CW: Verlangt das Datenschutzschutzrecht den Cloud-Betrieb in Deutschland?
Rath: Ein klares Nein. "Made in Germany" mag ein Qualitätsmerkmal sein, aus rein rechtlicher Sicht jedoch bietet eine deutsche Cloud beziehungsweise ein deutscher Cloud-Provider keinen Vorteil, zumal auch er seine Server in Indien betreiben könnte. Firmensitz und Nationalität des Eigentümers sind zunächst unerheblich. Entscheidend ist, dass im Cloud-Betrieb der Datenschutz und die sonstigen Gesetze eingehalten werden.
CW: Welche Gesetze sind relevant?
Rath: Für die Cloud gelten letztlich alle Vorschriften, die auch sonst beim IT-Outsourcing anwendbar sind, angefangen vom Bundesdatenschutzgesetz über das Lizenzrecht (Urheberrecht) bis hin zu sektorspezifischen Vorgaben wie etwa Paragraf 25 des Kreditwesengesetzes. Die öffentliche Hand unterliegt teilweise anderen Regeln. Hier bildet das Staatsterritorium häufig eine Grenze.
Wo sind Daten sicher?
CW: Ist der hiesige Datenschutz ein Standortvorteil?
Rath: Grundsätzlich besteht aufgrund der EU-Datenschutzrichtlinie in der gesamten EU und dem Europäischen Wirtschaftsraum (EWR) ein angemessenes Datenschutzniveau. Gleiches gilt für die Schweiz, für Ungarn, Argentinien, Guernsey und die Isle of Man. Zudem werden diejenigen US-amerikanischen Unternehmen als sicher eingestuft, die "Safe Harbor"-zertifiziert sind oder verbindliche Unternehmensregelungen (Binding Corporate Rules) zum Datenschutz haben.
CW-Lesergruppe in Xing
CW-Leser - die Xing-Gruppe für engagierte Leser der COMPUTERWOCHE!
-
Diskutieren Sie mit Redakteuren und IT-Professionals.
-
Gestalten Sie Inhalte der COMPUTERWOCHE aktiv mit.
-
Vernetzen Sie sich mit anderen CW-Lesern.
Hier können Sie sich anmelden.
Für einen persönlichen Kontakt stehen Ihnen unsere CW-Leserredakteure zur Verfügung:
Region München: Wolfgang Herrmann
Region Hamburg: Joachim Hackmann
Region Düsseldorf: Martin Bayer
Am 1. Juli 2010 veranstalten wir zudem in Düsseldorf und Hamburg jeweils um 19 Uhr ein Lesertreffen. In Düsseldorf wird ein Experte von Accenture etwas zur "Zukunft von ERP" verraten (Bistro Hebmüller im Meilenwerk Düsseldorf). In Hamburg beantwortet ein Analyst von der Experton Group gerne Ihre Fragen zum Cloud-Computing (Café Altamira in Hamburg-Ottensen).
Beide Treffen werden keine Powerpoint-Schlachten, sondern informative und zwanglose Abende, an denen Sie sich mit uns und untereinander austauschen können. Für Ihr leibliches Wohl ist natürlich auch gesorgt.
Anmeldungen bitte bis zum 24. Juni an die obigen E-Mail-Adressen.
Welche Daten müssen geschützt werden?
Foto: RG/Fotolia
CW: Für welche Informationen gilt der Datenschutz?
Rath: Nur die Verarbeitung von Daten ohne jeglichen Personenbezug unterliegt nicht dem besonderen Schutz informationeller Selbstbestimmung. Finanzdaten und sensible Daten, auf deren Geheimhaltung und Verfügbarkeit die Unternehmen angewiesen sind, gehören dennoch nicht in die Wolke, und zwar aus IT-Sicherheits- und Compliance-Gründen. Bevor Finanzdaten extern gespeichert werden, sollte zudem die Steuerbehörde befragt werden, denn teilweise verlangen die Finanzverwaltungen (trotz EU-Harmonisierung) einen Server-Standort im Inland.
Was leisten individuelle Verträge?
CW: Können Verträge und SLAs mit Providern den Datenschutz gewährleisten?
Rath: Rein rechtlich unterscheidet sich das Cloud-Computing kaum vom klassischen Outsourcing, die Vorteile der Virtualisierung auf Netzwerk- und Systemebene werden ja heute bereits genutzt. Für die Cloud sollten dennoch spezifische SLAs vereinbart werden. Eine private oder gekapselte Cloud sowie eine End-to-End-Verschlüsselung sind bei sensiblen Daten Pflicht. Auch sollten die umfassenden Zugriffsmöglichkeiten des Cloud-Administrators auf die Daten vertraglich reglementiert werden. Zudem ist Anwendern zu raten, keine Cloud-Dienste ohne rechtliche Prüfung, Konfigurations- und Risikoanalyse nutzen. (jha)