Public Cloud, Safe Harbor und Datenschutz

Anwender wollen gar keine "deutsche Cloud"

31.01.2016
Von 
Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.

Bedenkliche Cloud-Services

Bei der Diskussion um die Sicherheit von Daten wurde bislang so gut wie gar nicht auf einen interessanten Aspekt hingewiesen: die Tatsache, dass in vielen Unternehmen in Europa Cloud-Services im Einsatz sind, die nicht den Datenschutzbestimmungen entsprechen. Das hat Skyhigh Networks im Rahmen einer Studie festgestellt. Das Unternehmen ist als "Cloud Access Security Broker" (CASB) tätig. Solche Dienstleister stellen Nutzern von Cloud-Diensten einen sicheren Zugang zu diesen Services zur Verfügung und achten darauf, dass die entsprechenden Datenschutz- und Compliance-Vorgaben eingehalten werden. Zu diesem Zweck analysieren CASB regelmäßig Cloud-Services, Skyhigh beispielsweise mehr als 100 solcher Dienste.

Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.
Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.
Foto: Crisp Research

Skyhigh zufolge speichern rund 65 Prozent der Cloud-Service-Provider, deren Dienste auch in Europa verfügbar sind, Daten von Kunden nicht in Rechenzentren im EU-Raum oder Staaten mit vergleichbaren Sicherheitsregelungen. Dazu zählten bislang dank des jetzt aber gekippten Safe-Harbor-Abkommens mit der EU übrigens auch die USA. Damit ist die Wahrscheinlichkeit hoch, dass in vielen Unternehmen Cloud-Services im Einsatz sind, die nicht mit den geltenden Datenschutzgesetzen konform sind. Laut Skyhigh werden solche Services oft ohne Wissen der IT-Abteilung genutzt - von einzelnen Mitarbeitern oder ganzen Abteilungen. Bei der Diskussion um das Für und Wider von Public-Cloud-Services sollte auch dieser Aspekt nicht außer Acht bleiben.

Die Business-Cloud-Services, die in Europa am häufigsten genutzt werden: Die Mehrzahl von ihnen wird von amerikanischen Anbietern bereitgestellt.
Die Business-Cloud-Services, die in Europa am häufigsten genutzt werden: Die Mehrzahl von ihnen wird von amerikanischen Anbietern bereitgestellt.
Foto: Skyhigh Networks

Neuer Datenschutz

Wie die rechtlichen Rahmenbedingungen für Cloud-Services unter den Aspekten Datenschutz und Compliance künftig aussehen, ist schwer abzuschätzen. So laufen derzeit die Diskussionen über die EU-Datenschutz-Grundverordnung. Sie sieht einen verbesserten Schutz von Daten in Cloud-Umgebungen vor, auch für private Nutzer. Die Beratungen über den Entwurf der Verordnung sind bis Ende 2015 angesetzt. Nach Einschätzung von Rechtsexperten kann es jedoch bis 2018 dauern, bis die Grundverordnung in Kraft tritt.

Eine neue "Baustelle" hat sich in diesen Tagen mit dem EuGH-Urteil zum Safe-Harbor-Abkommen aufgetan. Es ermöglichte amerikanischen Unternehmen, Daten europäischer Kunden auch in Rechenzentren in den USA zu speichern. Im Gegenzug sicherte das Unternehmen einen angemessenen Datenschutz zu. Exakt diese Regelung hatte Ende September 2015 derGeneralanwalt am Europäischen Gerichtshof in Frage gestellt, knapp eine Woche später folgte der Europäische Gerichtshof (EuGH) seiner Empfehlung und erklärte das Abkommen für ungültig. Der Hintergrund ist die Klage eines österreichischen Nutzers von Facebook gegen den Transfer seiner persönlichen Daten auf Server von Facebook in den USA. Das Gericht argumentiert, solche Daten seien wegen der abweichenden Datenschutzbestimmungen in den USA dort nicht ausreichend geschützt.

Das Ende von Safe Harbor hat Auswirkungen für Anbieter von Cloud-Services aus den USA, die keinerlei Daten von EU-Anwendern mehr über den großen Teich übertragen werden. Es darf natürlich nicht außer Acht geraten, dass die führenden Anbieter von Cloud-Services mittlerweile ihren Kunden ohnehin bereits vertragliche Vereinbarungen auf Grundlage der EU-Standardvertragsklauseln anbieten. Diese stellen ein Mindestmaß an Schutz für Daten sicher, die außerhalb des EU-Rechtsraums bearbeitet werden.

Mahnende Stimmen zum EuGH-Urteil

Jay Heiser, Research Vice President beim Beratungs- und Marktforschungsunternehmen Gartner, geht davon aus, dass von der Entscheidung des EuGH etwa 4.500 amerikanische Anbieter von Cloud- und Online-Services betroffen sind. Dazu zählen alle Größen der Branche, von Amazon über Google, Microsoft und Dropbox bis hin zu Adobe. Denn auch auf Servern von Adobe liegen Nutzerdaten, weil das Unternehmen einen Gutteil seiner Software im Rahmen eines Abonnement-Modells über die Cloud anbietet.

Allerdings erwartet Heiser nicht nur Konflikte zwischen der EU und amerikanischen Cloud-Unternehmen, sondern auch zwischen deren Nutzern und EU-Behörden: "Es ist nicht vorstellbar, dass Internet-User in Europa die digitalen Bande zu den USA durchtrennen und auf die Nutzung von Services amerikanischer Unternehmen verzichten wollen. Zudem ist es unwahrscheinlich, dass eine wie auch immer geartete Vereinbarung zum Schutz der Privatsphäre in der Praxis eine Überwachung durch US-Behörden komplett verhindern kann", kritisiert Heiser.

Auch von SAP kommen mahnende Worte: "SAP verfügt über Cloud-Computing-Ressourcen in Europa, Nordamerika, Asien und anderen Regionen. Dadurch sind wir in der Lage, Services vor Ort anzubieten, die den lokalen Gesetzen und Regulierungsvorgaben entsprechen", sagt Daniel Reinhardt, Global Corporate Affairs bei SAP SE. "Wir sind jedoch der Auffassung, dass sowohl Rechtssicherheit als auch ein freier und sicherer Datenfluss zwischen Europa, den USA und anderen Weltregionen essenziell für datenorientierte Geschäftsmodelle sind." Reinhardt fordert deshalb die Politik auf, eine Lösung zu finden: "Wir hoffen, dass die EU und die Vereinigten Staaten eine neue Version des Safe-harbor-Abkommens erarbeiten, das einen klaren und sicheren Rahmen für den transatlantischen Datenverkehr bildet."