Die wichtigsten Datenschutz-Vorgaben für die Cloud

Vor der Cloud-Nutzung muss der Datenschutz geklärt werden. Der Standort der Cloud ist wichtig, aber nicht der einzige Aspekt, der geprüft werden muss.

31 Prozent der von NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.) befragten Unternehmen halten es für wichtig, Anbieter von Cloud-Services insbesondere im Bereich Datenschutz genau zu überprüfen.

Standortfrage klären

25 Prozent der deutschen Unternehmen meiden aus Datenschutzgründen Cloud-Anbieter aus den USA. Somit kommt der Standortfrage beim Datenschutz in der Cloud eine große Bedeutung zu.

Bei der aktuellen, sehr wichtigen Standortdiskussion im Cloud Computing sollte allerdings nicht vergessen werden, dass alleine die Wahl eines Cloud-Standortes innerhalb Deutschlands oder des EU/EWR-Raumes nicht ausreicht. Für den Datenschutz in Clouds gilt es zahlreiche weitere Punkte zu beachten.

Verfügbarkeit nicht vergessen

Bei Datenschutz denken viele zuerst an den Schutz der Vertraulichkeit der Daten, die in eine Cloud ausgelagert werden sollen. Doch die beiden anderen klassischen Schutzziele, die Integrität und die Verfügbarkeit der Daten, spielen ebenfalls eine wichtige Rolle. Wie bedeutsam zum Beispiel die Verfügbarkeitsforderung ist, die der Datenschutz in den sogenannten technisch-organisatorischen Maßnahmen nennt, zeigen die Erfahrungen von aktiven Cloud-Anwendern.

So berichtet die Studie „The Hidden Cost of Managing Applications in the Cloud” von Research in Action, dass sich 64 Prozent der Cloud-Anwender wegen Engpässen in der Cloud-Performance sorgen. 51 Prozent fürchten um die Auswirkungen der unzureichenden Cloud-Performance auf ihr Image beim Kunden. 44 Prozent sehen die Gefahr von Umsatzverlust, wenn die Cloud-Performance nicht stimmt. Die implizierte Forderung nach einer besseren Cloud-Performance aber gehört in die Datenschutzprüfung, wenn Cloud-Dienste genutzt werden sollen. Ist die Cloud schlecht oder gar nicht erreichbar, ist auch die gesetzlich geforderte Datenverfügbarkeit bedroht.

Datenschutz im Vertrag regeln

Cloud-Interessenten sollten das Thema Datenschutz nicht nur bei Performance-Tests, sondern auch bei der Prüfung von Angeboten und Verträgen im Blick behalten. Die entsprechende gesetzliche Forderung nach einer Datenschutzkontrolle besteht insbesondere dann, wenn personenbezogene Daten durch den Cloud-Dienst verarbeitet werden sollen (Auftragsdatenverarbeitung). Die Datenschutzvorgaben nennen mehrere Punkte, die in einem Cloud-Vertrag nicht fehlen sollten. Das gilt zum Beispiel für die Festlegung von Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten. Außerdem betrifft es die Art der Daten und den Kreis der Betroffenen. Ferner gehören dazu die vom Cloud-Anbieter zu treffenden technischen und organisatorischen Maßnahmen (auch z.B. hinsichtlich Verfügbarkeit), die Berichtigung, Löschung und Sperrung von Daten. Nicht zu vergessen sind auch die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen und die Kontrollrechte des Auftraggebers.

Datenschutz-Maßnahmen des Cloud-Anbieters hinterfragen

Die Kontrollrechte des Auftraggebers sind elementar wichtig, denn bei Cloud Computing kann letztlich alles an Dritte ausgelagert werden, ausgenommen die Verantwortung für den Datenschutz und für andere Compliance-Vorgaben. In der Praxis jedoch haben viele Anwenderunternehmen große Schwierigkeiten damit, das Datenschutzniveau eines Cloud-Anbieters einzuschätzen und zu bewerten. Hier können Cloud-Zertifikate helfen, wenn sie denn wirklich aussagekräftig sind und die deutschen oder europäischen Datenschutzvorgaben als Grundlage haben.

Vor der Cloud-Nutzung an den Ausstieg denken

Die Forderung nach der Verfügbarkeit personenbezogener Daten sollte sich nicht nur in den Service Level Agreements (SLAs) mit dem Cloud-Anbieter widerspiegeln. Verfügbarkeit bedeutet auch, dass bei Vertragsbeendigung mit dem Cloud-Anbieter die Möglichkeit gegeben sein muss, die Daten wieder ins eigene Netzwerk oder zu einem anderen Cloud-Provider umzuziehen. Das Ausstiegsszenario mit der Forderung nach definierten Schnittstellen und nach Migrationsunterstützung gehört bereits in den ersten Cloud-Vertrag.

Verschlüsseln, trennen und löschen

Bevor Daten in eine Cloud ausgelagert werden, darf die Verschlüsselung nicht fehlen, denn Cloud-Daten müssen nicht nur vor unerlaubten Zugriffen Dritter geschützt werden, die von außen auf die Cloud zugreifen. Auch die Administratoren beim Cloud-Anbieter dürfen keine Möglichkeit haben, den Datenschutz zu umgehen. Hier besteht allerdings bei vielen Cloud-Nutzern Nachholbedarf. Selbst bei IT-Unternehmen verschlüsseln nur 47 Prozent ihre Daten vor der Übertragung in die Cloud, wie eine BITKOM-Umfrage ergab.

Eine offene Flanke im Cloud-Datenschutz ist oftmals auch die Löschung der Daten in der Cloud, sobald diese ihren Zweck erfüllt haben und keine Aufbewahrungspflicht mehr besteht. Weiterer Handlungsbedarf besteht aus Datenschutzsicht, wenn Unternehmen eine Public Cloud nutzen, die Cloud also mit anderen Anwendern teilen. Hier fordert der Datenschutz eine klare Trennung der Daten nach einzelnen Mandanten, also Anwenderunternehmen oder -gruppen.

Fazit: Cloud-Datenschutz hat viele Facetten

So vielfältig die Cloud-Angebote auf dem Markt inzwischen sind, so facettenreich sind die Datenschutzanforderungen an Cloud Computing. Das wird bereits sichtbar an den zahlreichen Empfehlungen für Cloud-Nutzer, die zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik oder die Aufsichtsbehörden für den Datenschutz geben. Das neue Projekt „Cloud for Europe“ wird ebenfalls Datenschutzempfehlungen entwickeln.

Entscheidend ist, bei den zahlreichen Empfehlungen nicht den Überblick zu verlieren und deshalb bei einzelnen Punkten wie der Standortfrage des Cloud-Betriebs zu verharren. Die zentralen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sowie die technischen Hauptgebote im Datenschutz stehen bei allen Empfehlungen im Mittelpunkt. Sie sollten Ausgangsbasis jeder eigenen Cloud-Prüfung sein.

Artikel wurde zuletzt im November 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close