Die führenden Cloud-Anbieter AWS, Google und Microsoft stammen aus den USA. Es stellt sich daher die Frage, wie sich der Datenschutz in diesen Clouds gewährleisten lässt. Aufsichtsbehörden haben Hinweise dazu gegeben.
Das Trio der Public-Cloud-Anbieter
Geht es um den Einsatz von öffentlichen, gemeinsam genutzten Cloud-Diensten (Public Cloud), fällt die Wahl meist auf einen der drei großen US-Anbieter.
Laut der aktuellen RightScale-Studie „State of the Cloud Report“ setzen 61 Prozent der weltweit befragten Firmen auf Amazon Web Services (AWS), 52 Prozent auf Microsoft Azure und 19 Prozent auf die Google Cloud. Offensichtlich nutzen Unternehmen sogar mehr als einen Cloud-Dienst aus den USA. Von den Cloud-Diensten versprechen sich Unternehmen eine flexible Nutzung von IT-Diensten, Kostenvorteile im Vergleich zur internen IT und weniger Aufwand für das eigene IT-Personal.
Doch Flexibilität, Kostenreduktion und ein geringerer Aufwand in der IT-Abteilung sind nicht alles, um was es gehen sollte. Denn bei Cloud-Diensten aus den USA kann man nicht einfach davon ausgehen, dass die Forderungen aus der Datenschutz-Grundverordnung (DSGVO) der EU erfüllt sind.
Aufsichtsbehörden fordern ein angemessenes Datenschutzniveau
Bevor ein deutsches Unternehmen einen Cloud-Dienst aus den USA nutzt, muss es sicherstellen, dass der Anbieter die DSGVO-Anforderungen erfüllt.
Da nicht nur die IT-Abteilung, sondern vielfach auch die Fachbereiche und einzelne Nutzer zu Cloud-Services greifen, sollte jeder potenzielle Cloud-Nutzer daran denken, das Datenschutzniveau zu hinterfragen.
Beispiel: Vorgaben für Microsoft Azure
Eine Aufsichtsbehörde für den Datenschutz hat kürzlich Hinweise dazu veröffentlicht, worauf im Fall von Microsoft Azure zu achten ist. Das lässt sich auch als Beispiel für andere Cloud-Dienste aus den USA nutzen.
Als Voraussetzungen für einen datenschutzgerechten Einsatz nennt die Aufsicht:
eine wirksame Zusatzvereinbarung, die die Vorgaben für eine Auftragsverarbeitung (Artikel 28 DSGVO) enthält,
eine Verschlüsselung der Daten unabhängig vom Cloud-Anbieter (HYOK, Hold Your Own Key, Hoheit über den Schlüssel beim Nutzer selbst) und
eine Möglichkeit, den Versand von Nutzungsdaten (Telemetriedaten) an den Cloud-Anbieter zu unterbinden.
Vor dem Einsatz eines Cloud-Dienstes aus den USA ist zudem eine Risikoanalyse (Datenschutz-Folgenabschätzung, Artikel 35 DSGVO) nötig.
Ist es dem Unternehmen oder Nutzer nicht möglich, diese Voraussetzungen zu gewährleisten, empfiehlt es sich aus Sicht des Datenschutzes, auf entsprechende Cloud-Dienste aus den USA zu verzichten.
Wichtig ist es nun, auf weitere Hinweise der Aufsichtsbehörden zu achten und in Zukunft solche Cloud-Dienste zu verwenden, die ein Datenschutzzertifikat vorweisen können, das der DSGVO entspricht.
Hier wird es in naher Zukunft zahlreiche Cloud-Angebote geben.