Public Cloud und Datenschutz

Datenschutz und Cloud-Speicherorte

| Autor / Redakteur: Bertram Dorn / Peter Schmitz

Bei „Datenschutz in der Cloud“ geht es meist um zwei Aspekte: Wo sind die Daten abgelegt und wie sicher sind die Anwendungen, mit denen die Daten verarbeitet werden?
Bei „Datenschutz in der Cloud“ geht es meist um zwei Aspekte: Wo sind die Daten abgelegt und wie sicher sind die Anwendungen, mit denen die Daten verarbeitet werden? (Bild: Pixabay / CC0)

Bei Cloud-Diensten gibt es oft Bedenken, dass der Cloud-Provider die Daten ohne das Wissens des Kunden ins Ausland verschiebt. Bei Iaas, PaaS und SaaS sind die geographischen Grenzen, in denen Daten verschoben werden können allerdings meist klar in den Verträgen definiert. Wichtiger als die Frage, wo die Daten gelagert werden, ist allerdings die nach dem Datenschutz.

In den ersten beiden Artikeln dieser Reihe zu „Cloud und Datenschutz“ ging es um das Pay-As-You-Go-Prinzip und die dazu nötigen technischen und organisatorischen Maßnahmen. Der Beitrag „Datenschutz in der Cloud: Sicherheit für personenbezogene Daten“ beleuchtete dabei vor allem die rechtlichen Hintergründe für Datenschutz im Rahmen von IT-Dienstleistungen thematisiert. Im Artikel „Auftragsdatenverarbeitung beim Cloud-Provider“ betrachteten wir dann einige Details und Besonderheiten des Cloud-Computing bezüglich IT-Sicherheitsaspekten. Im dritten und letzten Teil geht es jetzt das Thema Verortung: Wo sind die Daten abgelegt und wie sicher sind die Anwendungen, mit denen die Daten verarbeitet werden?

Sicherheit für personenbezogene Daten

Datenschutz in der Cloud

Sicherheit für personenbezogene Daten

07.12.17 - Datenschutz – oder genauer, der Schutz personenbezogener Daten, ergibt sich direkt aus den ersten beiden Artikeln des Grundgesetzes. Das sich daraus ableitende Recht zur informationellen Selbstbestimmung berührt die Menschenwürde ebenso wie das Recht zur freien Entfaltung der Persönlichkeit. lesen

Auftragsdatenverarbeitung beim Cloud-Provider

Public Cloud und Datenschutz

Auftragsdatenverarbeitung beim Cloud-Provider

30.05.18 - Wenn Unternehmen das Angebot von Infrastruktur- (IaaS) oder Plattform-Services- (PaaS) Anbietern nutzen wollen, gilt es in Hinblick auf die Einhaltung der Datenschutz-Vorgaben einiges zu beachten. Aufgrund der unterschiedlichen Einflussmöglichkeiten von Anbieter und Nutzer muss ein Modell aus gemeinsamen und geteilten Verantwortungen entstehen. lesen

Häufig gibt es Bedenken, dass der Cloud-Provider die Daten ohne das Wissens des Kunden ins Ausland verschiebt. Gerade bei Diensten, die sich an Endkunden richten, ist das häufig der Fall. Anders sieht es bei Cloud-Anbietern für den B2B-Einsatz aus. Bei Einsatzzwecken wie Iaas, PaaS und SaaS sind die geographischen Grenzen, in denen Daten verschoben werden können, meist klar in den Verträgen definiert und Unternehmen können sich das auch durch eine Zertifizierungsstelle bestätigen lassen.

Um Redundanz zu schaffen, braucht der Cloud-Provider allerdings Möglichkeiten auf alternative Rechenzentren auszuweichen. Dazu sollten diese in geographisch scharf umrissenen Zonen, etwa einem Bundesland oder einer Region, gelegen sein. Sie sollten zum Geschäftskonzept und dessen Rahmenbedingungen passen.

Der Cloud-Provider sollte das komplette Spektrum der Datenverarbeitung innerhalb dieser Zone durchführen. Dazu gehören das Speichern, Transferieren und Suchen von Informationen innerhalb des Datenbestandes.

Die klare Verortung der Daten hat mehrere Vorteile. So profitiert der Nutzer von einer definierten Netzwerk-Latenz. Außerdem kann bei Nachfrage die geographisch abgegrenzte Region gezeigt werden.

Wichtiger als die Frage, wo die Daten gelagert werden, ist allerdings die nach dem Datenschutz. Schließlich kommt es darauf an, von wo aus die eigentliche Nutzung erfolgt. Falls der Cloud-Anbieter die Daten in ein anderes Land transferiert, kann dann auf Grundlage eines Vertrages verlangt werden, das Sicherheitsniveau auf ein adäquates Niveau zu bringen.

Mittlerweile folgen die Cloud-Provider mit ihren inzwischen sehr gut ausgebauten und weltweit genutzten Dienstleistungen dem Follow-The-Sun-Prinzip: Betriebsmannschaften sind rund um die Uhr über die ganze Welt verteilt im Einsatz. So entstehen große wirtschaftliche Vorteile, etwa durch eine hohe Verfügbarkeit und eine schnelle Reaktion auf Störungen oder andere Ereignisse, die ein sofortiges Eingreifen erfordern. Auch diese Aspekte haben die Cloud so erfolgreich gemacht.

Dazu gehört aber auch ein Umdenken bei Betrieb und Standort der Cloud. Die Cloud-Dienstleistungen erreichen ihre Skalierbarkeit durch einen hohen Automatisierungsgrad und eine gewisse Uniformität der Konfigurationen. Konkret werden also automatisierte Standard-Prozesse des Cloud-Providers genutzt. Sie sind auf Herz und Nieren geprüft, haben sich im täglichen Einsatz bewährt und sind auf einem sehr hohen Sicherheitsniveau. Trotzdem ist es wichtig, dass sie internationalen Industriestandards genügen und von verschiedenen Prüfinstanzen hinsichtlich Integrität, Ausfallsicherheit und Vertraulichkeit unter die Lupe genommen wurden.

Wie Auftragsverarbeiter der DSGVO gerecht werden

Rechtspaket für IT-Dienstleister

Wie Auftragsverarbeiter der DSGVO gerecht werden

14.05.18 - Auch für sogenannte Auftragsverarbeiter gelten die ab 25. Mai 2018 wirksam werdenden neuen, speziellen Regeln der europäischen Datenschutzgrundverordnung (DSGVO). lesen

Die Datenschutz-Grundverordnung (DSGVO) führt im Vergleich mit dem Bundesdatenschutzgesetz zu mehreren deutlichen Änderungen. So findet sich die in §5 Absatz 11 BDSG klar umrissenen Klassifizierungen rund um Wartung und Betrieb von Anlagen zur Verarbeitung personenbezogener Daten nicht mehr in der DSGVO. Dort werden nun Risiken hinsichtlich des Zugriffs auf personenbezogene Daten durch einen Service- oder Wartungsmitarbeiter – auch im nicht EU-Ausland – angegangen. Auch mit Blick auf die DSGVO ist es wichtig, die mögliche Übertragung von Daten in das nicht EU/EWR-Ausland zu prüfen. Dagegen wird eine potentielle Wartung nicht automatisch einer Verarbeitung von personenbezogenen Daten gleichgestellt. Zudem gilt, dass der Cloud-Anbieter konform zu einem Standard, z. B. dem C5-Standard, arbeiten muss. Dies soll er durch Zertifizierungen nachweisen. Außerdem muss der Cloud-Kunde für ein angemessenes Sicherheitsniveau sorgen.

Cloud Zertifikate - Was sind C5 und TCDP?

Sicherheit in der Cloud

Cloud Zertifikate - Was sind C5 und TCDP?

11.01.18 - Mit dem passenden Zertifikat oder Testat können sich Cloud-Nutzer und -Anbieter in Deutschland rechtlich absichern: Anbieter können nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben und Nutzer kommen ihrer Sorgfaltspflicht nach. lesen

In allen Fällen – nicht nur beim Datenschutz – muss der genutzte Cloud-Dienst genau betrachtet werden. Das gilt zum Beispiel für die Frage, ob Daten auf der Ebene der Bits und Bytes vom Cloud-Provider angesehen können und auf welche Daten genau zugegriffen wird. Virtuelle Maschinen, ohne eine Verwaltung des Betriebssystems, als auch Block- oder objektorientiere Speicherlösungen sowie Netzwerkinfrastrukturen sind dabei meist unkritisch. Sofern höherwertige Dienste wie verwaltete Datenbanken oder gar Verzeichnis- oder Suchdienste angeboten werden, ist eine zusätzliche Sicherung zu prüfen. Dabei ist der vertragliche Rahmen durch die EU-Contractual-Clauses abgesteckt.

Über den Autor: Bertram Dorn ist Solutions Architect Security and Compliance bei Amazon Web Services.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45407045 / Recht und Datenschutz)