Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 549127

GERMAN CLOUD Oberdorfstr. 76 56072 Koblenz, Deutschland http://www.german-cloud.de
Ansprechpartner:in Herr Götz Piwinger
Logo der Firma GERMAN CLOUD
GERMAN CLOUD

Zehn Fragen an Helmut Eiermann

Leiter Technik beim Landesdatenschutzbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zum Reifegrad des Mittelstandes bei der Nutzung von Cloudtechnologien

(PresseBox) (Koblenz, )
Frage 1:
Der deutsche Mittelstand geht vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?

Die Nutzung von Cloud Diensten wird meiner Erfahrung nach meist vorrangig unter den Aspekten Kosten und Flexibilität diskutiert. Beides sind zentrale, aber nicht allein maßgebende Gesichtspunkte. Mit der Verlagerung von IT-Leistungen in "die Cloud" gebe ich Einwirkungsmöglichkeiten aus der Hand, und die Frage ist, wie gewährleistet wird, dass ich weiterhin eine ausreichende Kontrolle über den Schutz und die Sicherheit meiner Daten behalte. Ich bin nicht sicher, ob dieser Aspekt in seiner Tragweite immer gesehen wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt eine pauschale Vermutung, dass ein Cloud-Anbieter a priori eine höhere IT-Sicherheit biete "blauäugig oder unrealistisch". Dem kann ich mich nur anschließen. Das jeweilige Sicherheits- und Datenschutzniveau muss belegt werden können. Im Ergebnis also nein, ich habe nicht den Eindruck, dass die notwendigen Fragen immer gestellt werden; in manchen Fällen vielleicht auch, weil man die Antwort scheut.

Frage 2:
Das Deutsche Bundesdatenschutzgesetz regelt unter anderem die Weitergabe von Daten und die Benennung des Speicherortes. Welche Rolle spielt die technische Verschlüsselung der Daten?


Verschlüsselung spielt in Cloud-Szenarien für die Wahrung der Vertraulichkeit eine zentrale Rolle. Vor allem dann, wenn es um Daten geht, die besonderen Berufsgeheimnissen unterliegen, z.B. dem Arztgeheimnis, oder denen als Betriebs- oder Geschäftsgeheimnissen eine besondere Vertraulichkeit zukommt. Wenn etwa technische und oder systemnahe Betriebsleistungen bezogen werden sollen, bei denen ein Zugriff möglich sein muss, aber die inhaltliche Kenntnisnahme der Daten nicht erforderlich ist, bietet eine Verschlüsselung entsprechenden Schutz. Weiterhin für eine sichere und vertrauliche Übertragung der Daten vom Kunden zum Dienstleister.

Frage 3:
Selbst wenn die Daten verschlüsselt sind, aber im Ausland verarbeitet werden, so können verschlüsselte Daten in anderen Ländern (Irland, GB) weitergegeben werden. Sehen wir es richtig, dass die Datenverschlüsselung deshalb vor dem Hochladen vom Kunden selbst erfolgen muss?


In einigen Ländern ist der Einsatz kryptografischer Verfahren gesetzlich geregelt. Meist müssen dabei Zugangsmöglichkeiten für Sicherheitsbehörden geschaffen werden, in Form von Hintertüren in den eingesetzten Verschlüsselungsverfahren (Key-Recovery) oder über die Hinterlegung der Schlüssel (Key Escrowing). Wenn mein Cloud-Dienstleister solchen Regelungen unterliegt, muss ich davon ausgehen, dass die Daten gegebenenfalls offengelegt werden. Man muss vielleicht nicht von staatlicher Wirtschaftsspionage als Regelfall ausgehen, aber in manchen Ländern zählen Schutz und Förderung der heimischen Wirtschaft auch zu den Aufgaben der Nachrichtendienste. Hinzu kommt, dass, auch wenn im Sitzland des Dienstleisters keine Kryptoregulierung besteht, dieser möglicherweise eine globale IT-Struktur betreibt, bei der die Daten in solchen Drittländern gespeichert werden. Schutz bieten hier nur Verfahren, bei denen die Daten vor dem Hochladen in die Cloud verschlüsselt werden und Verschlüsselung und Schlüsselverwaltung in der Hand des Kunden liegen. Solche Lösungen sind etwa "Krypto-Gateways", über welche die Kommunikation geführt wird, und die jegliche Daten automatisch ver- bzw. entschlüsseln.

Frage 4:
Was kann ihrer Meinung nach zur Aufklärung der Unternehmen in Sachen Datenschutz zusätzlich unternommen werden?


Eine Reihe von Anstrengungen wurde ja bereits unternommen; so geben die "Orientierungshilfe Cloud Computing" der Datenschutzbeauftragten oder die entsprechenden "SLA-Empfehlungen" des BSI Hinweise, welche Aspekte bei der Nutzung von Cloud-Diensten berücksichtigt werden sollten. Meines Erachtens bedarf es darüber hinaus gerade im Bereich der kleinen und mittleren Unternehmen allerdings einer weiteren Aufklärung. Dabei sollte deutlich gemacht werden, wie Cloud-Computing datenschutzkonform und sicher genutzt werden kann, aber auch, wo Lösungen gegebenenfalls zu große Risiken beinhalten oder in Konflikt mit gesetzlichen Regelungen geraten. Ich könnte mir vorstellen, dass, ggf. in Kooperation mit dem Datenschutzbeauftragten, insbesondere Kammern und Wirtschaftsverbände hier einen Beitrag leisten.

Frage 5:
Das Siegel "GERMAN CLOUD , geprüfter Datenschutz" sichert der Industrie zu, dass deren Daten bei einem Mitglied des Bundesverbandes Deutscher Rechenzentren -zumindest was die Weitergabe von Daten an Ditte angeht- gesichert sind. Der Königsweg ist, wenn die Daten verschlüsselt in Deutschland liegen. Greift das BSDG auch bei der Datenhaltung im Ausland?


Das Bundesdatenschutzgesetz (BDSG) verpflichtet zunächst die für die Datenverarbeitung verantwortliche Stelle in Deutschland; ein Dienstleister im Ausland unterliegt dem BDSG nicht. Das Bundesdatenschutzgesetz erlaubt eine solche Auftragsdatenverarbeitung jedoch nur, wenn mit dem Auftragnehmer nach § 11 BDSG bestimmte Weisungs- und Kontrollmöglichkeiten, Sicherheitsmaßnahmen, Informations- und Löschpflichten usw. vertraglich vereinbart werden. Verantwortlich für deren Einhaltung - und Adressat etwaiger Sanktionsmaßnahmen bei Verstößen - ist und bleibt jedoch der Auftraggeber. Dieser muss sich vor der Auftragserteilung und während der Vertragslaufzeit regelmäßig von der Einhaltung der Vereinbarungen überzeugen. Nur unter diesen Voraussetzungen dürfen Daten überhaupt bei einem Dienstleister im Ausland verarbeitet werden, und dies grundsätzlich auch nur bei Dienstleistern, die ihren Sitz in der Europäischen Gemeinschaft bzw. im Europäischen Wirtschaftsraum haben. Für die Datenverarbeitung in sogenannten Drittstaaten, also außerhalb von EU/EWR, gelten weitergehende Anforderungen. Wenn Cloud-Lösungen ins Auge gefasst werden, ist also zu prüfen, ob die genannten Anforderungen des BDSG umgesetzt werden können; und dies nicht nur nominell, sondern tatsächlich.

Frage 6:
Die Trends, Speicher, Backups, CRM und ERP in der Cloud zu verarbeiten, nehmen zu, weil Unternehmen die Kosten für die Maintenance eigener Server und deren Administration sparen möchten und gleichzeitig die Sicherheit erhöhen wollen. Wie verlockend sind hier Angebote internationaler Anbieter, zum Beispiel von Suchmaschinen oder Speicherboxen? Wie kann ein Unternehmen erkennen, welcher Anbieter/Dienst der Richtige ist?


Bestechend wirken bei vielen Cloud-Angeboten die niedrigen Preise, bedingt durch standardisierte Leistungen. Oft werden diese auch kostenlos angeboten. Natürlich ist dies verlockend, man muss ich jedoch zwei Dinge klar machen: Zum einen bedeutet kostenlos nicht umsonst. Viele Anbieter finanzieren ihre Dienste mit Werbung, die auf der Auswertung der Daten der Nutzer aufsetzt. Hinter die Vertraulichkeit der ausgelagerten Daten muss man daher gegebenenfalls ein Fragezeichen setzen. Zum andern erlaubt das standardisierte Leistungsangebot meist keine Vereinbarungen nach § 11 BDSG (s.o.). Welcher Anbieter/Dienst der Richtige ist, bemisst sich nach den Anforderungen des Auftraggebers - Welche Cloud-Services werden benötigt?, Welche Servicequalität soll garantiert werden?, Welches Sicherheitsniveau soll bestehen?, Wie leicht ist ein Anbieterwechsel möglich? - und den gesetzlichen Anforderungen - Lassen sich die Vorgaben des BDSG verlässlich umsetzen? Eine Hilfestellung bieten hier die genannten Kriterien und Empfehlungen der Datenschutzbeauftragten und des Bundesamts für Sicherheit in der Informationstechnik.

Frage 7:
Welches sind die meist gestellten Fragen aus der Industrie (nicht von Privatpersonen) an Sie?


Zum einen die Frage nach der Zulässigkeit eines Cloud-Dienstes, dessen Anbieter außerhalb Europas seinen Sitz hat. Soweit personenbezogene Daten betroffen sind, erlauben die datenschutzrechtlichen Vorschriften eine Auftragsdatenverarbeitung grundsätzlich nur durch Dienstleister in Ländern mit einem vergleichbaren Datenschutzniveau, d.h. wie dargestellt innerhalb der EU und des EWR. Für andere Länder ist dies über das Safe Harbour Abkommen oder die EU-Standardvertragsklauseln zwar ebenfalls möglich, bedarf jedoch der Betrachtung im Einzelfall. Andere Fragen betreffen die Umsetzung der dem Auftraggeber nach § 11 BDSG obliegenden Prüf- und Kontrollpflichten. Da einer regelmäßigen Prüfung vor Ort häufig praktische Hindernisse entgegenstehen, stellt sich oft die Frage, inwieweit diese durch Audits oder Zertifizierungen - und wenn ja durch welche - ersetzt werden kann.

Frage 8:
Welche nächsten technischen Bewegungen sehen Sie in der Entwicklung der Cloud-Märkte?


Cloud Computing ist dabei, die Datenverarbeitung grundlegend zu verändern. Flexibilität, Skalierbarkeit, sinkende IT-Kosten und ein breites Angebot an Services sind Vorteile, denen sich Unternehmen und Behörden nicht verschließen können - und auch nicht wollen. Aus den dargestellten Gründen gibt es jedoch auch Vorbehalte und Unsicherheiten, die einer breiten professionellen Nutzung entgegenstehen. Ich gehe daher davon aus, dass der Markt vermehrt Lösungen anbieten wird, bei denen der Kunde größere Einwirkungsmöglichkeiten erhält (Private Clouds) oder bei denen Dienste nach Standortkriterien bezogen werden können (innerhalb Deutschlands, innerhalb der EU/EWR, in Drittstaaten). Weiterhin glaube ich, dass Gateway-Lösungen eine größere Rolle spielen werden, die eine transparente Ver-/Entschlüsselung von Daten am Übergang zum Cloud-Service ermöglichen. Zumindest Infrastruktur- und Platform-Services ließen sich damit leichter, d.h. ohne Bedenken hinsichtlich der Vertraulichkeit und Integrität der Daten, nutzen.

Frage 9:
Eine besondere Datenschutz-Herausforderung liegt in der vernetzten Nutzung von Smartphones und Firmenanwendungen. Während man sich bemüht, Firmendaten zu schützen, erlaubt man fast jeder Smartphone-App, die Handydaten auszulesen. Haben Sie hierzu eine Empfehlung?


Der Datenschutzbeauftragte Rheinland-Pfalz hat gemeinsam mit dem Verbraucherministerium und der Verbraucherzentrale Rheinland-Pfalz unter dem Titel "Smartphones - die Spitzel in der Hosentasche" eine Initiative gestartet, mit der auf die Risiken einer allzu sorglosen Smartphone-Nutzung aufmerksam gemacht werden soll. Der Funktionsumfang der Geräte lässt diese zum Teil zu wahren "Datenschleudern" werden, die ohne Kenntnis ihrer Nutzer Daten weitergeben. Unter der Adresse www.mjv.rlp.de/smartphones ist dargestellt, wie Informationen an Dritte gelangen können und was man dagegen unternehmen kann.

Frage 10:
Der Bundesverband Deutsche Rechenzentren möchte Bedarfsträger (Unternehmen) mit Hostinganbietern, die sich nach den BSDG richten, zusammenführen. Qualifizierte Anbieter werden mit dem Siegel: "GERMAN CLOUD, geprüfter Datenschutz" gekennzeichnet. Glauben Sie dass diese Initiative zur Aufklärung im Mittelstand beitragen kann?


Ein solches Siegel bietet, wenn es in einem transparenten Verfahren und nach festgelegten Kriterien vergeben wird, jedenfalls Orientierung. In einem dynamischen Markt wie dem des Cloud Computing ist dies von grundlegender Bedeutung. Dabei muss auch erkennbar sein, welche Verlässlichkeit ein solches Siegel bietet. Die Aufklärung - über Vor- und Nachteile von Cloud-Lösungen, Chancen, Risiken, gesetzliche Anforderungen und Auswahlkriterien - muss jedoch bereits vorher ansetzen. Hier gibt es eine Reihe von Ansätzen, die meines Erachtens jedoch noch näher an die Unternehmen, gerade an den Mittelstand, gebracht werden müssen, damit dieser seine Cloud-Entscheidungen auf einer sicheren Informationsgrundlage treffen kann

Sehr geehrter Herr Eiermann, wir danken Ihnen für das Gespräch!

Die Fragen stellte Götz Piwinger, Geschäftsführer des Bundesverbandes Deutscher Rechenzentren.

Website Promotion

Website Promotion
Bundesverband Deutscher Rechenzentren, Cloudsiegel German Cloud
Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.