Die Cloud und der Datenschutz
Dass Cloud-Service-Provider aus den USA verstärkt Rechenzentren in EU-Ländern und in Deutschland aufbauen, hat nur bedingt mit der größeren Nähe zum Kunden zu tun. Damit und mit freiwilligen Selbstverpflichtungserklärungen - siehe Microsoft - wollen sie Bedenken von Cloud-Nutzern ausräumen. Dass gerade Themen wie die Kontrolle über die eigenen Daten, der Standort des Rechenzentrums eines CSP und dessen Firmensitz eine Rolle bei der Auswahl des Anbieters spielen, belegen zahlreiche Studien.
Eine Untersuchung von Bitkom Research und KPMG ergab beispielsweise, dass 75 Prozent der deutschen Unternehmen, die Cloud-Dienste einsetzen oder dies tun wollen, von ihrem Provider erwarten, dass er die Services ausschließlich über Datacenter im EU-Raum bereitstellt. Und 73 Prozent verlangen, dass der CSP seinen Hauptsitz im Rechtsgebiet der EU hat. Cloud-Service-Provider aus Deutschland oder EU-Staaten stellen den auch diesen Punkt gerne heraus und werben damit, dass sie alle EU- und deutschen Datenschutzvorschriften penibel einhalten und deutschem beziehungsweise EU-Recht unterliegen.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Das heißt nicht, dass Amazon, Microsoft, Google, Oracle oder Salesforce.com per se solche gesetzlichen Regelungen unterlaufen, nur weil sie US-Firmen sind. Tatsache ist aber, dass sie als Unternehmen mit Hauptsitz in den USA amerikanischem Recht unterliegen. Und das bedeutet wiederum, dass sie gemäß Regelungen wie dem Patriot Act verpflichtet sind, auf Anfrage von US-Behörden Daten von Kunden herauszugeben, egal, in welchem Rechenzentrum diese lagern. Daran ändern auch Data Center in Dublin, Frankfurt am Main oder München nichts.
Microsoft: Kampf gegen übergriffige Gerichte
Ein Beispiel für die rigorose Sichtweise amerikanischer Behörden: Im Sommer 2014 verurteilte ein Gericht in New York Microsoft dazu, E-Mails eines Kunden herauszugeben, die im Microsoft-Rechenzentrum in Dublin lagerten. Gegen diese "Cloud-Hausdurchsuchung" hat Microsoft Rechtsmittel eingelegt. Unterstützung erhält das Unternehmen dabei von anderen IT-Firmen, etwa Google, Apple, AT&T, Cisco und Verizon. Sie alle fürchten, dass ein derartiges Durchgriffsrecht amerikanischer Behörden Anwender im Ausland abschreckt.
Foto: Microsoft
Und das zu Recht, denn mittlerweile kristallisiert sich speziell in Deutschland heraus, dass Unternehmen, aber auch öffentliche Einrichtungen, auf CSPs mit Sitz in Deutschland oder zumindest der EU zurückgreifen beziehungsweise dies tun müssen. Vor diesem Hintergrund ist nachvollziehbar, dass sich derzeit in vielen Unternehmen eine Arbeitsteilung herauskristallisiert: Unternehmenskritische Daten werden im eigenen Rechenzentrum oder einer Private Cloud gespeichert und bearbeitet, weniger kritische Services, etwa Office oder Storage-Kapazitäten für - verschlüsselte - Archivdaten ordert ein Anwender bei einem Service-Provider.
Allerdings gilt es bei der Debatte über die Sicherheit von Geschäftsdaten bei einem (ausländischen) Cloud-Anbieter folgenden Punkt zu bedenken: Die meisten Rechenzentren von Unternehmen, speziell von Mittelständlern, weisen meist nicht dieselben hohen IT-Security-Standards auf wie Cloud-Rechenzentren. Dass Unternehmensdaten durch illoyale oder fahrlässige eigene Mitarbeiter oder eine Attacke von Cyber-Kriminellen auf das Firmenrechenzentrum abhanden kommen, ist somit wahrscheinlicher als "Data Breaches" bei einem Cloud-Service-Provider.