+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Cloud Computing: Wo liegen die Daten?

Bei vielen Produkten achtet man auf ihre Herkunft, um ein Gefühl für die Qualität zu haben. Das darf bei der Nutzung von IT-Diensten aus dem Internet nicht anders sein, allein schon aus Gründen des Datenschutzes.

Wo sind die Daten?

Stellen Sie sich vor, Sie wollen wissen, ob die Daten eines wichtigen Kundenprojekts sicher gespeichert werden. Um das zu klären, müssen Sie zuerst in Erfahrung bringen, wo Ihr Unternehmen denn die Daten vorhält: Liegen sie auf einem bestimmten Speichermedium im Tresor, im Rechenzentrum, das Ihr Unternehmen nutzt, oder nur auf Ihrem lokalen Arbeitsplatz-PC? Sie merken schon: Der Standort der Datenspeicherung und Datenverarbeitung hat durchaus einen Einfluss auf den Grad der Sicherheit.

Wenn die Daten in einer Cloud gespeichert sind, also irgendwo im Internet, spielt der Standort ebenfalls eine Rolle, nur dass Sie nicht ohne Weiteres wissen, wo der Standort ist.

Das ist ein Problem, nicht nur für die Prüfung, wie sicher die wichtigen Daten sind. Es gibt rechtliche Vorgaben dazu, an welche Standorte personenbezogene Daten übertragen werden dürfen. Besondere Bedingungen herrschen, wenn die Daten das Gebiet der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) verlassen. Doch woher weiß man eigentlich, wohin die Daten wandern, wenn man sie in einer Cloud speichert?

Der Standort entscheidet über Sicherheit der Daten

Es ist zum Glück nicht unmöglich, Informationen über den Standort von Daten zu erhalten, wenn sie sich in einer Cloud befinden. Die Standortfrage sollte allerdings bereits vor der Nutzung einer Cloud gestellt werden, also zum Beispiel dann, wenn Sie Vorschläge für IT-Dienste aus dem Internet machen wollen, die Sie für Ihre betrieblichen Aufgaben benötigen. Aber auch dann, wenn Sie einmal privat Daten in eine Cloud übertragen wollen, sollten Sie an die Frage nach dem Standort der Cloud denken. Denn er kann die Sicherheit der Daten beeinflussen.

Die Ortung der Daten

Die Klärung der Standortfrage beginnen Sie am besten mit dem Fragen selbst, also mit einer Rücksprache bei dem Cloud-Anbieter oder einer Recherche in den Informationen des Anbieters. Kommt hierbei heraus, dass die Daten außerhalb der Europäischen Union gespeichert werden, sollten Sie sich den Rat der oder des Datenschutzbeauftragten, also von mir, einholen. Eine Datenübermittlung in Drittstaaten bedarf immer der genauen Überprüfung.

Selbsterklärungen reichen nicht

Selbst wenn der Cloud-Anbieter sagt oder schreibt, alle Daten würden in Deutschland oder in der EU vorgehalten, ist diese Selbstbestätigung nicht ausreichend.

Wichtig wäre es, dass ein unabhängiger Dritter eine Bestätigung gibt, dass also zum Beispiel ein anerkanntes Zertifikat bescheinigt, dass es sich um einen Cloud-Dienst aus Deutschland oder der Europäischen Union handelt. Zusätzlich gibt es technische Kontrollmöglichkeiten (Prüfung der Protokollierung, spezielle Abfragen und Berichte), die natürlich niemand von einem Cloud-Nutzer erwartet.

Hinterfragen Sie immer den Standort

Grundlegend ist aber, dass Sie als Nutzer oder vielleicht auch als Entscheider, wenn es um die Wahl von Cloud-Diensten geht, immer im Auge behalten, dass es auch bei Diensten aus dem Internet darum geht, wo die Daten gespeichert und verarbeitet werden.

Suchen Sie ggf. Expertenrat

Wenn Sie sich unsicher darüber sind, sprechen Sie mit mir oder der IT-Administration. Die Standortfrage muss gestellt und beantwortet werden. Denn es geht um den Schutz personenbezogener und anderer vertraulicher Daten. Und dieser Schutz ist nicht überall gleichermaßen gut und umfassend.
Kennen Sie die Herkunft der von Ihnen genutzten Cloud?

Machen Sie den Test!

Frage: Cloud-Dienste, die man bei einem deutschen Anbieter bestellt, sind deutsche Cloud-Dienste. Stimmt das?

  1. Ja, denn der Anbieter ist doch die verantwortliche Stelle in Deutschland.
  2. Nein, viele Anbieter vermitteln nur Dienste, die oftmals aus den USA stammen.

Lösung: Die Antwort 2. ist richtig. Zum einen ist der Auftraggeber die verantwortliche Stelle für den Datenschutz. Zum anderen sind viele Auftragnehmer bei Cloud Computing nur Reseller. Die angebotene Cloud selbst kann überall sein, auch wenn der Händler in Deutschland sitzt.

Frage: Wenn der Cloud-Anbieter sagt, die Cloud werde in Deutschland betrieben, reicht das. Ist das tatsächlich so?

  1. Ja, damit hat man die Bescheinigung über den Standort der Cloud.
  2. Nein, zusätzlich zur Information des Anbieters muss es möglich sein, den Standort zu überprüfen. Immerhin hat man ja Kontrollpflicht als Auftraggeber.

Lösung: Die Antwort 2. ist wieder richtig. Tatsächlich wird von einem Cloud-Anbieter gefordert, dass er den Standort der Cloud und damit der Datenspeicherung oder Datenverarbeitung transparent darlegt. Doch von dem Auftraggeber, also dem Cloud-Nutzer, wird erwartet, dass er die Datenschutzmaßnahmen des Anbieters kontrolliert. Zumindest sollte er sich die Aussage zum Cloud-Standort Deutschland oder EU durch einen unabhängigen Dritten bestätigen lassen. Hilfreich können hier anerkannte Zertifikate sein. Bescheinigen die Zertifikate die Einhaltung der in Deutschland gültigen Datenschutzvorgaben, ist damit auch die Frage nach dem Standort letztlich geklärt.