Regionale Clouds sollen Datenschutz sicherstellen

Die Cloud macht flexibel und spart in vielen Fällen Geld. Dass sie ein essenzieller Treiber der digitalen Transformation ist, darüber herrscht inzwischen weitgehend Einigkeit. Das bestätigt auch Uwe Pferr, CTO beim ICT-Service-Provider Operational Services, einem Joint Venture zwischen dem Frankfurter Flughafenbetreiber Fraport und T-Systems: „Cloud-Lösungen sind grundsätzlich eine pragmatische und sinnvolle Ergänzung der eigenen IT – an dieser Technologie kommen Unternehmen heute kaum mehr vorbei, wenn sie den Anschluss zum Wettbewerb nicht verlieren wollen.“

Zwar ist die Cloud in vielen IT-Abteilungen quasi schon Standard – dennoch hält auch die Skepsis an. Laut einer Untersuchung, die Bitkom Research für das Beratungsunternehmen KPMG durchgeführt hat, steht ein Viertel der Unternehmen in Deutschland dem Cloud-Computing noch eher kritisch oder sogar ablehnend gegenüber.

Vor allem bei Public-Cloud-Diensten sind die Unternehmen weiterhin vorsichtig. Hier treibt sie hauptsächlich das Thema Datenschutz um – 52 Prozent der Unternehmen sind der Meinung, dass rechtliche und regulatorische Bestimmungen gegen den Einsatz einer Public Cloud sprechen. Die strengen deutschen Datenschutzgesetze und vor allem die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren drakonischen Strafen bei Datenschutzvorfällen lassen viele Unternehmen bei der Public Cloud zögern.

Das Ziel der Datenschutz-Grundverordnung ist vor allem der Schutz personenbezogener Daten – sowohl Kunden- als auch Mitarbeiter­daten. Diese Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Zum Datenschutz gehört auch die Datensicherheit. Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen etwa vor Diebstahl schützen. Vor allem die Speicherung außerhalb der Europäischen Union ist problematisch, da in Drittstaaten meist kein angemessenes Datenschutzniveau herrscht.

Die Themen Datenschutz und Datensicherheit beschäftigen die IT-Verantwortlichen daher stark. Laut einer Umfrage des Sicherheits-Software-Anbieters Bitdefender aus dem vergangenen Jahr präferieren 89 Prozent der deutschen IT-Entscheider bei der Wahl des Cloud-Providers einen inländischen Anbieter.

Die Sache mit dem Datenschutz ist in Deutschland jedoch äußerst ambivalent, so die Erfahrung von Minas Botzoglou, Regional Director DACH beim Datenmanagement-Spezialisten Delphix. „Auf der einen Seite steht die Skepsis gegenüber ausländischen Diensten. Vor allem die NSA-Vorfälle haben die Angst vor Spionage geschürt. Auf der anderen Seite spielt das Thema Datenschutz in vielen Unternehmen generell eine viel zu geringe Rolle und der richtige Umgang mit sensiblen Daten wird kaum forciert.“ Daher sieht er die Problematik mit ausländischen Cloud-Diensten etwas differenzierter: „Solange Unternehmen den Datenschutz intern nicht ernsthaft betreiben, spielt es keine Rolle, ob die Daten in Deutschland, Europa oder im außereuropäischen Ausland gehostet werden.“ Die Anforderungen der DSGVO sollten die Unternehmen bereits vor einer Cloud-Migration im Blick haben, so Botzoglou weiter.

Die großen Public-Cloud-Anbieter wie Amazon, Google oder Microsoft reagieren auf die anhaltenden Sicherheitsbedenken deutscher Unternehmen und halten vermehrt Angebote bereit, bei denen die Kundendaten ausschließlich auf Servern in Deutschland oder Europa gehostet werden. Der Marktführer Amazon ist zum Beispiel bereits seit Ende 2014 mit seinem Cloud-Angebot Amazon Web Services (AWS) in Deutschland mit einer sogenannten Region vertreten. Google hat für seine Geschäftskunden seit September letzten Jahres Angebote mit Datenspeicherung in Deutschland im Portfolio. Ebenfalls ein deutsches Rechenzen­trum betreiben beispielsweise Salesforce für seine SaaS-Lösungen und VMware für die Hybrid-Cloud-Lösungen.

Wie relevant das Thema Datenspeicherung in Deutschland ist, zeigt sich auch daran, dass zur Eröffnung von Googles in Deutschland gehosteten Cloud-Angeboten sogar Bayerns Wirtschaftsmi­nisterin Ilse Aigner anwesend war. Sie sieht laut „Focus Online“ die Digitalisierung nicht nur „als größten Innovationstreiber der Menschheitsgeschichte“, ihrer Ansicht nach steht mit der deutschen Google-Region auch ein „weiterer Baustein für die Digitalisierung der Wirtschaft bereit“.

Für nicht ganz so einfach hält das Ganze Daniel Wolf, Regional Director DACH bei Skyhigh Networks, einem Anbieter von Software für die Cloud-Sicherheit: „Bei der DSGVO geht es um viel mehr als nur darum, wo Daten gehostet werden.“ Datenpannen hätten verschiedene Ursachen – beispielsweise schlecht konfigurierte Systeme oder verbrecherische Angestellte. „Keine dieser Pannen kann dadurch behoben werden, dass Daten nur in der EU gehostet werden“, konstatiert er.

Eine ähnliche Meinung vertritt Khaled Chaar, Managing Director Business Strategy bei dem Cloud-Dienstleister Cancom Pironet. Vielmehr sei in jedem Unternehmen das Management dafür verantwortlich, eine sachgerechte, individuelle Lösung für den Datenschutz zu finden – „die DSGVO-Problematik kann nicht von einzelnen Cloud-Diensten gelöst werden.“

Wenn ein Unternehmen nun etwa bei Amazon seine Daten in der Region Frankfurt ablegt, dann sollen die Unternehmensdaten die Region auch nicht verlassen – es sei denn, der Kunde wünscht dies: „Wir verschieben niemals Kundeninhalte weg von den gewählten Regionen des Kunden oder replizieren diese dort, ohne den Benutzer vorher um Erlaubnis gebeten zu haben“, wie Amazon auf seinen Webseiten versichert.

Das klingt zwar erst einmal vielversprechend, doch als Kunde muss ich meinem Public-Cloud-Anbieter vertrauen, dass er meine Daten auch wirklich dort ablegt, wo ich es haben will. „Zwar haben Unternehmen die Möglichkeit, den Server-Standort auszuwählen, aber eine grundsätzliche Garantie für die exakte Umsetzung dieser Wünsche durch jeden gewählten Cloud-Provider gibt es nicht“, so Uwe Pferr von Operational Services.

Wie kann man als Unternehmen also überprüfen, ob seine Daten auch wirklich in der richtigen Region liegen? Genau genommen gar nicht. Man könnte zwar zum Beispiel die Paketlaufzeiten zu bekannten Zieladressen in der Cloud messen und darüber auf die zurückgelegte Distanz schließen – nach Aussage von Uwe Pferr ist dieses Verfahren jedoch „nur bedingt aussagekräftig und belastbar“.

Ein weiteres Problem: Bei Amazon und Google etwa handelt es sich trotz europäischer Regionen nach wie vor um US-amerikanische Unternehmen. Als Kunde muss man daher damit rechnen, dass US-Behörden den Zugriff auf in Europa abgelegte Daten fordern. Dies behält sich zum Beispiel Amazon auch vor. Zwar versichert das Unternehmen, keine Kundeninhalte offenzulegen, schränkt aber ein, „außer wir müssen dies zur Einhaltung des Gesetzes oder einer gültigen und verpflichtenden Anweisung einer Regierungs- oder Regulierungsbehörde tun.“

Dass in Europa gehostete Daten vor den US-Behörden nicht zwingend sicher sind, zeigen gerichtliche Auseinandersetzungen. „Es laufen aktuell Gerichtsverfahren wie Microsoft gegen den Staat New York, wo US-Behörden in Europa gehostete Daten einfordern“, so Daniel Wolf von Skyhigh Networks. Die Anbieter von Cloud-Services zögerten zwar erfreulicherweise, Informationen an US-Behörden weiterzugeben, dennoch sollte man die Problematik im Auge behalten.

Unternehmen, die ihre Daten US-amerikanischen Cloud-Anbietern anvertrauen, sollten daher Vorkehrungen zu deren Schutz treffen. Laut Uwe Pferr sollte man sich bei seiner Cloud-Strategie beispielsweise mit dem Thema digitale Si­gnatur und Verschlüsselung vertraut machen. „Allerdings lässt sich nur schwer einschätzen, welche Möglichkeiten die US-Behörden tatsächlich haben, um auch verschlüsselte Daten zu erreichen. Aber die Gefahr von Datenlecks besteht grundsätzlich, auch unabhängig vom Speicherort.“ Generell gehöre zu der Zusammenarbeit mit einem Cloud-Provider doch immer Vertrauen, unabhängig davon, ob es Amazon, Google oder sonst ein Anbieter ist – „ohne können Unternehmen ihre Daten nicht mit gutem Gewissen in die Cloud verlagern“, resümiert Pferr.

Microsoft geht in Sachen Datenschutz noch ein Stück weiter als Amazon oder Google und hat sich mit der Telekom-Tochter T-Systems zusammengetan. Der Redmonder Software-Riese bietet seine Cloud-Dienste wie Azure und Office 365 aus deutschen Rechenzentren von T-Systems in Berlin und Magdeburg an. Die Telekom-Tochter fungiert dabei quasi als Datentreuhänder und soll die Einhaltung der strengen hiesigen Datenschutzbestimmungen gewährleisten. Die Preise für die deutsche Azure-Cloud bei T-Systems sind zwar um rund 15 Prozent höher als bei Microsoft direkt, die Daten befinden sich damit aber bei einem deutschen Unternehmen und unterliegen so nicht dem US-amerikanischen Recht.

Delphix-Manager Minas Botzoglou würde eine Lösung wie die von Microsoft vorziehen – „das Rechenzentrum in Deutschland ist entsprechend zertifiziert und kann beispielsweise Zugriffe durch US-Behörden verweigern.“ Trotzdem müssten sich Unternehmen stets bewusst machen, dass Daten auch hier ausspioniert oder gehackt werden können. „Solche ,Data Breaches‘ sind auch in deutschen Rechenzentren möglich.“

Originäre Cloud-Anbieter wie Google haben ihren Schwerpunkt bei Public-Cloud-Lösungen. Wegen der hohen Standardisierung sind die Angebote meist kostengünstiger als die kleinerer Anbieter, etwa von Systemhäusern. Darin liegt jedoch auch der Nachteil der großen Cloud-Anbieter: Es gibt kaum Möglichkeiten für individuelle Angebote. Als Unternehmen sucht man sich auf der Webseite des Anbieters einen Service aus und konfiguriert ihn – anschließend erhält man einen sogenannten Boilerplate-Vertrag. Diesen kann man unterschreiben oder nicht. Vertragsanpassungen sind nicht möglich.

Hier können Systemhäuser punkten: In der Regel werden für jeden Kunden individuelle Cloud-Pakete geschnürt. So lässt sich zum Beispiel vertraglich ganz klar festlegen, welche in der Cloud abgelegten Daten Deutschland oder Europa keinesfalls verlassen dürfen. „Wem es nicht gelingt, mit seinem Anbieter die gewünschten vertraglichen Vereinbarungen zu treffen – wenn es zum Beispiel um den Betrieb der Anwendung an einem bestimmten Ort geht –, sollte seinen Cloud-Anbieter wechseln“, so das deutliche Fazit von Khaled Chaar von Cancom Pironet.

Doch so individuell die Cloud-Angebote vieler Systemhäuser auch sein mögen – auch sie greifen in vielen Fällen nur auf die Angebote der Großen wie Amazon oder Google zurück. Am Ende ist daher entscheidend, auf welcher Plattform die Daten liegen. „Individuelle Absprachen sind nur dann realistisch, wenn die Systemhäuser sie bei ihren Lieferanten auch tatsächlich umsetzen können“, gibt Uwe Pferr von Operational Services zu bedenken. Seriöse Cloud-Anbieter seien in diesem Punkt transparent, „sodass Kunden sich entsprechend darauf einstellen und die damit zusammenhängenden Details in die eigene Cloud-Strategie miteinbeziehen können“.

Wie sind regionale Cloud-Angebote aus recht­licher Sicht zu beurteilen? com! professional spricht darüber mit Oliver Süme, Rechtsanwalt für Internet- und IT-Recht bei Fieldfisher sowie Vorstandsvorsitzender beim eco-Verband.

com! professional: Herr Süme, große Cloud-Anbieter stellen Lösungen bereit, bei denen Kundendaten ausschließlich in Deutschland oder Europa gehostet werden. Bin ich damit bezüglich des Datenschutzes auf der sicheren Seite?

Oliver Süme: Aus datenschutzrechtlicher Sicht ist es zunächst gar nicht zwingend, dass personenbezogene Daten ausschließlich in Deutschland oder Europa gehostet werden. Die DSGVO sieht – wie auch das aktuelle Datenschutzrecht – durchaus Rechtsgrundlagen für den Datentransfer in sogenannte Drittstaaten vor, etwa wenn die von der Europäischen Kommission eigens dafür gedachten Standardvertragsklauseln verwendet werden. Aber unabhängig davon, ob die Daten innerhalb oder außerhalb der EU gehostet werden, sollte den Unternehmen klar sein, dass damit allein noch nicht die Anforderungen der DSGVO erfüllt sind. Die sind deutlich komplexer.

com! professional: Und welche Anforderungen sind das?

Süme: Im Hinblick auf Cloud-Service- und Hosting-Verträge müssen insbesondere die Vorgaben zur sogenannten Auftragsdatenverarbeitung umgesetzt werden, die es ähnlich bereits vor Inkrafttreten der DSGVO gab. Neu ist allerdings, dass auch den Provider datenschutzrechtliche Verpflichtungen und vor allem Haftungsrisiken treffen, die nach altem Recht nur für die Kunden als Auftraggeber vorgesehen waren.

com! professional: Kommen wir noch einmal auf die Angebote von Amazon & Co. zu sprechen. Wenn es sich um US-amerikanische Firmen handelt – muss ich damit rechnen, dass US-Behörden irgendwann Zugang zu den deutschen Rechenzentren verlangen?

Süme: Diese Frage ist im Moment Gegenstand eines spannenden Verfahrens vor dem Obersten Gerichtshof der USA. Die US-Regierung will genau dieses Recht durchsetzen und zukünftig auch auf Grundlage einer Anordnung von US-Gerichten auf Nutzerdaten in der Cloud zugreifen und zwar auch dann, wenn die Server in der EU stehen. Demgegenüber ist dies aktuell nur über Rechtshilfeabkommen möglich, bei denen die Entscheidung über einen solchen Zugriff durch ein lokales Gericht erfolgt. Sollte der Oberste Gerichtshof dem Ansinnen der US-Regierung nachgeben, wäre damit eine fundamentale Schwächung des europäischen Datenschutzrechts verbunden.

com! professional: Die großen Anbieter ermöglichen nur sogenannte Boilerplate-Verträge. So habe ich keine Möglichkeit, mich zusätzlich abzusichern, etwa mit erweiterten Schadensersatzansprüchen, wenn meine Daten doch außerhalb Europas landen. Sollte man besser die Finger von Standardverträgen lassen?

Süme: Nein, das kann man so pauschal keinesfalls sagen. Auch kleinere Anbieter nutzen in der Regel ihre Standardverträge. Der Verhandlungsspielraum ist da insgesamt sicher größer, aber die Regelungen zu Haftung und Schadensersatz sind immer ein kritischer Punkt, bei dem generell vergleichsweise wenig Verhandlungsspielraum besteht.

Für große wie für kleine Anbieter gilt mit Blick auf die DSGVO jedenfalls, dass diverse Vertragsanpassungen erforderlich sind, im eigenen Interesse wie im Kundeninteresse. Viele Anbieter haben aufgrund des erheblichen Haftungsrisikos sehr rechtzeitig mit der Umsetzung der DSGVO begonnen. Insgesamt ist der Cloud-Markt da nach meiner Einschätzung gut aufgestellt.

com! professional: Was halten Sie eigentlich von Microsofts Cloud-Angebot für deutsche Unternehmen, bei dem die Telekom-Tochter T-Systems quasi als Datentreuhänder das Rechenzentrum betreibt?

Süme: Das ist auf jeden Fall ein interessantes Modell, vor allem im Hinblick auf das bereits angesprochene Gerichtsverfahren vor dem Obersten US-Gerichtshof, das sicher ein Treiber für diese Entscheidung bei Microsoft war.

Für den Fall, dass der Europäische Gerichtshof die Standardvertragsklauseln der EU Kommission kippen sollte und damit dem Datentransfer in Drittstaaten diese Rechtsgrundlage entzieht, ist generell die Datenspeicherung innerhalb der Europä­ischen Union eine Option, auch ohne einen Treuhänder. Aber auch hier gilt, dass die DSGVO deutlich mehr beinhaltet als die Regelungen zum Datentransfer.
Auf der ersten Stufe ist immer entscheidend, dass die Datenverarbeitung selbst eine Rechtsrundlage hat. Wenn die fehlt, weil zum Beispiel erforderliche Einwilligungen nicht eingeholt oder dokumentiert wurden, nützt auch das beste deutsche Rechenzentrum nichts.