundante Datenhaltung“.

Solche Wiederherstellungen sind in der Regel ein erprobtes Verfahren, umgesetzt durch die unternehmenseigene IT oder den beauftragten Dienstleister. Für diese Kunden war die komplette Vernichtung von „S(traß)B(ur)G-1“ sowie die Beschädigung von „SGB-2“ nur ein Ärgernis und verbunden mit einem überschaubaren Zeit- und Arbeitsaufwand. Vorsorglich wurden die Bereiche „SBG-3“ und „SBG-4“ aus Sicherheitsgründen kontrolliert heruntergefahren. Hierdurch waren tausende Websites und Mailserver von Unternehmen und sogar Behörden betroffen.

Leider hatten nicht alle Kunden diese empfohlenen Vorsorgemaßnahmen getroffen. So musste u.a. der Spielebetreiber Facepunch den Verlust von 25 Servern verlautbaren. Es ist zu vermuten, dass auch kleinere Unternehmen die kostenpflichtige Option einer redundanten Datenhaltung bzw. eines BackUps nicht in Anspruch genommen haben. Das letztendliche Ausmaß ist noch nicht abzusehen. Jedoch mehren sich jetzt schon Stimmen in den Medien, welche die Brandschutzmaßnahmen vor Ort als mangelhaft bezeichnen.

Welche Rolle spielt der Datenschutz in dem Ereignis? Artikel 32 der DSGVO beschreibt die Vorgaben zur Sicherheit der Verarbeitung von personenbezogenen Daten. Schaut man genauer auf die Vorgaben „treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen […] diese Maßnahmen schließen […] ein: […] (1) c die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“.

Streng ausgelegt stellt der Verlust von personenbezogenen Daten und die mangelnde Fähigkeit sie wiederherzustellen einen Verstoß gegen Art.32 DSGVO dar. Diesen Vorwurf wird sich das ein oder andere Unternehmen gefallen lassen müssen, welches auf die Sicherheit von OHV spekulierte und auf das kostenpflichtige BackUp verzichtete. Bei Totalverlust müssen im schlimmsten Fall Kunden kontaktiert werden und Daten neu erhoben oder abgeglichen werden. Der Vollständigkeit halber sei an dieser Stelle anzumerken, dass der Verlust von Daten, unter Umständen, wenn es sich um personenbezogene Daten handelt, eine Verletzung des Schutzes personenbezogener Daten darstellt und mithin ein meldepflichtiger Vorfall ist, den es gilt an die entsprechende Aufsichtsbehörde zu melden.

Solch ein Ereignis sollte jedes Unternehmen dazu bringen die eigenen technischen und organisatorischen Maßnahmen nochmalig mit der IT zu prüfen. Stichwort „Disaster Recovery Plan“ und Backup der eigenen Daten. Als auch einen Prozess im Unternehmen implementiert haben, der eine schnelle und zeitnahe Identifizierung eines möglichen Datenschutzvorfalls ermöglicht sowie eine fristgerechte Meldung – binnen 72 Stunden – an die Aufsichtsbehörde gewährleistet.

Update: Ob die Vernichtung von personenbezogenen Daten durch diesen Brand Meldepflichtig ist, wurde inzwischen von der französischen Datenschutzaufsichtsbehörde (CNIL) erläutert. Wer keinen Data Recovery Plan oder Business Continuity Plan hatte und somit die kompletten oder einen Teil der Daten verloren hat, muss dieses als Datenschutzvorfall melden. Sollten die Widerherstellung der Daten allerdings vollständig aus einem BackUp erfolgreich gewesen sein und die Übergangszeit, währenddessen die Daten nicht verfügbar waren, kein Risiko für die Betroffenen verursachen, so besteht keine Meldepflicht.

Der vorliegende Fall beweist wieder: Datenschutz bleibt spannend.