pickup adobe
Souveräne Cloud: Ist Datenschutz wichtig für Souveränität?
Die Datenschutzkonferenz hat sich mit „Kriterien für Souveräne Clouds“ in die politische Diskussion eingebracht, aus gutem Grund: Datenschutz und Souveränität haben Schnittmengen.
Souveräne Cloud-Plattformen werden zunehmend wichtig für Unternehmen und Behörden, die nach sicheren, innovativen und skalierbaren Lösungen für das Management ihrer Daten suchen, so die Studie des Capgemini Research Institute “The journey to cloud sovereignty: Assessing cloud potential to drive transformation and build trust“.
Demnach haben Organisationen Bedenken, eine Public Cloud als Basis ihrer digitalen Transformation zu nutzen: 69 Prozent der Befragten befürchten in einer solchen Cloud-Umgebung möglicherweise extraterritorialen Gesetzen zu unterliegen, beispielsweise wenn die Daten außerhalb der EU gespeichert werden. 68 Prozent sind besorgt über fehlende Transparenz und Kontrolle darüber, was mit ihren Daten in der Cloud geschieht. Darüber hinaus befürchten 67 Prozent eine Abhängigkeit von bestimmten Cloud-Anbietern, deren Unternehmenssitz außerhalb der eigenen Gerichtsbarkeit liegt.
Die Mehrheit der Unternehmen und Behörden weltweit will also vor allem auf souveräne Cloud-Plattformen setzen, um Compliance mit Regularien sicherzustellen (71 Prozent) oder um mehr Kontrolle und Transparenz über ihre Daten zu haben (67 Prozent). Extraterritoriale Datenzugriffe zu verhindern, ist für 65 Prozent ein weiterer Grund.
Speicherung von Daten innerhalb der EU, Kontrolle und Transparenz bei der Datenverarbeitung, die Sorge vor Datenzugriffen jenseits der EU, das klingt nicht nur nach Datenschutz. Offensichtlich hängt der Wunsch nach Souveränität eng mit dem Datenschutz zusammen,
Was Anwender von einer souveränen Cloud erwarten
Warum das Thema souveräne Cloud so wichtig ist, zeigt ein Beispiel: Der Einsatz von Human-Resources-Cloud-Lösungen im Öffentlichen Dienst ist an besondere Bedingungen geknüpft – insbesondere bezogen auf Datenschutz, Sicherheit und Funktionalität, so die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG). Entsprechend hatte die DSAG darauf hingewiesen, dass SAP eine tragfähige Basis schaffen müsse, damit die Öffentliche Verwaltung SAP-Personalfunktionen in der Cloud auch tatsächlich nutzen kann.
Bald erfolgte dann auch der „Startschuss zur ersten souveränen Cloud-Plattform für den öffentlichen Sektor in Deutschland“. SAP und Arvato Systems kündigten dazu eine Partnerschaft an.
„Die Souveränität der eigenen Lieferkette und IT ist zu einer strategischen Frage geworden. Für Organisationen, die derzeit noch zögern, die Vorteile der Cloud zu nutzen, ist Cloud-Souveränität ein Weg dorthin. Souveräne Clouds, in denen sie ihre Daten noch besser kontrollieren und schützen können, gewinnen damit branchen- und grenzübergreifend an Bedeutung. Gerade für den öffentlichen Sektor sind Vertrauen, Transparenz, Wahlmöglichkeiten sowie die Portabilität von Daten die wichtigsten Prioritäten“, erklärte Marc Reinhardt, Global Head of Public Sector bei Capgemini.
„Bei der Entwicklung ihrer Cloud-Strategien sollten sich Organisationen - besonders im öffentlichen Sektor - nicht auf Compliance-Anforderungen beschränken, sondern eine ganzheitliche Sicht auf ihre Daten entwickeln. So können sie das Potenzial der souveränen Cloud - wie Vertrauen, Kooperation und Innovationsbereitschaft - auch für sensible Datenfelder abrufen und einen besseren Service für Bürgerinnen und Bürger oder Wettbewerbsvorteile schaffen“, so Marc Reinhardt von Capgemini weiter.
Doch was sagen die Datenschutzaufsichtsbehörden dazu?
Souveräne Cloud geht nicht ohne Datenschutz
Grundsätzlich gilt: Aus Sicht des Datenschutzes stehen die Anwenderunternehmen weiterhin in der Pflicht, die personenbezogenen Daten zu schützen, sie sind also die Verantwortlichen, auch wenn die Daten in der Cloud eines Providers gespeichert und verarbeitet werden.
Die Wahl einer souveränen Cloud sollte deshalb die Verantwortlichen dabei unterstützen, die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen, so die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.
Hierzu hat die DSK nun „Kriterien für Souveräne Clouds“ (PDF) veröffentlicht. Die erarbeiteten Kriterien zielen auf die digitale Souveränität der Cloud-Anbietenden und Cloud-Anwendenden ab, um die Einhaltung der Rechte und Freiheiten der betroffenen Personen zu unterstützen. Die Kriterien umfassen die Punkte „Nachvollziehbarkeit durch Transparenz“, „Datenhoheit und Kontrollierbarkeit“, „Offenheit“, „Vorhersehbarkeit und Verlässlichkeit“ sowie „Regelmäßige Prüfung der aufgestellten Kriterien“.
Es ist instruktiv, sich dieses Positionspapier und die darin aufgestellten Kriterien genau anzusehen, denn die auch politisch stark diskutierte Digitale Souveränität und die Souveräne Cloud sind nicht erreichbar, wenn der Datenschutz nicht umgesetzt wird.
Dabei erscheint auch gerade dieser Hinweis der DSK als wichtig: Es gibt am Markt bereits einige Angebote, die sich als „Souveräne Clouds“ bezeichnen. Ein einheitliches Verständnis dieses Begriffs gibt es aber bisher nicht. Weder „Digitale Souveränität“ noch „Souveräne Cloud“ sind Rechtsbegriffe. Sie werden in der DSGVO nicht genannt.
In der Praxis aber stellt sich ein Problem: Clouds, die aus Ländern ohne gleichwertiges Datenschutzniveau oder von Unternehmen, die der Rechtsordnung solcher Länder unterworfen sind, angeboten werden, bereiten in der Umsetzung von Datenschutz besondere Schwierigkeiten. Verantwortliche, die solche Clouds nutzen, können vielfach ihren datenschutzrechtlichen Pflichten nicht nachkommen. Sie sind insbesondere nicht in der Lage nachzuweisen, dass sie unter Nutzung dieser Clouds die Anforderungen der DSGVO erfüllen, so die DSK.
Die Datenschützer machen dann sehr klar: Eine „Souveräne Cloud“ verdient diesen Namen nur, wenn sie es dem Verantwortlichen ermöglicht, seinen datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft nachzukommen.
Auch wenn die Cloud-Anwendenden die Verantwortlichen bleiben, betonen die Datenschützer einen zentralen Punkt für Cloud Computing: Die digitale Souveränität eines Cloud-Angebots kann nur dann gewährleistet werden, wenn alle durch die Anbietenden in der Kette des Cloud-Dienstes eingebundenen Auftragnehmenden beziehungsweise die eingebundenen IT-Dienstleistungen und -produkte entsprechende Kriterien ebenfalls erfüllen.
Deshalb sind die Datenschutzkriterien der DSK für Souveräne Clouds zweifellos ein wichtiges Instrument bei der Suche und Auswahl von Cloud-Diensten, denn Datenschutz und Souveränität gehören zusammen.