Datenschutz beim Cloud Computing

Die Daten aus der Hand geben?

Beim Thema Cloud Computing gehen die Meinungen weit auseinander, das wurde auf der diesjährigen Cebit einmal mehr deutlich. Zwar stand das Thema im Fokus wie nie zuvor, doch ausgereift sind Cloud-Modelle für viele Experten noch nicht. Natürlich werben Anbieter zunehmend mit den Vorteilen von Cloud Computing, etwa mit der bedarfsgerechten Nutzung von IT-Leistungen und der daraus angeblich resultierenden Kostenersparnis, doch gerade im Mittelstand zögern die Unternehmen bislang, Cloud-Dienste auch wirklich in Anspruch zu nehmen. Fragen nach dem konkreten Nutzen auf der einen und Sicherheitsbedenken auf der anderen Seite sind präsenter denn je.

Laut einer Studie des Bundesverbandes Bitkom soll fast jedes dritte Unternehmen dem Thema Cloud Computing aufgeschlossen und interessiert gegenüberstehen. Aufgeschlossen und interessiert heißt jedoch nicht, dass die IT-Auslagerung in die Wolke auch wirklich vollzogen wird. Im Mittelstand jedenfalls ist zu beobachten, dass Unternehmen bislang noch zögern, obwohl Vorteile auf der Hand zu liegen scheinen. Mathias Weber, Bereichsleiter IT-Services beim Bitkom, meint, dass insbesondere neu gegründete Unternehmen von dem sich ständig fortentwickelnden Lösungsangebot profitieren können: „Mittelständler können dynamische IT-Lösungen nutzen, die bisher größeren Unternehmen vorbehalten waren. Sie nutzen die in der Praxis erprobten Angebote des globalen Marktes.“ Außerdem könnten Mittelständler schnell (virtuelle) Unternehmensverbünde gründen und auflösen, um stärker am Markt aufzutreten, etwa durch die Erweiterung und Kombination ihrer Produkt- und Serviceangebote. Von Anbieterseite her stehen vor allem Kostenvorteile im Mittelpunkt. „Unsere Kunden zahlen pro Anwender eine überschaubare monatliche Gebühr. Es fallen keine weiteren versteckten Kosten an und die Kunden müssen sich nicht mit langen Vertragslaufzeiten binden“, erklärt Hansjörg Schmidt, Leiter Marketing bei der Wice GmbH.

Doch selbst die Verlockung nach Kostentransparenz schafft das notwendige Vertrauen in die Cloud bei mittelständischen Unternehmen nur bedingt – denn Transparenz ist wahrlich nicht in jedem Punkt gegeben. Das sieht auch Michael Scheffler, Director Sales CEMEA bei Proofpoint, Anbieter von Cloud-Sicherheitslösungen, so: „Kurioserweise decken sich einige Dienste, die zumindest für Unternehmen Vorteile durch Auslagerung in die Cloud bieten, mit denen, vor denen sich die Unternehmen noch scheuen, da eben geschäftskritische Daten übertragen werden und vor allem noch der Eindruck vorherrscht, diese Daten lägen ‚irgendwo in der Cloud‘.“ Dies halte viele Entscheidungsträger und IT-Abteilungen noch davon ab, ihre Infrastrukturen oder auch nur weniger kritische Dienste in der Cloud zu nutzen.

Problem Datensicherheit?

In Deutschland gibt es generell keine speziellen Datenschutzbestimmungen hinsichtlich Cloud Computing. Vielmehr gilt das sogenannte Bundesdatenschutzgesetz (BDSG), durch das besonders personenbezogene und geschäftskritische Daten geschützt werden sollen. „Niemand möchte zum Beispiel, dass seine internen Finanzpläne, Businessstrategien oder Entwicklungszeichnungen von der Konkurrenz eingesehen werden“, meint Michael Scheffler. Auch die ungewollte Veröffentlichung von Kundendaten, wie es in den vergangenen Jahren auch bei großen Marken passiert ist, schädige das Ansehen eines Unternehmens oder einer Marke nachhaltig. Das gilt natürlich auch für Patente, die Mittelständler in Kooperationen entwickeln und deshalb auch besonders geschützt werden sollten.

Spannend wird es, wenn es um den Ort der Datenlagerung geht. Martin Schweinoch, Partner bei SKW Schwarz Rechtsanwälte in München, erklärt: „Im Prinzip dürfen personenbezogene Daten innerhalb der Europäischen Union (EU) unter denselben Voraussetzungen wie in Deutschland gespeichert werden, wenn auch der Cloud-Anbieter seinen Sitz in Europa hat. Dabei müssen die Voraussetzungen der Auftragsdatenverarbeitung erfüllt sein – das bedeutet die angemessene Auswahl und Kontrolle des Cloud-Anbieters durch den Kunden auch aufgrund einer schriftlichen Vereinbarung.“ Auch sei die Datensicherheit aufseiten der Anbieter durch angemessene technische und organisatorische Schutzmaßnahmen zu gewährleisten.

Ähnlich sieht es Mathias Weber vom Bitkom: „Das BDSG sieht sogenannte Auftragsdatenverarbeiter vor, an die die Weiterleitung von personenbezogenen Daten erlaubt ist. Es lässt eine Auftragsdatenverarbeitung allerdings nur zu, wenn der Auftragnehmer die personenbezogenen Daten im Inland, einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) im Auftrag verarbeitet.“ Der Cloud-Provider müsse also die Cloud in diesem Gebiet betreiben. Dr. Marco Wicklein, Rechtsanwalt von Kleiner Rechtsanwälte, bestätigt, dass personenbezogene Daten in der Cloud gespeichert werden dürfen, sofern die Cloud innerhalb der Europäischen Union beziehungsweise innerhalb des Europäischen Wirtschaftsraumes liege. „Hintergrund hierfür ist, dass die deutschen datenschutzrechtlichen Regelungen auf eine EU-Datenschutzrichtlinie zurückgehen und daher die datenschutzrechtlichen Anforderungen im Grundsatz innerhalb der EU/EWR vergleichbar sind.“

Der unsichere Drittstaat

Auf die Frage, wo die Server, auf denen Unternehmensdaten bei einem Cloud-Modell gespeichert sind, stehen, könnten durchaus exotische Orte wie Indien oder etwa China genannt werden. Dass in jenen Staaten abgeschwächte Datenschutzrichtlinien existieren, wissen viele Unternehmen vielleicht gar nicht. Anwender müssen jedenfalls im Vorhinein darüber informiert werden. Thomas Wilmer, Counsel bei Avocado Rechtsanwälte, erläutert, dass „grundsätzlich jede Datenübertragung an Dritte, also auch in die Cloud, einer Zustimmung der betroffenen Dateninhaber bedarf“. Dies müsse vertraglich geregelt sein – vor allem, wenn es um die Speicherung personenbezogener Daten außerhalb der EU gehe. Martin Schweinoch, Partner bei SKW Schwarz Rechtsanwälte, bekräftigt, dass personenbezogene Daten aus EU und EWR grundsätzlich nicht in Cloud-Rechenzentren in Ländern gespeichert werden dürfen, die kein angemessenes Datenschutzniveau vorweisen könnten. Angemessen sei das Niveau aus Sicht der EU-Kommission außerhalb von EU und EWR nur in sehr wenigen Ländern, etwa der Schweiz und Australien, nicht aber in China oder den USA. „Cloud-Anbieter mit Rechenzentren in Ländern mit abgeschwächten Datenschutzrichtlinien können durch vertragliche Vereinbarungen die strengen EU-Vorgaben erfüllen“, so Schweinoch. Etwas konkreter ergänzt Hansjörg Schmidt von Wice: „Wenn personenbezogene Daten in einen sogenannten unsicheren Drittstaat transferiert werden, müssen zuvor sämtliche betroffenen Personen der Übermittlung zugestimmt haben.“ Daraus lässt sich erahnen, dass mittelständische Anwender also mit ins Boot genommen werden müssen, wenn es um den Ort der Datenlagerung geht.

Sonderstellung USA

Dass das Land der unbegrenzten Möglichkeiten zu einem unsicheren Drittstaat in Bezug auf den Datenschutz deklariert und kategorisiert wird, scheint für manchen eine Überraschung zu sein. Gründe dafür nennt Rechtsanwalt Dr. Marco Wicklein: „Bei den USA besteht die Besonderheit, dass es kein (bundes-)einheitliches Datenschutzrecht gibt, sondern die Datenschutzbestimmungen von Bundesstaat zu Bundesstaat stark variieren. Auch gibt es in den USA keine umfassende unabhängige Datenschutzaufsicht.“ Dazu stelle die EU einheitlich bestimmte Anforderungen an den Datenschutz und damit verbunden an die Datensicherheit, die in dieser Form in den USA nicht gelten, sagt Martin Schweinoch, Partner bei SKW Schwarz Rechtsanwälte. „Das gilt zum Beispiel für die Verwendung von Daten für Werbezwecke oder die Übermittlung von Daten.“ Unternehmen mit Sitz in den USA könnten jedoch durch eine Selbstverpflichtung zur Einhaltung der Safe-Harbor-Grundsätze ein Datenschutzniveau schaffen, dass den strengen EU-Regeln genüge, fügt Schweinoch an. Hansjörg Schmidt, Marketingleiter bei Wice, erklärt es aus Anbietersicht: „Für die USA wird mittels des Safe-Harbor-Abkommens eine Brücke geschlagen. Die Unternehmen haben sich damit zur Einhaltung datenschutzrechtlicher Grundsätze, die denen der EU entsprechen, verpflichtet.“ Dennoch steht Schmidt den US-Datenschutzbestimmungen kritisch gegenüber. Aus gutem Grund, wie er ausführt: „Strittig ist allerdings, inwieweit der Patriot Act das Safe-Harbor-Abkommen und das EU-Recht aushebelt. Der Patriot Act ermöglicht US-Behörden umfangreiche Auskunftsmöglichkeiten und dies auch auf Daten von US-Unternehmen, die in Europa Rechenzentren betreiben.“


Was ist zu beachten?

Mittelständler, die in naher Zukunft den Schritt in die Cloud wagen, sollten vor allem daran denken, dass sie alleine für die Einhaltung der Datenschutzvorschriften vollständig verantwortlich sind. Mathias Weber, Bereichsleiter IT-Services beim Bitkom, rät daher, einen vertrauenswürdigen Cloud-Provider zu wählen, „der seinen Kunden die Option bietet zu entscheiden, in welcher geografischen Region die Cloud-Infrastruktur stehen soll“. Dr. Marco Wicklein empfiehlt, „nur solche Cloud-Anbieter auszuwählen, die sich einem Zertifizierungs- beziehungsweise Gütesiegelverfahren bei einer unabhängigen und kompetenten Prüfstelle unterworfen haben“. Neben dem Datenschutzrecht sollten Anwender auch daran denken, „dass keine Daten ungeprüft in die Cloud übertragen werden sollen, die eigenes schützenswertes Know-How beinhalten oder Dritten gehören und eventuell mit einer Vertraulichkeitsvereinbarung vor einer Datenübertragung geschützt werden sollten“, führt Thomas Wilmer von Avocado Rechtsanwälte aus.
 
Es liegt an den Anbietern, die notwendige Transparenz bei der Einführung eines Cloud-Modells zu schaffen – Mittelständler sollten jedenfalls genau darauf achten, was sie tun, und ruhig einmal abwägen. Denn eine Auslagerung in die Wolke ist für Mittelständler keinesfalls das Patentrezept für Kostenersparnis – in vielen Fällen ergibt eine Auslagerung in die Wolke möglicherweise überhaupt keinen Sinn. In puncto Datensicherheit scheinen Anwender durch das BDSG abgesichert zu sein, solange die Daten auch in Deutschland oder der EU gelagert werden. Außerhalb der EU und gerade in den USA sieht es jedoch so aus, als sei die Datenspeicherung weitaus risikobehafteter. Also vielleicht dann doch lieber die Daten in den eigenen Händen behalten, mit dem Gefühl, dass diese „im eigenen Unternehmen“ auch sicher lagern.


Bildquelle: © iStockphoto.com/Nastco

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok