iStock

Eine deutsche oder EU-Cloud alleine reicht nicht für den Datenschutz

Viele Projekte und Anbieter versuchen, eine Cloud „made in EU“ zu erreichen, um so den EU-Datenschutz gewährleisten zu können. Eine Bestandsaufnahme.

Dieser Artikel behandelt

Cloud-Sicherheit

Der Wunsch nach einer EU-Cloud ist nicht neu. Bereits 2013 wurde das EU-Projekt „Cloud for Europe“ gestartet. Ziel des Projektes, das noch bis 2016 läuft, ist es insbesondere, Vertrauen in ein europäisches Cloud Computing zu schaffen. Bei Projektstart betonte die damalige IT-Beauftragte der Bundesregierung, dass Datenschutz und Datensicherheit in der Cloud einen hohen Stellenwert haben müssen, um Vertrauen in deren Nutzung zu schaffen. Hierzu fehlten noch befriedigende Regelungen in Deutschland und der EU, so Staatssekretärin Cornelia Rogall-Grothe.

Nach der Entscheidung des Europäischen Gerichtshofes (EuGH), dass die Safe-Harbor-Entscheidung der EU-Kommission ungültig ist, wird der Ruf nach einer EU-Cloud noch lauter. Verschiedene Vorhaben möchten Cloud Computing nicht nur auf die EU beschränken, sondern nur Cloud Computing aus Deutschland zulassen. So besagt zum Beispiel der Beschluss des IT-Rates zur Nutzung von Cloud-Diensten durch die Bundesverwaltung, dass die von den Einrichtungen des Bundes gehaltenen schützenswerten Informationen (zum Beispiel  Betriebs- und Geschäftsgeheimnisse, sensible Daten über IT-Infrastrukturen des Bundes) ausschließlich in Deutschland verarbeitet werden dürfen.

Initiativen für eine EU-Cloud oder deutsche Cloud

Parallel zu den Bestrebungen hin zu einer rein deutschen Cloud und Initiativen wie German Cloud und Deutsche Wolke hat die EU-Kommission eine Initiative für eine europäische Cloud angekündigt. Ein wesentlicher Antrieb bei diesen Vorhaben ist es, durch die Begrenzung des Cloud Computing auf die EU oder auf Deutschland die Datenschutzfrage zu lösen, ob die Cloud-Daten denn unter einem angemessenen Datenschutzniveau verarbeitet werden.

Es bleibt allerdings zuerst zu klären, ob mit einer Cloud aus Deutschland oder aus der EU wirklich alle Fragen des Datenschutzes geklärt werden können. Festzustellen ist, dass Datenschutzkontrollen auch bei einer rein deutschen Cloud oder einer EU-Cloud notwendig sind. Um die sogenannte Auftragskontrolle nach Bundesdatenschutzgesetz (BDSG), die vergleichbar in der geplanten EU-Datenschutz-Grundverordnung (EU-DSGVO) vorgesehen ist, kommt der Cloud-Nutzer bislang nicht herum.

Cloud hosted in Europe oder made in Europe

Bei der Prüfung der Idee einer EU-Cloud oder deutschen Cloud sollte auch bedacht werden, ob die Cloud innerhalb Deutschlands oder der EU betrieben wird oder ob tatsächlich alle Cloud-Bestandteile aus Deutschland oder der EU stammen. Die Bestandteile einer Cloud-Lösung sind sehr vielfältig und umfassen neben dem Rechenzentrum, in dem die Cloud-Dienste betrieben und die Daten gespeichert werden, auch Elemente wie die IT-Sicherheitslösungen im Rechenzentrum, die Netzwerke bis hin zum Cloud-Nutzer, die Cloud-Apps und Cloud-Plattformen, die Monitoring-Lösungen, Lösungen für das Notfall-Management oder auch Support-Lösungen und Support-Personal.

Bei einer Cloud, die nur in der EU oder in Deutschland betrieben wird, kann es zum Beispiel zu Support-Zugriffen aus einem Drittland kommen, oder es werden Komponenten verbaut, die aus einem Drittland stammen. In diesem Fall kann ein Datenzugriff und damit rechtlich gesehen eine Datenübermittlung in einen Drittstaat nicht automatisch ausgeschlossen werden.

Cloud-Nutzer, die von einer EU-Cloud oder deutschen Cloud im Sinne des Datenschutzes profitieren wollen, sollten also genau prüfen, ob die jeweilige Cloud wirklich „made in Germany“ oder „made in EU“ ist oder nur dort betrieben wird. Nur eine Cloud „made in EU“ und eine Begrenzung des Datenaustausches auf den EU/EWR-Raum kann die Frage nach der Zulässigkeit einer Datenübermittlung wirklich umgehen.

Begrenzung der Cloud erscheint nicht sinnvoll

Ein weiterer Aspekt sollte bei der Prüfung bedacht werden, ob man eine deutsche Cloud oder EU-Cloud nutzt, um die Datenschutzprobleme zu lösen, die durch das aktuelle Safe-Harbor-Urteil nochmals unterstrichen wurden: Das Internet ist global angelegt, wesentliche Ideen hinter Cloud Computing sind die Flexibilität und Standortunabhängigkeit der Nutzung. Zudem sind gerade in Deutschland die Wirtschaftsbeziehungen meist international angelegt, die digitale Wirtschaft kann deshalb nicht ohne weiteres begrenzt sein.

Unternehmen sollten sich nicht allein auf eine Entwicklung hin zu einer reinen EU-Cloud oder deutschen Cloud verlassen, um die herrschenden Datenschutzfragen bei Cloud Computing zu lösen.

Aus diesen Überlegungen folgt, dass Unternehmen sich nicht auf eine Entwicklung hin zu einer reinen EU-Cloud oder deutschen Cloud verlassen dürfen. Vielmehr sollten seitens der EU die datenschutzrechtliche Grundlagen und die IT-Sicherheitsmaßnahmen für das grenzüberschreitende Cloud Computing in Angriff genommen werden. Die Artikel-29-Datenschutzgruppe hat eine Frist bis Ende Januar 2016 gesetzt, bis zu der die EU-Verhandlungspartner die Vorgaben des EuGH in den laufenden Verhandlungen mit den USA umzusetzen haben. Cloud-Nutzer sollten sich deshalb fortlaufend informieren, wie die rechtlichen Grundlagen für ein Cloud Computing aussehen können, wenn Cloud-Daten in einen Drittstaat übermittelt werden sollen. Die aktuelle Stellungnahme der EU-Kommission und der deutschen Aufsichtsbehörden für den Datenschutz werden zur Lektüre empfohlen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close