microfin_965897_88613402

 

Cloud-Anbieter wie etwa Microsoft müssen dort den US-Strafverfolgungsbehörden Zugriff auf ihre gespeicherten Kundendaten gewähren. Grundlage dafür ist das amerikanische Antiterrorgesetz, der USA PATRIOT Act. Es gilt für alle Unternehmen mit Hauptsitz in den USA – und umfasst auch Daten, die in deren europäischen Rechenzentren liegen. Kann ein solches Unternehmen damit überhaupt noch die Vertraulichkeit der Daten seiner Kunden in Europa gewährleisten? Zumindest dürfte ein möglicher Zugriff von US-Strafverfolgungsbehörden im Widerspruch zu europäischem Datenschutzrecht stehen. Aus rechtlicher Sicht ist die Empfehlung deshalb klar: Bevor sich Unternehmen für die Nutzung von Cloud-Services entscheiden, sollten sie sich gut bei dem zukünftigen Anbieter informieren und für den Fall der Nichteinhaltung entsprechende Sanktionen vertraglich vereinbaren.

Das ist weit mehr als ein akademisches Problem: Es geht um die Auslagerung von sensiblen Daten, oft auch Kundendaten. Sicher – auch interne Systeme bergen die Gefahr von Datenlecks. Dafür entstehen in der Cloud neue Unwägbarkeiten. Bei der Nutzung von Cloud-Services weiß man nie, wo genau die Daten gespeichert sind. Letztlich ist jedes Unternehmen als Herrin der Daten für den Schutz und die Sicherheit aber verantwortlich – selbst dann, wenn ein Cloud-Anbieter mit der Vorhaltung der Daten beauftragt wurde.

Konkrete Vereinbarungen zum Schließen von Sicherheitslücken

Die klare Empfehlung lautet deshalb, mit dem Cloud-Anbieter die Einhaltung der lokalen Datenschutzanforderungen zu vereinbaren. Unternehmen sind nicht zuletzt durch die Datenschutznovelle zum 1. September 2009 verpflichtet, den Cloud-Anbieter nach einer “sorgfältigen Auswahl” auszusuchen. Neben der Vereinbarung von konkreten Datenverarbeitungsprozessen sowie den technischen und organisatorischen Schutzmaßnahmen zum Datenschutz sollte darüber hinaus die Trennung der Unternehmensdaten von Daten anderer Kunden des Cloud-Anbieters vereinbart werden. Der Cloud-Anbieter muss sicherstellen, dass kein anderer seiner Kunden auf die Unternehmensdaten zugreifen kann. Eine Verschlüsselung der Daten ist ein probates Mittel dazu. Die Trennung der Daten verspricht darüber hinaus einen höheren Schutz vor unbefugtem Zugriff.

Auf der Internationalen Cloud Computing Konferenz 2010 in Köln wurde der Ansatz einer “nationalen Cloud” vorgestellt, eine „Cloud made in Germany”. Ein Ausweg, um eine Datenherrschaft und Datenkontrolle dadurch zu gewährleisten, dass das Terrain begrenzt wird, in dem Datenverarbeitung stattfinden soll? Kaum: Hier haben die großen Akteure im Markt bereits ihr Veto eingelegt, weil sie eben multinational agieren und auch kein Interesse haben, ihre Strukturen auf Länderebene zu zergliedern. Ohne die „Multis” bleibt dieses Modell aber eine Nischenlösung.

Unterm Strich wird es in der Cloud also schwer möglich sein, Datenschutz nach Art des Bundesdatenschutzgesetzes mit hundertprozentiger Sicherheit zu gewährleisten. Unternehmen werden also mit Kompromissen leben– und ein gesundes Risikobewusstsein neu oder wieder entwickeln müssen. Es kommt daher darauf an, auf dieser Basis dedizierte Regelungen mit dem Cloud-Anbieter zu treffen und ein umsetzbares Datenschutzkonzept zu vereinbaren. Keine Luftschlösser bauen, aber sich auch nicht von dunklen Wolken abschrecken lassen.

microfin Unternehmensberatung GmbH
Wir gestalten Vorsprung.

Kaiser-Friedrich-Promenade 59a
61348 Bad Homburg

T +49 (0) 6172 17763 0
F +49 (0) 6172 17763 200

 

microfin ist Sponsoringmitglied des Outsourcing Verbandes.

  

SHARE