Wo welche Datenschutzregeln gelten
Gerade im Fall Microsoft versus Vereinigte Staaten von Amerika spiegeln sich die unterschiedlichen Auffassungen wider, die derzeit in Bezug auf den Schutz von Daten in Cloud-Umgebungen dies- und jenseits des Atlantiks vorherrschen. Eine amerikanische Richterin vertrat im betreffenden Fall die Ansicht, dass nicht der physische Speicherort von Daten entscheidend sei, sprich Irland, sondern wer die Kontrolle über diese Informationen habe, also Microsoft. Eine US-Firma, die amerikanischem Recht unterliege, sei somit dazu verpflichtet, Daten gegebenenfalls herauszugeben, gleich, wo diese gespeichert sind.
Das widerspricht klar der Auffassung der EU. Sie vertritt das Territorialprinzip: Es gilt die Rechtsprechung desjenigen Landes, in dem Informationen in Cloud-Rechenzentren gespeichert und bearbeitet werden. Eine Annäherung ist derzeit nicht in Sicht. Die EU-Datenschutz-Grundverordnung, die bis Ende 2015 fertiggestellt werden soll, untermauert den Standpunkt der Europäischen Union.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Fast schon grotesk ist, dass sich die Anfrage des New Yorker Gerichts auf einen Fall von Drogenhandel bezieht. Die Ermittlungen und die Suche nach Beweisen sind somit in diesem und ähnlichen Fällen durchaus legitim. Höchst eigenwillig klingt die Argumentation des amerikanischen Gerichts dafür, dass es nicht den üblichen Weg über ein Rechtshilfeverfahren beschritten hat: Es sei gar nicht erforderlich, US-Ermittlern direkten Zugang zum Rechenzentrum von Microsoft in Irland einzuräumen, um an die gewünschten Informationen zu gelangen. Microsoft müsse die Informationen eh herausrücken. Zudem seien Rechtshilfeverfahren langwierig und würden die Ermittlungen gefährden. Das heißt, dem Zugriffsrecht des Staates, besser gesagt von US-Behörden, wird höhere Priorität eingeräumt als den Datenschutzregelungen in anderen Ländern.
Cloud made in Germany
Die Debatte um das Thema "Wer hat Zugriff auf meine Daten" hat dazu geführt, dass Cloud-Service-Provider mit Sitz in Deutschland und der EU damit werben, dass sie als Unternehmen dem deutschen und EU-Datenschutzrecht unterliegen: "Im Vergleich zu anderen Regionen gelten in der Europäischen Union und in Deutschland deutlich strengere Datenschutzregeln. Cloud Service Provider wie Pironet NDH, die in Deutschland ansässig sind, erfüllen diese Vorgaben", sagt beispielsweise Khaled Chaar, Managing Director Business Strategy bei Pironet NDH, einer Tochter des deutschen IT-Systemhauses Cancom. "Bei Anbietern mit Hauptsitz in Ländern außerhalb des EU-Rechtsraums müssen Kunden detailliert prüfen, welchen Regelungen diese Service Provider unterliegen und inwieweit sie die Vorgaben des EU-Datenschutzrechts erfüllen", so Chaar weiter.
Foto: Pironet NDH / Cancom
Speziell Unternehmen in Deutschland teilen diese Auffassung. So ergab eine Studie von der Beratungsunternehmen Bitkom Research und KPMG, dass es für zwei Drittel der Unternehmen wichtig ist, dass ein Cloud-Service-Provider seinen Sitz in Deutschland oder der EU hat. An die 75 Prozent der Befragten bevorzugen einen Provider, der zumindest ein Rechenzentrum im EU-Raum unterhält. Diese Vorgaben erfüllen nicht nur Anbieter von Cloud-Services wie Pironet NDH, T-Systems, Host Europe oder 1&1. Alle relevanten amerikanischen Cloud-Service-Provider haben mittlerweile Rechenzentren in Europa und Deutschland aufgebaut.
Foto: Bitkom Research / KPMG
"Wir sind beispielsweise in Frankfurt am Main präsent und tragen damit dem Wunsch von Kunden Rechnung, die Geschäftsdaten in einem Data Center in Deutschland speichern und bearbeiten möchten", sagt Constantin Gonzalez von AWS. Auch IBM (Softlayer), Salesforce.com und VMware betreiben Rechenzentren in Deutschland, vorzugsweise in Frankfurt. Andere Unternehmen, wie Microsoft und Google, beschränken sich auf Cloud-Data Center in EU-Ländern wie Irland oder Belgien.
Deutsche Cloud? Reines PR-Thema!
Der Hype rund um eine "Deutsche Cloud" hat jedoch auch Kritiker auf den Plan gerufen: "Anwender in Deutschland haben niemals nach einer 'Cloud Made in Germany' verlangt", sagt beispielsweise René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research. "Bei dem Ganzen handelt es sich schlichtweg um eine Idee einiger besonders kreativer Marketingmanager." Buest zufolge sollten sich deutsche Anbieter von Cloud-Diensten besser darauf konzentrieren, konkurrenzfähige Angebote auf den Markt zu bringen, damit sie vor allem mit den Services von amerikanischen Anbietern mithalten können.
- Cloud Computing und der deutsche Markt 2014
Wie steht es um das Thema Cloud in deutschen Unternehmen? Was machen die großen Cloud Service Provider (CSP), außer ein Data Center nach dem anderen aus dem europäischen und deutschen Boden zu stampfen? Wir haben Zahlen und Fakten zusammengestellt. - Wie Anwender einen Cloud Provider finden
Bei der Auswahl eines Cloud-Service-Providers dominiert zwar mit "Integrationsfähigkeit" der Lösung ein technisches Kriterium. Fast ebenso wichtig sind jedoch Faktoren wie der Firmensitz des Anbieters und der Standort seiner Datacenter. - Das Misstrauen ist weider da
Deutsche Unternehmen hegen ein gewisses Misstrauen gegenüber Cloud-Services von externen Anbietern. Das spiegelt sich in Anforderungen wie der Datenspeicherung in Deutschland und der Vertragsgestaltung wider. - Wenn, dann sind es Konzerne
Laut der Studie Cloud Monitor 2014, welche die Beratungsgesellschaft KPMG im Auftrag des Hightech-Verbandes Bitkom erstellte, standen deutsche Unternehmen bis Ende 2013 Public-Cloud-Diensten skeptisch gegenüber. Nur 15 Prozent griffen auf solche Angebote zurück, vor allem Großfirmen. - Geeignetes Gegenmittel?
Amazon Web Services (AWS) versucht, ein Vertrauensverhältnis zu misstrauischen Kunden aufzubauen. - Hybride Modelle gefragt
Um die Kontrolle über ihre Daten nicht komplett an einen externen Provider abgeben zu müssen, tendieren viele Anwender mittlerweile zu Hybrid-Modellen. - HP Helion
HP setzt mit seiner auf OpenStack basierenden Helion-Architektur sowohl auf Private- als auch Public-Cloud-Ansätze. - Oracle Solaris
"Build for Clouds": Auch Oracle preist gewohnt vollmundig seine Cloud-Infrastruktur-Angebote an. - Die Deutschen dürfen mitspielen
T-Systems geht als größter nationaler CSP einen diversifizierten Weg und offeriert Dienste in allen Bereichen - von Business-Apps über Kommunikations-Dienste und Security bis hin zu PaaS- und BPM-Services. - Hindernisse bleiben
Für die Cloud-Provider sind aber immer noch große Steine zu klopfen: Sicherheitsbedenken, individuelle Wünsche, unternehmensinterne Widerstände und andere Prioritäten bremsen den "vollen Cloud-Umstieg" in vielen deutschen Anwenderunternehmen noch aus. - ... und wenn, dann bitte von hier
Globale Cloud-Provider werden es wohl weiterhin nicht leicht haben - die lokalen Dienstleister und Fachhändler oder stark spezialisierte Provider, die Kundenwünsche gezielt befriedigen können, haben Vorteile.
Richtig ist jedoch laut Buest, dass ein Großteil der Chief Information Officer deutscher Unternehmen Cloud Service Provider danach bemessen, ob diese über ein Rechenzentrum in Deutschland oder zumindest in einem Mitgliedsland der Europäischen Union verfügen. Dies sei den rechtlichen Vorgaben und Datenschutzregelungen geschuldet. "Unternehmen sollten jedoch nicht den Faktor globale Präsenz eines Service-Providers unterschätzen", so Buest weiter. "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen. Das ist auch der Grund dafür, dass die Strategien in den Bereichen IT und Cloud von Beginn an aufeinander abgestimmt werden müssen."