Im Rahmen von Cloud-Dienstleistungen werden IT-Infrastrukturen des Dienstleisters je nach Bedarf für den einzelnen Kunden angepasst zur Verfügung gestellt. Dabei können individuelle Bedürfnisse berücksichtigt werden. Da die IT-Infrastruktur nicht an einem lokalen Ort vorgehalten wird, sondern sich je nach Kapazität und Anforderung zusammenstellt, hat sich der Begriff der Cloud etabliert.
Aus datenschutzrechtlicher Sicht ist diese Dienstleistung nicht unumstritten, da nicht immer eindeutig festgestellt werden kann, wo in der Cloud sich die Daten des Nutzers befinden.
Das Fraunhofer-Institut für Sichere Informationstechnologie hat in einer Studie, die jetzt veröffentlich wurde, die Sicherheitsanforderungen verschiedener Cloud-Dienstleister getestet.
Insbesondere in den Bereichen
- Registrierung (u.a. keine Authentifizierung des Nutzers z.B. über eine Bestätigungs-E-Mail);
- Transportsicherheit (zum Teil werden keinen Schutzmaßnahmen ergriffen oder nicht dokumentierte Protokolle genutzt);
- Verschlüsselung (teilweise erfolgt gar keine Verschlüsslung auf Clientseite oder es werden zwar die Daten, aber keine Dateinamen verschlüsselt);
- Deduplikation (bei einigen Anbietern konnte mittels Anfrage überprüfen werden, ob eine Datei bereits in der Cloud existiert)
wurden erhebliche Mängel festgestellt.
Weitere rechtliche Probleme ergeben sich, wenn der Dienstleister außerhalb der Europäischen Union beheimatet ist. Die dort geltenden gesetzlichen Regelungen sind im Einzelfall nicht mit den Europäischen Anforderungen vereinbar. Zudem muss sich der Nutzer bewusst sein, dass unter Umständen staatliche Stellen auf Grund von Gesetzten, die für den Cloud-Dienstleister gelten, Einsicht in die Daten nehmen können. So können beispielsweise amerikanische Regierungsbehörden auf Grundlage des Patriot Act auf die Daten amerikanischer Cloud-Dienstleister zugreifen. Dies gilt sogar dann, wenn der amerikamische Cloud-Dienstleister die Daten ausschließlich in Europa speichert.
Was ist zu beachten?
Sofern Sie Cloud-Dienstleistungen nutzen oder dies planen sollten, stimmen Sie sich in jedem Fall vorab mit Ihrem Datenschutzbeauftragten sowie dem Sicherheitsbeauftragten in Ihrem Unternehmen ab.
Weitere Informationen finden Sie auf unseren Seiten unter Top Themen: Cloud Computing, wir beraten Sie gern.