Pro & Contra: Datenschutzgesetze gegen Cloud Computing
Datenschutz für Cloud Computing – störende Bremse oder unverzichtbar?
09.09.2009 | Redakteur: Peter Schmitz
CONTRA: Datenschutz ist „Cloud-Enabler“, nicht Verhinderer
Marit Hansen, stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein meint:
Cloud Computing erweckt den Anschein, die Anwender müssten sich keine Gedanken darüber machen, auf welchen Systemen welche Daten verarbeitet werden. Weit gefehlt: Wie auch in allen anderen Informations- und Kommunikationssystemen sind beispielsweise die Sicherheitsfeatures der beteiligten Komponenten und die Interessen der beteiligten Akteure von großer Bedeutung, um das Risiko bezüglich der klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit abzuschätzen.
Bei der Verarbeitung personenbezogener Daten kommen die Regelungen aus den jeweiligen Datenschutzgesetzen hinzu. Bei der Verarbeitung von Unternehmensdaten spielt analog die Notwendigkeit des Schutzes von Geschäftsgeheimnissen eine Rolle. Egal ob es um personenbezogene Daten oder um sensitive Unternehmensdaten geht: Unberechtigte Zugriffe müssen unterbunden werden.
Leider kann man nicht davon ausgehen, dass die Betreiber von Komponenten im Cloud Computing ihre Services unter Einhaltung höchster Sicherheitsgarantien erbringen. Nach unserer Beobachtung verweigern die meisten Cloud-Anbieter die verbindliche Zusage von Sicherheitsmaßnahmen, wie dies zum Beispiel durch Security-Service-Level-Agreements (SSLA) möglich wäre - stattdessen bleiben sie in ihren Aussagen zu Sicherheitsmaßnahmen (bewusst?) „wolkig“.
Selbst wenn man unterstellt, dass die Betreiber selbst keinen Blick in die verarbeiteten Daten werfen, ist ein Schutz vor unerwarteten Zugriffen nicht gewährleistet. Beispielsweise wenn nationale Geheimdienste aus Gründen der vielfach als Argument angeführten „inneren Sicherheit“ die Daten analysieren oder sogar explizit Industriespionage-Aufgaben ausüben. Das kann nicht im Interesse der Unternehmen sein unabhängig davon, ob es um personenbezogene Daten oder Geschäftsgeheimnisse geht. Die Angst vor Industriespionage insbesondere aus aufstrebenden Drittstaaten dient Anbietern von Sicherheitslösungen gern als Vertriebsargument - soll diese reale Gefahr nun im Cloud Computing nicht betrachtet werden?
Die Harmonisierungsbestrebungen der Europäischen Union haben für die Verarbeitung personenbezogener Daten bereits Früchte getragen: Zu diesem Thema liegen nämlich seit 1995 harmonisierte Regelungen in Form einer Datenschutzrichtlinie vor, die ein einheitliches Schutzniveau versprechen. Und diese Vorarbeit der Datenschutzbeauftragten gilt es jetzt im Cloud-Business zu nutzen. In den EU-Ländern können die jeweiligen Datenschutzaufsichtsbehörden die Einhaltung der Regelungen prüfen. Die Datenschutzrichtlinie sieht vor, dass ein Datentransfer in Drittstaaten grundsätzlich nur erfolgen darf, wenn dort ein angemessenes Schutzniveau im Sinne der EU-Regelungen herrscht. Für Daten von EU-Bürgern soll so ein „Race to the bottom“, also eine ständige Verschlechterung im Schutzniveau, vermieden werden. Und genau dies ist auch bei Cloud Computing sinnvoll und geboten. Mehrere Nationen haben bereits den Status eines „sicheren Drittstaates“ aus Datenschutzsicht erhalten. Keinesfalls geht es um eine länderspezifische Diskriminierung, sondern um eine Harmonisierung im Schutzniveau für angemessenen Datenschutz und angemessene Datensicherheit. Datenschutz ist „Cloud-Enabler“, nicht Verhinderer. Denn ohne das nötige Schutzniveau ist ein professioneller Einsatz dieser Systeme nicht möglich.
Solange eine Ortsunabhängigkeit im Rechtssystem - z.B. bei Zugriffsermächtigungen durch Geheimdienste o.ä. - nicht gegeben ist, wird die Leichtigkeit bei einem vertrauensvollen und sicheren Zusammenwirken im Cloud Computing ebenfalls Informationen über Standorte (und damit nationale Interessen) berücksichtigen müssen.
Harmonisierungen von rechtlich relevanten Prinzipien, wie dies zum Thema Datenschutz in der Europäischen Union funktioniert und im größeren Rahmen angestrebt wird, können hier hilfreich sein, um das Schutzniveau insgesamt auf ein gutes Level zu bringen. Technisch wäre übrigens die Auswertung von Länderkennungen bei der Verarbeitung von sensitiven Personen- oder Unternehmensdaten nicht weiter schwierig. Dies könnte dann in Ergänzung zu den Sicherheits-Policies geschehen, die wir für nötig und sinnvoll halten, um spezifische (zu standardisierende) Sicherheitsanforderungen zu propagieren und durchzusetzen.
Das Prinzip der „freien Cloud“ wird nur dann den jetzigen Kinderschuhen mit „Spielapplikationen“ entwachsen, wenn „trusted und trustworthy Clouds“ - also mit integrierten Datenschutz- und Datensicherheitsgarantien, wie die Kunden es brauchen - am Markt verfügbar sind. Produktorientierte Scheinsicherheit oder Datenschutz-Bashing, wie dies immer mal wieder zu beobachten ist, helfen hier wenig.
Inhalt des Artikels:
Natürlich ist Datenschutz wichtig! Aber das ist kein neues Problem! Auch nicht in sog. Clouds! Die...
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2041009)