Suchen

Public Cloud und Datenschutz Datenschutz und Cloud-Speicherorte

| Autor / Redakteur: Bertram Dorn / Peter Schmitz

Bei Cloud-Diensten gibt es oft Bedenken, dass der Cloud-Provider die Daten ohne das Wissens des Kunden ins Ausland verschiebt. Bei Iaas, PaaS und SaaS sind die geographischen Grenzen, in denen Daten verschoben werden können allerdings meist klar in den Verträgen definiert. Wichtiger als die Frage, wo die Daten gelagert werden, ist allerdings die nach dem Datenschutz.

Firmen zum Thema

Bei „Datenschutz in der Cloud“ geht es meist um zwei Aspekte: Wo sind die Daten abgelegt und wie sicher sind die Anwendungen, mit denen die Daten verarbeitet werden?
Bei „Datenschutz in der Cloud“ geht es meist um zwei Aspekte: Wo sind die Daten abgelegt und wie sicher sind die Anwendungen, mit denen die Daten verarbeitet werden?
(Bild: Pixabay / CC0 )

In den ersten beiden Artikeln dieser Reihe zu „Cloud und Datenschutz“ ging es um das Pay-As-You-Go-Prinzip und die dazu nötigen technischen und organisatorischen Maßnahmen. Der Beitrag „Datenschutz in der Cloud: Sicherheit für personenbezogene Daten“ beleuchtete dabei vor allem die rechtlichen Hintergründe für Datenschutz im Rahmen von IT-Dienstleistungen thematisiert. Im Artikel „Auftragsdatenverarbeitung beim Cloud-Provider“ betrachteten wir dann einige Details und Besonderheiten des Cloud-Computing bezüglich IT-Sicherheitsaspekten. Im dritten und letzten Teil geht es jetzt das Thema Verortung: Wo sind die Daten abgelegt und wie sicher sind die Anwendungen, mit denen die Daten verarbeitet werden?

Häufig gibt es Bedenken, dass der Cloud-Provider die Daten ohne das Wissens des Kunden ins Ausland verschiebt. Gerade bei Diensten, die sich an Endkunden richten, ist das häufig der Fall. Anders sieht es bei Cloud-Anbietern für den B2B-Einsatz aus. Bei Einsatzzwecken wie Iaas, PaaS und SaaS sind die geographischen Grenzen, in denen Daten verschoben werden können, meist klar in den Verträgen definiert und Unternehmen können sich das auch durch eine Zertifizierungsstelle bestätigen lassen.

Um Redundanz zu schaffen, braucht der Cloud-Provider allerdings Möglichkeiten auf alternative Rechenzentren auszuweichen. Dazu sollten diese in geographisch scharf umrissenen Zonen, etwa einem Bundesland oder einer Region, gelegen sein. Sie sollten zum Geschäftskonzept und dessen Rahmenbedingungen passen.

Der Cloud-Provider sollte das komplette Spektrum der Datenverarbeitung innerhalb dieser Zone durchführen. Dazu gehören das Speichern, Transferieren und Suchen von Informationen innerhalb des Datenbestandes.

Die klare Verortung der Daten hat mehrere Vorteile. So profitiert der Nutzer von einer definierten Netzwerk-Latenz. Außerdem kann bei Nachfrage die geographisch abgegrenzte Region gezeigt werden.

Wichtiger als die Frage, wo die Daten gelagert werden, ist allerdings die nach dem Datenschutz. Schließlich kommt es darauf an, von wo aus die eigentliche Nutzung erfolgt. Falls der Cloud-Anbieter die Daten in ein anderes Land transferiert, kann dann auf Grundlage eines Vertrages verlangt werden, das Sicherheitsniveau auf ein adäquates Niveau zu bringen.

Mittlerweile folgen die Cloud-Provider mit ihren inzwischen sehr gut ausgebauten und weltweit genutzten Dienstleistungen dem Follow-The-Sun-Prinzip: Betriebsmannschaften sind rund um die Uhr über die ganze Welt verteilt im Einsatz. So entstehen große wirtschaftliche Vorteile, etwa durch eine hohe Verfügbarkeit und eine schnelle Reaktion auf Störungen oder andere Ereignisse, die ein sofortiges Eingreifen erfordern. Auch diese Aspekte haben die Cloud so erfolgreich gemacht.

Dazu gehört aber auch ein Umdenken bei Betrieb und Standort der Cloud. Die Cloud-Dienstleistungen erreichen ihre Skalierbarkeit durch einen hohen Automatisierungsgrad und eine gewisse Uniformität der Konfigurationen. Konkret werden also automatisierte Standard-Prozesse des Cloud-Providers genutzt. Sie sind auf Herz und Nieren geprüft, haben sich im täglichen Einsatz bewährt und sind auf einem sehr hohen Sicherheitsniveau. Trotzdem ist es wichtig, dass sie internationalen Industriestandards genügen und von verschiedenen Prüfinstanzen hinsichtlich Integrität, Ausfallsicherheit und Vertraulichkeit unter die Lupe genommen wurden.

Die Datenschutz-Grundverordnung (DSGVO) führt im Vergleich mit dem Bundesdatenschutzgesetz zu mehreren deutlichen Änderungen. So findet sich die in §5 Absatz 11 BDSG klar umrissenen Klassifizierungen rund um Wartung und Betrieb von Anlagen zur Verarbeitung personenbezogener Daten nicht mehr in der DSGVO. Dort werden nun Risiken hinsichtlich des Zugriffs auf personenbezogene Daten durch einen Service- oder Wartungsmitarbeiter – auch im nicht EU-Ausland – angegangen. Auch mit Blick auf die DSGVO ist es wichtig, die mögliche Übertragung von Daten in das nicht EU/EWR-Ausland zu prüfen. Dagegen wird eine potentielle Wartung nicht automatisch einer Verarbeitung von personenbezogenen Daten gleichgestellt. Zudem gilt, dass der Cloud-Anbieter konform zu einem Standard, z. B. dem C5-Standard, arbeiten muss. Dies soll er durch Zertifizierungen nachweisen. Außerdem muss der Cloud-Kunde für ein angemessenes Sicherheitsniveau sorgen.

In allen Fällen – nicht nur beim Datenschutz – muss der genutzte Cloud-Dienst genau betrachtet werden. Das gilt zum Beispiel für die Frage, ob Daten auf der Ebene der Bits und Bytes vom Cloud-Provider angesehen können und auf welche Daten genau zugegriffen wird. Virtuelle Maschinen, ohne eine Verwaltung des Betriebssystems, als auch Block- oder objektorientiere Speicherlösungen sowie Netzwerkinfrastrukturen sind dabei meist unkritisch. Sofern höherwertige Dienste wie verwaltete Datenbanken oder gar Verzeichnis- oder Suchdienste angeboten werden, ist eine zusätzliche Sicherung zu prüfen. Dabei ist der vertragliche Rahmen durch die EU-Contractual-Clauses abgesteckt.

Über den Autor: Bertram Dorn ist Solutions Architect Security and Compliance bei Amazon Web Services.

(ID:45407045)