DSGVO & Co.: Anforderungen an Cloud-Anbieter Beim Datenschutz ist blindes Vertrauen der falsche Weg

Von Claudia Frese*

Anbieter zum Thema

Die Nutzung der Cloud ist heute fast so selbstverständlich wie Strom aus der Steckdose. Gleichzeitig hat die virtuelle Infrastruktur für viele einen abstrakten Charakter, sodass der Wunsch nach zuverlässiger Datensicherheit und größtmöglichem Datenschutz groß ist.

Um Compliance-Anforderungen einzuhalten, gilt es, die Daten beim richtigen Cloud-Anbieter zu speichern.
Um Compliance-Anforderungen einzuhalten, gilt es, die Daten beim richtigen Cloud-Anbieter zu speichern.
(Bild: STRATO AG)

Umfragen wie etwa der Cloud-Monitor 2021 von Bitkom zeigen, dass bei der Auswahl eines Dienstleisters für eine überwältigende Mehrheit der befragten Unternehmen die Konformität mit der DSGVO das wichtigste Kriterium ist. Viele wollen zudem ein Rechenzentrum, das im Rechtsraum der EU steht. Der Grund dafür ist schnell ausgemacht: Die meisten Organisationen fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten. Andere zögern angesichts einer unklaren Rechtslage, Teile ihrer Infrastruktur in die Wolke auszulagern. Immerhin ist eine juristisch einwandfreie Datenübermittlung an Dienstleister außerhalb der EU – etwa in die USA – derzeit nicht möglich.

Fakt ist: Cyberangriffe gegen Unternehmen stellen heute eine große Gefahr dar. Deshalb ist das Thema Sicherheit für sie wichtiger denn je. Gute Cloud-Anbieter setzen im Hintergrund viele Sicherheitsmaßnahmen wie physische und logische Trennung, Verschlüsselung, Change-Management, Backup sowie Business-Continuity um und haben schon aus ureigenem Interesse ein wachsames Auge auf Cyberaktivitäten, technisch bedingte Betriebsausfälle oder fehlerhafte Konfigurationen.

Beim Thema Datenschutz ist die Situation für Unternehmen als Inanspruchnehmer der Services allerdings etwas verzwickter: Die Speicherung personenbezogener Daten in der Cloud stellt sie grundsätzlich vor ein Problem, wenn die Server der Provider in Ländern mit weniger strengen Richtlinien stehen. In den USA und China beispielsweise können Behörden und Geheimdienste auf dort gespeicherte Daten zugreifen. Da vielen Kunden diese Compliance-Zwickmühle zumindest vage bewusst ist, speichern US-amerikanische Provider inzwischen die Daten europäischer Kunden innerhalb der EU.

Das bringt im Zweifelsfall aber nach wie vor keine absolute Rechtssicherheit, denn auch der Hauptsitz eines Anbieters ist ein entscheidender Faktor für die Einhaltung von Datenschutzregeln: So sind US-basierte Konzerne verpflichtet, auf Nachfrage von Regierungsbehörden teils sogar ohne richterlichen Beschluss Daten – auch personenbezogene – herauszugeben. Daran ändert ein Serverstandort in Deutschland oder der EU nichts; ein solches Vorgehen ist reine Kosmetik.

Um Rechtssicherheit zu gewährleisten, müsste man eine eigenständige Verschlüsselung der Daten der eigentlichen Cloud-Nutzung voranstellen. Und selbst dann ist noch nicht geklärt, ob es wirklich ausreicht. Eine schon länger angestrebte Vereinbarung, wie mit einer Datenübermittlung beispielsweise in die USA umgegangen wird – Stichwort „EU-US Privacy Shield“ –, ist vom Europäischen Gerichtshof (EuGH) jedenfalls am Ende wieder kassiert worden.

Ein europäischer Cloud-Anbieter mit einem Rechenzentrum innerhalb der EU ist aktuell also die bessere Wahl. Er muss sich an die strikten Vorgaben der DSGVO und im Bereich der elektronischen Kommunikation an die der sogenannten E-Privacy-Richtlinie halten, die künftig von der E-Privacy-Verordnung abgelöst wird und die in Deutschland bereits über das neue Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in deutsches Recht umgesetzt wurde.

Davon unabhängig müssen Kunden bei der Wahl des passenden Providers auf versteckte Hintertüren achten: Unterhält der Cloud-Hoster eigene Rechenzentren, oder bedient er sich anderer Colocation-Anbieter? Nur ein Provider, der das offenlegt, verhält sich DSGVO-konform. Sind andere Plattformen im Spiel, ist ebenfalls Transparenz bei der eigentliche Datenhaltung unabdingbar.

Aber auch die Zusammenarbeit mit Drittanbietern muss genau geregelt sein. Da viele Provider Dienste von Partnern – beispielsweise bei der Administration oder dem Backup von Daten – beziehen, besteht die Gefahr, dass personenbezogene Informationen in unerlaubte Hände gelangen oder Sicherheitszertifikate ungültig werden, weil ein Auditor die Dienste des Subunternehmens nicht verfolgen kann. Die Haltung „Wo kein Kläger, da kein Richter“ endet spätestens dann, wenn die zuständige Aufsichtsbehörde oder Staatsanwaltschaft eine Untersuchung einleiten.

Zudem sollten Unternehmen nicht dem Trugschluss aufsitzen, mit der Beauftragung eines Providers die komplette Haftung abwälzen zu können. Als Eigentümer personenbezogener Daten ist nach wie vor der jeweilige Betrieb für die Einhaltung von Sicherheits- und Compliance-Anforderungen verantwortlich. So fordert auch der C5-Kriterienkatalog für Mindestanforderungen an sicheres Cloud Computing des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine „Shared Responsibility“ ein: Der Kriterienkatalog beinhaltet zwar umfängliche Anforderungen an den Cloud-Provider, etwa hinsichtlich des Umgangs mit Ermittlungsanfragen. Gleichzeitig nimmt das BSI aber auch den Cloud-Kunden durch korrespondierende Kontrollen in die Pflicht. Das bedeutet: Nutzer entsprechender Dienste müssen eigenständig prüfen, ob ihr Anbieter alle Datenschutzbestimmungen einhält.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Von ihrem Provider sollten Unternehmen erwarten können, dass er bezüglich Speicherort und angewandter Datensicherheitsstandards mit offenen Karten spielt. Denn hier geht es nicht zuletzt um ein ihm anvertrautes hohes Gut – sensible Daten, oftmals auch Kundendaten, die entsprechend geschützt gehören. Blindes Vertrauen gegenüber Cloud-Anbietern und anderen externen Partnern ist deshalb fehl am Platz.

Claudia Frese, CEO von Strato.
Claudia Frese, CEO von Strato.
(Bild: Strato)

*Die Autorin: Claudia Frese, CEO der Strato AG in Berlin.

(ID:48526774)