Suchen

Compliance-Vorgaben als Entscheidungskriterium Cloud Computing und Datenschutz – kann ein Provider beides vereinbaren?

| Autor / Redakteur: Sascha Krieger, Eleven / Stephan Augsten

Bei Outsourcing von IT-Services in die Cloud steht Datenschutz ganz weit oben auf der Kriterienliste deutscher Unternehmen. Gerade deshalb zögern viele, die Datenhaltung und -verarbeitung einem Cloud-Provider zu überlassen. Wer bei der Auswahl einige wesentliche Punkte beachtet, findet aber garantiert einen Anbieter, bei dem die Daten sicher sind.

Firmen zum Thema

( Archiv: Vogel Business Media )

Datenschutz ist das wohl wichtigste Kriterium, wenn es um die Auswahl eines Anbieters von E-Mail Security Services geht. Dies geht aus der IT-Entscheider-Umfrage 2010 des deutschen E-Mail-Sicherheitsdienstleisters Eleven hervor, 79 Prozent der Befragten legen demnach ihr Hauptaugenmerk auf den Datenschutz.

Für ebenfalls 79 Prozent war der Datenschutz „sehr wichtig“ oder „kaufentscheidend“. 73,9 Prozent vertrauten eher einem europäischen Anbieter, während 64,5 Prozent besorgt waren, dass E-Mail-Inhalte außerhalb des eigenen Landes übertragen werden könnten. Die Befürchtung, die Kontrolle über die eigenen Daten aus der Hand zu geben, wenn IT-Aufgaben einem externen Dienstleister anvertraut werden, ist noch immer weit verbreitet.

Nahrung für die Angst vor der Cloud

Die Angst, „Cloud Services“ mit Einschränkungen beim Datenschutz erkaufen zu müssen, ist nicht unbegründet. Die Befürchtungen haben kürzlich zusätzliche Nahrung durch Microsoft erhalten: Ohne Wissen der Nutzer sollen US-amerikanische Ermittlungsbehörden wie die NSA Zugriff auf Daten des neuen Cloud-Angebots Office 365 haben.

Begründung ist der Patriot Act, der nach den Anschlägen vom 11. September 2001 erlassen worden war. Wichtig ist dabei nicht der Ort der Speicherung, sondern der Standort des Service-Anbieters.

Selbst Daten europäischer Unternehmen, die in Europa durch US-amerikanische Anbieter gespeichert werden, sind nicht sicher. Mit Google gab daraufhin ein weiterer führender Cloud-Anbieter zu, bereits mehrfach US-Behörden Zugriff auf in Europa gespeicherte Nutzerdaten gegeben zu haben.

Datenschutz-konform in die „Cloud“

Ist datenschutzkonformes „Cloud Computing“ überhaupt möglich? Ja. Der Schlüssel liegt in den erwähnten Problemen. Die gesetzlichen Datenschutzvorschriften unterscheiden sich von Land zu Land deutlich. Generell gelten in EU-Ländern deutlich strengere Vorschriften und Gesetze zum Schutz personenbezogener Daten als beispielsweise in den USA. Dies betrifft den physischen Schutz von Rechenzentren ebenso wie den Zugriff staatlicher Behörden.

Deutschland hat weltweit eines der strengsten Datenschutzgesetze. Entscheidend ist dabei der Standort des Managed-Service- oder Cloud-Anbieters, weniger der Ort, an dem die Daten tatsächlich gespeichert oder verarbeitet werden. Cloud-Service-Provider unterliegen der Rechtsprechung ihres Herkunftslandes, auch wenn Infrastrukturen im Ausland genutzt werden.

Wer also seine Daten einem US-Provider anvertraut, riskiert Zugriffe auf Basis des Patriot Act, selbst wenn die Daten in Deutschland bleiben. Will ein Unternehmen auf der sicheren Seite sein, sollte es sicherstellen, dass der Anbieter seinen Sitz in Deutschland hat. Möglichst sollten auch nur Infrastrukturen in Deutschland eingesetzt werden. Idealerweise verlassen die Daten nie das Land.

Natürlich reicht der Standort allein nicht aus, um Datenschutz und Vertraulichkeit zu gewährleisten: Auch wenn der Dienstleister in Deutschland sitzt, gilt es, eine Reihe wichtiger Aspekte zu beachten. Dabei spielen Faktoren wie Zertifizierungen, die Verschlüsselung gespeicherter Daten aber auch die mehrfache Speicherung, um beispielsweise Systemausfälle kompensieren zu können, eine wesentliche Rolle.

Seite 2: Herausforderung E-Mail-Archivierung

(ID:2052995)