Arbeiten in der Cloud hat viele Vorteile, es birgt aber auch Risiken. Denn die Nutzer geben ihre Daten aus der Hand und verlieren zumindest teilweise die Kontrolle darüber. Zertifizierungen können Cloud-Kunden Sicherheit geben.
Das Datenschutzrecht verlangt, dass jeder, der personenbezogene Daten verarbeitet, den Umgang mit den Daten kontrolliert. Kann er das nicht selbst tun, wenn er die Daten in einer Cloud verarbeitet, muss er sich davon überzeugen, dass der ins Auge gefasste Cloud-Dienstleister regelkonform arbeitet und alle Datenschutzanforderungen einhält. Ein Weg, die entsprechende Transparenz herzustellen, sind nationale und internationale Zertifizierungen.
Dabei können unabhängige Dritte ein System prüfen und verlässliche Aussagen darüber machen, ob es bestimmte Anforderungen erfüllt - oder nicht. Viele Cloud-Anbieter können beispielsweise eine Zertifizierung nach ISO /IEC 27001 nachweisen, die alle wichtigen Fragen der IT-Sicherheit abdeckt. Aber damit wird aber nur ein Teil der gesetzlichen Datenschutzanforderungen erfüllt.
Deshalb wurde 2014 ein neuer internationaler Datenschutzstandard für Auftragsdatenverarbeitung aus der Taufe gehoben. Welche der Empfehlungen des Gesetzgebers tatsächlich umgesetzt wurden, wenn ein Zertifikat vergeben wird, ist also nicht einheitlich geklärt und von Land zu Land unterschiedlich.
Welche Garantien der Kunde vom Zertifizierer erhält, hängt überdies von dem Vertrag ab, den er abschließt. Die Prüfberichte sind für den Nutzer in der Praxis aber sehr schwer einsehbar. Um hier verbindlichere Aussagen zu kreieren, hat das Bundesministerium für Wirtschaft das Projekt „Trusted Cloud Daten ins Leben gerufen.
Für die öffentlichen Datenschützer ist die Zertifizierung aber nur ein Anfang. Vor allem US-amerikanische Dienste sind an den Daten in der Cloud interessiert. Von keiner Cloud-Zertifizierung werden derzeit Hoheitsfragen berücksichtigt. So behalten sich US-Regierungsstellen wie Geheimdienste und Polizei vor, auf Daten zuzugreifen, die bei US-Unternehmen und ihren Tochterfirmen gespeichert sind, auch wenn diese in Europa ihren Sitz haben.
Solange diese Praxis nicht geklärt ist, dass sie das nicht dürfen - ist ein Einsatz amerikanischer Cloud-Dienste innerhalb Europas mit Gefahren verbunden.
Kommentare
Kommentar veröffentlichen