Cloud Computing & Datenschutz

Der Begriff Cloud Computing beschreibt die gemeinsame Nutzung
und zur Verfügungsstellung von Informationstechnologie für die Bereiche:
  • Anwendungen (Software)
    Die private oder gewerbliche Nutzung von Programmen / Applikationen
    und das damit verbundene Speichern von Daten wie z.B. bei Angeboten
    von Google, Microsoft, Yahoo, Amazon oder Apple.
  • Ressourcen (Hardware)
    Das Anmieten und die administrative Zuteilung bzw. Verwaltung von Ressourcen (Rechnerkapazitäten wie CPU Leistung oder Datenspeicher), meist gewerblich.

Beide Bereiche werden als Public Cloud bezeichnet und stehen jedermann zur Verfügung.
Die Public Cloud wird oft verständlicherweise als eine "undurchsichtige Rechnerwolke" beschrieben, da man nicht genau weiß, wo und wie lange die eigenen Daten tatsächlich gespeichert werden.
Zur Zeit sind ca. 9o% der Rechenzentren, in denen die Ressourcen für Public Cloud's bereitgestellt werden in den USA, nur ca. 1% in Deutschland.

Private Cloud
Die Technologie zum Betrieb von Cloud Computing ist mittlerweile ausgereift und steht in Form
von Softwareprodukten und Hardwarelösungen auch im kleineren Rahmen zur Verfügung.
Eine Softwarelösung für die Virtualisierung nennt man Hypervisor, die drei verbreitetesten
Systeme sind Citrix Xen, Microsoft Hyper-V und VMware vSphere mit allein ca. 70% Marktanteil.
Somit sind Firmen in der Lage, bestehende Serverlandschaften zu virtualisieren und den eigenen
RZ Betrieb effizienter zu gestalten. Je nach Szenario kann die eigene "Private Cloud" komplett gekauft und im eigenen Serverraum betrieben oder auch gemietet bzw. bei einem lokalen ISP gehostet werden.

Trusted Cloud
Wenn sich die Anschaffung oder Miete einer Private Cloud wirtschaftlich nicht rechnet, bietet sich die bedarfsgerechte Anmietung von Ressourcen in einer Trusted Cloud Umgebung an.
Trusted Cloud beschreibt eine vertrauenswürdige Cloud Infrastruktur, die entscheidenden Unterschiede zu der Public Cloud sind:
  • deutscher Provider mit eigenem RZ Betrieb und Hauptsitz in Deutschland
  • relevante Bestimmungen und Gesetze gelten als Mindestanforderung
  • keine "Massenhaltung" von Servern
  • feste Geschäftsbeziehung & persönlicher Ansprechpartner
  • schriftliches Vertragsverhältnis
  • Sicherheit für Ihre Daten

Datenschutz

Für in Deutschland ansässige Unternehmen sind das BDSG, LDSG, sonstige regionale Verordnungen und andere relevante Gesetze wie z.B. das TKG, TMG sowie bestimmte Artikel und Paragraphen aus dem GG und dem StBG (Briefgeheimnis, Privatgeheimnis) bei der elektronischen Datenverarbeitung zu beachten, wenn es um personenbezogene Daten geht.
Da laut Definition nach BDSG I §3 eigentlich jede Firma mit personenbezogene Daten zu tun hat
gilt insbesondere: 
BDSG §11
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. ...
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung ... auszuwählen. ... Punkte 1-10 ... Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. ... Demnach sind Public Cloud Angebote mit den Datenschutzbestimmungen derzeit nicht vereinbar, wenn die Datenhaltung in Drittstaaten der EU erfolgt bzw. der Auftragnehmer seinen Hauptsitz z.B. in den USA hat. In diesem Fall unterliegt der Betreiber dem US-Recht und dem Patriot Act und ist dazu gezwungen, auch Daten, die auf Servern in der EU gespeichert sind, an US Behörden auszuliefern.
Theoretisch ist die Auftragsdatenverarbeitung mit Auftragnehmern mit Sitz in der EU möglich.
Hierbei müssen allerdings etliche Punkte im Vertrag beachtet werden, wie z.B. der ordnungsgemäße Nachweis für technische und organisatorische Maßnahmen in Form eines geeigneten Testats oder vorliegender Zertifizierung - was auch für große Rechenzentren innerhalb von Deutschland gilt.

An dieser Stelle sollte man sich Gedanken über die Sensibilität seiner Daten machen
und in Hinblick auf bereits stattgefundenen Datenpannen wie z.B. bei Apple, Sony,
Facebook, TomTom in Betracht ziehen, daß diese Gesetze zu unserem Schutz
und nicht zum Umgehen verfaßt wurden.

Weitere Informationen:
Stellungnahme Deutscher Anwaltverein
Wikipedia: Cloud-Computing und Datenschutz
INFORENT GmbH
Jürgen Stoffers