Der Umfang angebotener Dienste in der Cloud ist nahezu unüberschaubar. Zunächst ordnen wir daher die Clouddienste, um diese sodann unter den Gesichtspunkten Datenschutzrecht und Datensicherheit zu bewerten.
Definition und Angebote
Letztlich handelt es sich bei Cloudangeboten um die Bereitstellung von fremden Computing-Ressourcen, etwa Server, Speicher, Datenbanken, Netzwerkkomponenten, Software, Funktionen oder Infrastruktur über das Internet, um schnellere Innovationen, flexible Ressourcen und Skaleneffekte zu bieten. On-Premises bezeichnet hingegen den Einsatz auf eigenen Servern.
Platzhirsch unter den Anbietern ist dabei AWS (Amazon Web Services), gefolgt von Google Cloud und Microsoft Azure. Auch IBM, Oracle und Alibaba sind als CSP (Cloud Service Provider) etabliert. Daneben gibt es kleinere Cloudanbieter wie beispielsweise exoscale.com, hornetdrive.com oder cloudsafe.com in Europa.
Die bekanntesten Dienste von Amazon dürften Simple Storage Service (S3) und serverlose Datenverarbeitung (Lambda) sein.
Google Cloud etwa bietet mit der G-Suite eine umfangreiche Business-Anwendung an, daneben etwa Datenanalyse und maschinelles Lernen.
Microsoft Azure schließlich ist vor allem durch Office 365 und Cognitive Systems bekannt.
Übertragung von personenbezogenen Daten in die USA
Alle größeren Cloud-Anbieter haben ihren Sitz in den USA und unterstehen damit dem Cloud-Act („Clarifying Lawful Overseas Use of Data Act“). Danach hat ein Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste auf behördliche Anordnung hin in seiner Kontrolle, Besitz oder Obhut befindliche Inhalte seiner Kunden offenzulegen. Diese Pflicht besteht unabhängig vom jeweiligen Speicherort.
Datenschutzrechtlich liegt in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO vor, die nur rechtmäßig ist, wenn der Auftragsverarbeiter hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Ist dadurch die Übertragung personenbezogener Daten in die USA rechtswidrig?
Diese Frage kann jedenfalls für diejenigen Dienstleister, die eine gültige EU-U.S.-Privacy Shield-Zertifizierung besitzen, verneint werden. Trotz der durch die Datenschutzbehörden geäußerten Kritik besteht aufgrund der bindenden Entscheidung der Europäischen Kommission vom 12.07.16 (2016/1250) eine Rechtsgrundlage für die Datenübertragung. Daneben existiert die Möglichkeit Standardvertragsklauseln abzuschließen. Beide Lösungen halten aber womöglich nicht ewig, da sie derzeit einigen Gegenwind erfahren.
Alternative Europa?
Ist es trotz bestehender Rechtsgrundlage sinnvoll, die Übertragung – nicht nur personenbezogener – Daten auf Europa zu beschränken?
Hinsichtlich Skalierbarkeit und Preisgestaltung können kleinere Anbieter in vielen Fällen nicht mithalten, auch die Abhängigkeit vom Anbieter und das Insolvenzrisiko sprechen eher gegen kleinere Anbieter. Andererseits können diese gerade in Nischenbereichen punkten. Wichtigstes Argument bleibt jedoch der Schutz vor Zugriff durch ausländische Geheimdienste oder Unternehmen.
Doch auch die EU-Kommission arbeitet an einer e-Evidence-Verordnung, die vorsieht, dass die nationalen Strafverfolgungsbehörden der EU-Staaten Daten künftig direkt bei Hostern anfragen dürfen, wenn diese in einem anderen EU-Land liegen.
Fazit
Die „richtige“ Wahl des CSP hängt vor allem vom konkreten Anwendungsszenario ab. Gerade bei besonders sensiblen Daten können dabei europäische Cloudanbieter (noch) punkten.
Bei einer Datenübertragung über öffentliche Netze, insbesondere über das Word Wide Web, hilft diese Wahl jedoch nur, wenn eine sichere Ende-zu-Ende-Verschlüsselung der Daten erfolgt, da die Datenströme auch bei einem Standort des CSP innerhalb der EU um die ganze Welt gehen können.
Auch die physische Isolierung sensibler Daten auf On-Premises-Systemen ist nicht ganz einfach: Um eine mit den großen Rechenzentren vergleichbare Datensicherheit zu gewährleisten, bedarf es erheblicher finanzieller Anstrengungen.
Nutzer von CSP-Diensten dürfen sich zudem nicht nur auf die Sicherheitsvorkehrungen des Dienstleisters und dessen zertifizierte Rechenzentren verlassen. Denn auch bei den Unternehmen, die CSP nutzen bleiben eine Reihe von Sicherheitsmaßnahmen, über die man sich Gedanken machen muss – z.B. die (2-Faktor-Authentisierung) für Administratoren, die Schulung von Mitarbeitern in Bezug auf die Risiken der neue Arbeitsumgebungen (versehentliche Freigaben), die Absicherung von Schnittstellen etc.