Bieten deutsche Clouds wirklich mehr Schutz?

„Herausforderungen für deutsche Unternehmen“

von - 07.04.2015
Kommentar zu den Datenschutzanforderungen der Cloud von Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht.
Das strenge deutsche Bundesdatenschutzgesetz gilt für alle Cloud-Dienste, die ein deutsches Unternehmen nutzt – selbst für solche, die im EU-Ausland, den USA oder in Indien angesiedelt sind. Es ist un­erheblich, wo auf der Welt die physikalische Datenverarbeitung stattfindet. Aus rechtlicher Sicht ist es am einfachsten, einen Dienstleister zu wählen, der sich im Europäischen Wirtschaftsraum (EWR) befindet und der seine Server ebenfalls dort betreibt. Derzeit kann Unternehmen, die US-Cloud-Dienste nutzen (wollen), nicht garantiert werden, dass dies in der jetzigen Form zukünftig weiter durchgeführt werden kann.
Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht
Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht
Neben den rechtlichen Aspekten einer Cloud-Nutzung mit personenbezogenen Daten müssen auch Anforderungen an die IT-Sicherheit und den technischen Datenschutz zwingend eingehalten werden. Diese technischen und organisatorischen Maßnahmen werden in § 9 Bundesdatenschutzgesetz samt Anlage beschrieben. Sie regeln Themen wie Rechenzentrumssicherheit, Authentifizierung und Autorisierung und fordern explizit den Einsatz von Verschlüsselungsverfahren nach dem Stand der Technik.

„Zertifikate sind keine Blanko-
Vollmacht für das Erreichen von
Datenschutzanforderungen.“

Die Gewährleistung der IT-Sicherheit hängt vom jeweiligen Cloud-Anbieter ab und setzt deutsche Cloud-Anbieter einem harten Wettbewerb mit internationalen Konkurrenten aus. Aus Datenschutzsicht müssen neben den „klassischen“ IT-Sicherheitsthemen auch Aspekte wie Protokollierung (wer hat wann auf die in der Cloud gespeicherten Daten zugegriffen), Mandantenfähigkeit und Nicht-Verkettbarkeit (Cloud-Daten dürfen nicht mit anderen Daten verknüpft werden können) gewährleistet werden. Diese Themenfelder, gepaart mit rechtlich begrenzteren Zugriffen von Seiten deutscher Behörden, können ein Wettbewerbsvorteil für deutsche Cloud-Anbieter sein, sofern die Produkte zusätzlich innovativ und zeitgemäß sind.
Da die Anforderungen sehr hoch und die Umsetzungen anspruchsvoll sind, ist der Wunsch nach einem Datenschutzsiegel einer Cloud-Anwendung durch eine Zertifizierung nachvollziehbar. Eine pauschale Anerkennung eines solchen Zertifikats sieht der Gesetzgeber aber (noch) nicht vor. Grundsätzlich gilt jedoch, dass Zertifizierungen eine sinnvolle Maßnahme sein können, den Weg in die Cloud zu begleiten. Eine Blankovollmacht für das Erreichen von Datenschutzanforderungen sind sie aber nicht.
Verwandte Themen