Die Nutzung der Cloud ist heute fast so selbstverständlich wie Strom aus der Steckdose. Gleichzeitig hat die virtuelle Infrastruktur für viele einen abstrakten Charakter, sodass der Wunsch nach zuverlässiger Datensicherheit und größtmöglichem Datenschutz groß ist.

Umfragen wie etwa der Cloud-Monitor 2021 von Bitkom zeigen, dass bei der Auswahl eines Dienstleisters für eine überwältigende Mehrheit der befragten Unternehmen die Konformität mit der DSGVO das wichtigste Kriterium ist. Viele wollen zudem ein Rechenzentrum, das im Rechtsraum der EU steht. Der Grund dafür ist schnell ausgemacht: Die meisten Organisationen fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten. Andere zögern angesichts einer unklaren Rechtslage, Teile ihrer Infrastruktur in die Wolke auszulagern. Immerhin ist eine juristisch einwandfreie Datenübermittlung an Dienstleister außerhalb der EU – etwa in die USA – derzeit nicht möglich.

Fakt ist: Cyberangriffe gegen Unternehmen stellen heute eine große Gefahr dar. Deshalb ist das Thema Sicherheit für sie wichtiger denn je. Gute Cloud-Anbieter setzen im Hintergrund viele Sicherheitsmaßnahmen wie physische und logische Trennung, Verschlüsselung, Change-Management, Backup sowie Business-Continuity um und haben schon aus ureigenem Interesse ein wachsames Auge auf Cyberaktivitäten, technisch bedingte Betriebsausfälle oder fehlerhafte Konfigurationen.

Beim Thema Datenschutz ist die Situation für Unternehmen als Inanspruchnehmer der Services allerdings etwas verzwickter: Die Speicherung personenbezogener Daten in der Cloud stellt sie grundsätzlich vor ein Problem, wenn die Server der Provider in Ländern mit weniger strengen Richtlinien stehen. In den USA und China beispielsweise können Behörden und Geheimdienste auf dort gespeicherte Daten zugreifen. Da vielen Kunden diese Compliance-Zwickmühle zumindest vage bewusst ist, speichern US-amerikanische Provider inzwischen die Daten europäischer Kunden innerhalb der EU.

Das bringt im Zweifelsfall aber nach wie vor keine absolute Rechtssicherheit, denn auch der Hauptsitz eines Anbieters ist ein entscheidender Faktor für die Einhaltung von Datenschutzregeln: So sind US-basierte Konzerne verpflichtet, auf Nachfrage von Regierungsbehörden teils sogar ohne richterlichen Beschluss Daten – auch personenbezogene – herauszugeben. Daran ändert ein Serverstandort in Deutschland oder der EU nichts; ein solches Vorgehen ist reine Kosmetik.

Um Rechtssicherheit zu gewährleisten, müsste man eine eigenständige Verschlüsselung der Daten der eigentlichen Cloud-Nutzung voranstellen. Und selbst dann ist noch nicht geklärt, ob es wirklich ausreicht. Eine schon länger angestrebte Vereinbarung, wie mit einer Datenübermittlung beispielsweise in die USA umgegangen wird – Stichwort „EU-US Privacy Shield“ –, ist vom Europäischen Gerichtshof (EuGH) jedenfalls am Ende wieder kassiert worden.

Ein europäischer Cloud-Anbieter mit einem Rechenzentrum innerhalb der EU ist aktuell also die bessere Wahl. Er muss sich an die strikten Vorgaben der DSGVO und im Bereich der elektronischen Kommunikation an die der sogenannten E-Privacy-Richtlinie halten, die künftig von der E-Privacy-Verordnung abgelöst wird und die in Deutschland bereits über das neue Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in deutsches Recht umgesetzt wurde.

Davon unabhängig müssen Kunden bei der Wahl des passenden Providers auf versteckte Hintertüren achten: Unterhält der Cloud-Hoster eigene Rechenzentren, oder bedient er sich anderer Colocation-Anbieter? Nur ein Provider, der das offenlegt, verhält sich DSGVO-konform. Sind andere Plattformen im Spiel, ist ebenfalls Transparenz bei der eigentliche Datenhaltung unabdingbar.

Aber auch die Zusammenarbeit mit Drittanbietern muss genau geregelt sein. Da viele Provider Dienste von Partnern – beispielsweise bei der Administration oder dem Backup von Daten – beziehen, besteht die Gefahr, dass personenbezogene Informationen in unerlaubte Hände gelangen oder Sicherheitszertifikate ungültig werden, weil ein Auditor die Dienste des Subunternehmens nicht verfolgen kann. Die Haltung „Wo kein Kläger, da kein Richter“ endet spätestens dann, wenn die zuständige Aufsichtsbehörde oder Staatsanwaltschaft eine Untersuchung einleiten.

Zudem sollten Unternehmen nicht dem Trugschluss aufsitzen, mit der Beauftragung eines Providers die komplette Haftung abwälzen zu können. Als Eigentümer personenbezogener Daten ist nach wie vor der jeweilige Betrieb für die Einhaltung von Sicherheits- und Compliance-Anforderungen verantwortlich. So fordert auch der C5-Kriterienkatalog für Mindestanforderungen an sicheres Cloud Computing des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine „Shared Responsibility“ ein: Der Kriterienkatalog beinhaltet zwar umfängliche Anforderungen an den Cloud-Provider, etwa hinsichtlich des Umgangs mit Ermittlungsanfragen. Gleichzeitig nimmt das BSI aber auch den Cloud-Kunden durch korrespondierende Kontrollen in die Pflicht. Das bedeutet: Nutzer entsprechender Dienste müssen eigenständig prüfen, ob ihr Anbieter alle Datenschutzbestimmungen einhält.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Von ihrem Provider sollten Unternehmen erwarten können, dass er bezüglich Speicherort und angewandter Datensicherheitsstandards mit offenen Karten spielt. Denn hier geht es nicht zuletzt um ein ihm anvertrautes hohes Gut – sensible Daten, oftmals auch Kundendaten, die entsprechend geschützt gehören. Blindes Vertrauen gegenüber Cloud-Anbietern und anderen externen Partnern ist deshalb fehl am Platz.

Claudia Frese ist CEO der Strato AG in Berlin.

IT-Sicherheits- und Datenschutzkonzepte auf dem Prüfstand

Datenschutz und Datensicherheit im Homeoffice

Cookie-Manager AGB Hilfe Kundencenter Mediadaten Datenschutz Impressum & Kontakt Autoren

Copyright © 2022 Vogel Communications Group

Diese Webseite ist eine Marke von Vogel Communications Group. Eine Übersicht von allen Produkten und Leistungen finden Sie unter www.vogel.de

Strato; STRATO AG; Suelzengenappel - stock.adobe.com; © – Vitalii – stock.adobe.com; Cradlepoint; Vogel IT-Medien; Microsoft / Joos; © deagreez - stock.adobe.com / VIT [M]; Offensive Security; © – Who is Danny – stock.adobe.com; (c) ipopba - stock.adobe.com; gemeinfrei; © ipopba - stock.adobe.com; Lindy; fauxels; Softing IT Networks; Yingyaipumi - stock.adobe.com; natali_mis - stock.adobe.com; Lancom; Who is Danny - stock.adobe.com; Petra - stock.adobe.com; lassedesignen - stock.adobe.com; Palo Alto Networks; © Dmitry - stock.adobe.com; Dell Technologies; Vogel IT-Medien / Dell Technologies / Schonschek; Urupong - stock.adobe.com; © – momius – stock.adobe.com; Controlware; © – Pasko Maksim – stock.adobe.com; © Quardia Inc. - stock.adobe.com