Public Cloud, Safe Harbor und Datenschutz

Anwender wollen gar keine "deutsche Cloud"

31.01.2016
Von 
Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.

Datentransfer zwischen USA und EU in Gefahr

Seagate, ein Anbieter von Storage-Systemen und Cloud-Speicherlösungen, kritisiert, dass durch das Urteil des Europäischen Gerichtshofs die rechtliche Basis für Cloud-Services in Wanken geraten ist: "Ohne gültige Regelungen ist unklar, für ein Transfer von Daten zwischen der EU und den USA stattfinden soll", so das Unternehmen in einer Stellungnahme. Die Entscheidung des EuGH könne sich einer erheblichen Belastung für die Beziehungen zwischen beiden Regionen entwickeln. Zudem müssten die laufenden Verhandlungen zwischen der EU und den USA über eine neue Version des Safe-Harbor-Abkommens die Entscheidung berücksichtigen.

V?ra Jourová, die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, bestätigte in einer Stellungnahme, dass die Übermittlung von Daten von EU-Mitgliedsstaaten in die USA nicht mehr auf Basis von Safe harbor erfolgen kann. Stattdessen müssten international gültige Verfahren eingesetzt werden, die in der EU-Datenschutzdirektive aufgeführt sind. Dazu zählen laut Jourová verbindliche Regelungen für den Datentransfer innerhalb von Unternehmen oder Vereinbarungen auf Grundlage der EU-Standardvertragsklauseln für Cloud-Services.

Pragmatisch: Verschlüsselung

Bis die Datenschutzbehörden der einzelnen EU-Staaten nun genau klären, in welchen Bereichen und regionalen Räumen welche Datenschutzbestimmungen für Cloud-Services gelten, empfiehlt sich für Unternehmen eine pragmatische Vorgehensweise. So lässt sich vertraglich regeln, in welchem Cloud-Rechenzentrum die Daten eines Anwenders gespeichert werden. Der Nutzer kann beispielsweise vorgeben, dass dies nur in einem Data Center in Deutschland oder der EU erfolgt.

"Wir raten unseren Kunden außerdem dazu, ihre Daten mit entsprechend leistungsstarken Verfahren zu verschlüsseln und ein sichere Verwaltung der Schlüssel zu implementieren", so Constantin Gonzalez. Diese oder ähnliche Aussagen treffen so gut wie alle Anbieter von Cloud-Services zu. Eine solche Verschlüsselung sollte mithilfe "starker" Verfahren wie AES 256 (Advanced Encryption Standard, 256-Bit-Keys) und RSA durchgeführt werden, und war durchgängig, das heißt, auch auf dem Transport der Daten vom und zum Cloud-Rechenzentrum.

Mittlerweile sind Verschlüsselungsverfahren in Arbeit, die auf der Quantentechnologie beruhen. So kündigten Ende September 2015 Acronis und ID Quantique an, eine Verschlüsselungslösung für Cloud-Services auf Basis der Quantentechnik zu entwickeln. Sie soll auch Attacken auf verschlüsselte Daten mithilfe von Supercomputern und Quantenrechnern standhalten. Ausgerechnet die National Security Agency (NSA), die eine unrühmliche Rolle in der Snowden-Affäre spielte, wies vor kurzem Behörden, Forschungseinrichtungen und Unternehmen in den USA darauf hin, dass in Kürze Attacken auf verschlüsselte Daten mittels Quantenrechnern zu erwarten seien.