Cloud und Datenschutz

Wolke und Datenschutz

Ein deutsches oder EU-Cloud allein genügt nicht für den Datenschutz. Zahlreiche Einzelprojekte und Provider bemühen sich um eine Cloud "made in EU", um den EU-Datenschutz zu garantieren. Das Begehren nach einer EU-Cloud ist nicht unbekannt. Das EU-Projekt "Cloud for Europe" wurde bereits 2013 aufgesetzt. Das bis 2016 laufende Projekt zielt vor allem darauf ab, in Europa das nötige Know-how für Cloud Computing zu gewinnen.

Zu Beginn des Projekts hob der damals IT-Beauftragte der Bund hervor, dass Datenschutz und -sicherheit in der Cloud eine hohe Priorität haben müssen, um ein hohes Maß an Sicherheit in der Cloud zu gewährleisten und somit Sicherheit in der Anwendung zu gewährleisten. Nach Angaben von Staatsministerin Cornelia Rogall-Grothe gab es in Deutschland und der EU noch keine zufriedenstellenden Vorschriften. Um fortzufahren, aktivieren Sie einfach das Kontrollkästchen.

Um fortzufahren, aktivieren Sie einfach das Kontrollkästchen. Nachdem der Europäische Gerichtshof (EuGH) entschieden hat, dass die Safe Harbor-Entscheidung der EU-Kommission unwirksam ist, wird die Forderung nach einer EU-Cloud noch lauterer. In verschiedenen Projekten geht es nicht darum, Cloud Computing auf die EU allein zu begrenzen, sondern nur Cloud Computing aus Deutschland zu ermöglichen.

Beispielsweise sieht der IT-Ratsbeschluss über die Nutzungsart von Cloud-Diensten durch die Bundesregierung vor, dass schutzwürdige Angaben von Bundesinstitutionen (z.B. Betriebs- und Geschäftsgeheimnisse, vertrauliche Angaben zu Bundes-IT-Infrastrukturen) nur in Deutschland aufbereitet werden dürfen. Neben den Bemühungen um eine reine Cloud in Deutschland und Maßnahmen wie German Cloud und German Cloud sowie Deutscher Wolfgang hat die EU-Kommission eine Maßnahme für eine Cloud in Europa bekannt gegeben.

Eine wichtige Triebkraft hinter diesen Projekten ist die Lösung des Datenschutzproblems, indem Cloud Computing auf die EU oder Deutschland beschränkt wird, um festzustellen, ob Cloud-Daten auf einem geeigneten Datenschutzgrad aufbereitet werden. Allerdings muss zunächst noch geklärt werden, ob eine Cloud aus Deutschland oder aus der EU wirklich alle Datenschutzfragen klarstellen kann.

Es ist zu beachten, dass auch für eine reine deutsche Cloud oder eine EU-Cloud Datenschutzprüfungen erforderlich sind. Bisher konnten Cloud-Anwender die so genannte Ordnungskontrolle nach dem BDSG nicht vermeiden, die mit der vorgesehenen EU-Datenschutzgrundverordnung (EU-DSGVO) zu vergleichen ist. Beim Blick auf die Vorstellung einer EU-Cloud oder einer deutschsprachigen Cloud sollte auch berücksichtigt werden, ob die Cloud innerhalb Deutschlands oder der EU operiert wird oder ob alle Cloud-Komponenten überhaupt aus Deutschland oder der EU kommen.

Eine Cloud-Lösung ist in ihren Komponenten sehr unterschiedlich und umfasst neben dem Datenzentrum, in dem die Cloud-Services laufen und die gespeicherten Informationen abgelegt werden, auch Komponenten wie die IT-Sicherheitslösungen im Datenzentrum, die Netze bis hin zum Cloud-Benutzer, die Cloud-Apps und Cloud-Plattformen, die Überwachungslösungen, Detaillösungen für Notfallmanagement oder Supportlösungen und Personal.

Im Falle einer Cloud, die nur in der EU oder in Deutschland betrieben wird, kann es beispielsweise zu einem Support-Zugang aus einem dritten Land kommen, oder es können Bauteile aus einem dritten Land verwendet werden. Dabei kann der Zugang zu Daten und damit die rechtliche Übermittlung von Daten in ein Drittgebiet nicht ohne weiteres verhindert werden.

Cloud-Anwender, die datenschutztechnisch von einer EU-Cloud oder einer deutschsprachigen Cloud in Anspruch nehmen wollen, sollten daher sorgfältig überprüfen, ob die betreffende Cloud wirklich "made in Germany" oder "made in EU" ist oder nur dort betreibt wird. Lediglich eine Cloud "made in EU" und eine Beschränkung des Datenaustauschs auf den EU/EWR-Raum können die Problematik der zulässigen Datenübertragung wirklich vermeiden.

Auch die Frage, ob eine deutschsprachige Cloud oder eine EU-Cloud zur Lösung der Datenschutzfragen eingesetzt werden soll, die durch das jüngste Safe Harbor-Urteil noch weiter verdeutlicht wurden, sollte bei der Überprüfung berücksichtigt werden: Die Hauptideen hinter Cloud Computing sind die FlexibilitÃ?t und die StandortunabhÃ?ngigkeit der Verwendung. Darüber hinaus sind die wirtschaftlichen Beziehungen vor allem in Deutschland überwiegend grenzüberschreitend, so dass die Digitalwirtschaft nicht ohne weiteres eingeschränkt werden kann.

Daraus ergibt sich, dass man sich nicht auf eine Weiterentwicklung hin zu einer rein europäischen oder deutschsprachigen Cloud stützen darf. Stattdessen sollte sich die EU mit den datenschutzrechtlichen Rechtsgrundlagen und IT-Sicherheitsmaßnahmen für das länderübergreifende Cloud Computing befassen. Cloud-Anwender sollten sich daher laufend darüber auf dem Laufenden halten, wie die Rechtsgrundlage für Cloud Computing im Falle einer Übermittlung von Cloud-Daten in ein Drittland auszusehen hat.

Es wird die jeweils gültige Meinung der EU-Kommission und der Bundesdatenschutzbehörden zum Lesen aufbereitet.

Auch interessant

Mehr zum Thema