Cloud-Security

Ohne Sicherheit bleibt die Cloud ein Luftschloss

21.08.2012
Von 
Bernd Reder ist freier Journalist mit den Schwerpunkten Netzwerke, IT und Telekommunikation in München.

Server in der EU

Wie wichtig deutschen Nutzern von professionellen Cloud-Diensten dieser Punkt ist, belegt eine Studie der Beratungsgesellschaft PriceWaterhouseCoopers (PwC) zur Akzeptanz von Cloud Computing im Mittelstand: Demnach wissen zwei Drittel der deutschen Nutzer von Cloud-Diensten, in welchem Land ihre Daten verarbeitet werden. Keine der befragten Firmen nutzte wissentlich Services, bei denen Unternehmensinformationen auf Servern und Speichersystemen außerhalb der EU oder Deutschlands lagerten.

EU-Datenschutzrichtlinie und Cloud Computing

Am 25. Januar 2012 stellte EU-Justizkommissarin Viviane Reding Vorschläge für eine Neuordnung der EU-Datenschutzrichtlinie von 1995 vor. Sie sehen unter anderem folgende Punkte vor:

  • Innerhalb der EU wird eine einheitliche Datenschutzregelung etabliert.

  • Jedes Unternehmen, das personenbezogen Daten speichert oder verarbeitet, muss diese Regelungen respektieren. Das gilt auch für Firmen, die ihren Sitz im Ausland haben, jedoch in der EU Cloud-Services anbieten.

  • Firmen und öffentliche Einrichtungen mit mehr als 250 Mitarbeitern müssen einen Datenschutzbeauftragten bestimmen. In Deutschland ist dies bereits durch das Bundesdatenschutzgesetz vorgeschrieben.

  • Datenlecks müssen innerhalb von 24 Stunden den Betroffenen und Aufsichtsgremien gemeldet werden.

  • Nutzer von Cloud-Services haben das Recht, ihre Daten beim Wechsel des Providers mitzunehmen. Generell soll der Wechsel des Cloud-Service-Providers erleichtert werden.

  • Nutzer können verlangen, dass der Provider, etwa der Betreiber eines sozialen Netzwerks, ihre Daten löscht.

Unter Fachleuten sind viele dieser Regelungen umstritten. So stellt der Deutsche Anwaltsverein in einer Stellungnahme zu dem EU-Entwurf fest: "Eine Änderung der derzeitigen EU-Datenschutzrichtlinien, die das Cloud Computing erleichtert und gleichzeitig das Datenschutzniveau bewahrt, ist rein praktisch kaum vorstellbar." Das Kernproblem sei, dass Drittländer wie die USA andere Datenschutzkonzeptionen verfolgten und es daher nicht möglich sei, bei Cloud-Computing-Diensten einheitliche Datenschutz- und Sicherheitsregelungen durchzusetzen.

Die britische Anwaltskanzlei Bird & Bird wiederum begrüßt den Vorstoß. Sie moniert, dass es derzeit innerhalb der EU keine einheitlichen Datenschutzregeln gibt. Dies erschwere selbst innerhalb der EU die Nutzung von Cloud-Computing-Diensten. Allerdings bemängelt Bird & Bird, dass die neue Datenschutzregelung den Abschluss von benutzerspezifischen Service-Level-Agreements zwischen dem Anbieter und User von Cloud-Diensten zu stark einschränken könnte. Ein weiterer Kritikpunkt: Zwar will der EU-Entwurf den Wechsel zu einem anderen Cloud-Service-Provider erleichtern, es fehlt jedoch derzeit an technischen Standards für Cloud-Dienste. Solange diese nicht existierten, drohe weiterhin die Gefahr des "Vendor Lock-in".