Dauerthema DSGVO

Beim Thema Cloud-Computing kommt man auch um das Thema Datenschutz-Grundverordnung (DSGVO) nicht herum. Das Ziel der Verordnung ist der Schutz personenbezogener Daten - sowohl Kunden- als auch Mitarbeiter­daten. Sie dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Zum Datenschutz gehört auch die Datensicherheit. Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen etwa vor Diebstahl schützen. Vor allem die Datenspeicherung außerhalb der Europäischen Union ist problematisch, da in Drittstaaten meist kein angemessenes Datenschutzniveau herrscht.

Die meisten Cloud-Provider erfüllen mittlerweile die Bedingungen der DSGVO, etwa insichtlich der Server-Standorte. „Prinzipiell sind die Standards innerhalb der großen Cloud-Anbieter stetig gestiegen und stellen hinsichtlich systembedingter Datensicherheit ein sehr hohes Niveau dar“, konstatiert Oliver Harmel. Allerdings treffe dies nicht automatisch auf alle Datensicherheitsanforderungen zu, zum Beispiel das Applikationsdesign oder die Administrationsprozesse wie Rollen- und IdentitätsmanagementsDies bliebe in der Verantwortung des auslagernden Unternehmens. „Aber ich wiederhole mich: die Grunddatensicherheit der Cloud-Anbieter befindet sich auf einem sehr hohen Niveau“, wie Harmel betont.

Als Unternehmen gilt es in jedem Fall zu bedenken, dass die DSGVO kein ausschließliches Cloud-Thema ist, sondern in erster Linie ein Compliance-Thema. So sollte man etwa klären, zu welchem Zweck welche Daten ausgewertet werden und ob die betroffenen Personen informiert sind. „Diese Themen bleiben trotz Cloud bestehen und Unternehmen müssen weiterhin dafür Regelungen finden - Cloud Anbieter können an dieser Stelle Unternehmen nicht die Arbeit abnehmen. Dennoch ist der Standort für viele Unternehmen ein kritischer Entscheidungspunkt“, wie Manuel Degen von Arthur D. Little zu Bedenken gibt.

Ein deutscher Rechenzentrums-Standort macht für den US Cloud Act allerdings keinen Unterschied, betont Holger Dyroff. Mit dem sogenannten Cloud Act gilt seit Ende März 2018 ein Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. „Die US-amerikanischen Anbieter unterliegen ihm auch hier.“

Was noch bleibt ist die Frage, ob man sich in Sachen Cloud-Hyperscaler direkt an die großen Unternehmen wenden sollte, oder ob man auf ein lokales Systemhaus oder einen IT-Dienstleister setzt. Die Cloud-Hyperscaler sind in allererster Linie Plattform-Anbieter, die eine hochgradig standardisierte Plattform zur Verfügung stellen. Die Herausforerung liegt darin, den individuellen Anwendungsfall eines Unternehmens in einem effizienten, automatisierten, skalierbaren Ansatz risikofrei zur Verfügung zu stellen. Eine gute Planung, vom Design bis zur Automatisierung und Unterstützung des Betriebs, kann durch einen Managed-Service-Dienstleister ergänzt werden.

Wenn es um ein Für und Wider in Sachen Dienstleister geht oder darum, alles selber zu machen, dann sollten Unternehmen bedenken, dass es mit der ohnehin schon komplizierten Wahl eines Hyperscalers noch lange nicht getan ist: Wenn man sich entschieden hat, dann muss der Dienst noch auf das Unternehmen zugeschnitten werden und konfiguriert werden. Hier können Volker Pfirsching zufolge IT-Dienstleister durchaus helfen, technische Konfigurationen durchführen und auf das bestehende System des Kunden anpassen. Er gibt aber zu Bedenken, dass die Lösung nicht nur Vorteile hat. Als Beispiel nennt er einen Systemausfall: „In einem solchen Fall ist man auf die Service-Geschwindigkeit des dazwischengeschalteten Dienstleisters angewiesen - man gibt also etwas Lösungskompetenz aus der Hand.“

Eines sollte Unternehmen bei der Wahl darüber hinaus bewusst sein: Die Hyperscaler bieten zwar eine Vielzahl an Diensten an, aber alles nur „von der Stange“. Es gibt keine Möglichkeiten für individuelle Angebote. Als Unternehmen sucht man sich auf der Webseite des Anbieters einen Service aus und konfiguriert ihn - anschließend erhält man einen sogenannten Boilerplate-Vertrag. Diesen kann man unterschreiben oder nicht. Vertragsanpassungen sind quasi icht möglich. Bei IT-Dienstleistern sieht das anders aus. Sie bieten in der Regel individuelle Pakete an.