Cloud Services bieten einige wirtschaftliche Vorteile, da flexibel genau die Rechenleistung und der Funktionsumfang gekauft werden kann, der gerade gebraucht wird. Werden aber personenbezogene Daten verarbeitet, also Daten aus denen die Identität des Betroffenen bestimmbar ist, so ist das Datenschutzgesetz zu berücksichtigen. Darin sind einige Pflichten des „Dienstleisters“ (§§10 und 11 DSG 200), also des Cloud-Anbieters, sowie Bedingungen zur Datensicherheit festgehalten (§§14 und 15 DSG 2000). Zudem ist die Übermittlung und Überlassung ins Ausland unter Umständen genehmigungspflichtig (§§12 und 13 DSG 2000). Auch der Auftraggeber hat eine Kontrollpflicht um sicherzustellen, dass die Datensicherheit gewährt ist. (§6 Abs. 2 und §11 Abs. 1 Nr. 6 DSG 2000)
Personenbezogene Daten in der Wolke
Die EU Datenschutzrichtlinie verbietet es grundsätzlich personenbezogene Daten ins Ausland zu übertragen, wenn kein vergleichbares Datenschutzniveau vorliegt. Dies trifft insbesondere auf die USA zu. Deswegen gibt es das sogenannte Safe Harbor Abkommen, dem US-Firmen beitreten können um einen legalen Import, personenbezogener Daten, zu ermöglichen. Allerdings ist der Düsseldorfer Kreis der Ansicht, dass sich Datenexporteure in Deutschland nicht auf die Safe Harbor Zertifizierung verlassen dürfen und einen entsprechenden Nachweis verlangen muss ("Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen" PDF).
Zertifizierungen der Cloud Dienstleister
Cloud-Anbieter beginnen nun, entsprechende Zertifizierungen zu erwerben. So bietet Microsoft die verschiedenen Zertifikate für jeden Dienst einzeln in seinem „Vertrauensstellungscenter“ an (derzeit nur Office 365). Es werden auch die sogenannten EU-Mustervertragsklauseln für den Dienst „CRM-Online“ zur Verfügung stehen, zudem präsentiert das Unternehmen Mitte Juni die Studie "Datensicherheit und Compliance in der Cloud".
Auch Google hat seine, „Apps“ genannte, Business-Lösung nach ISO 27001, einer internationalen IT-Sicherheits-Norm, zertifizieren lassen. Ob dies ausreichend ist, muss aber jedes Unternehmen selbst für sich herausfinden, betont Eran Feigenbaum, Sicherheitschef bei Google Enterpreise, gegenüber heise.
Der Cloud Comuting Dienst „Amazon Web Services“ verfügt über einige Sicherheitszertifizierungen und bietet umfassende Hintergrundinformationen zu den Sicherheitsprozessen an.
Wir empfehlen vor dem Speichern von personenbezogenen Daten den rechtlichen Hintergrund genau zu überprüfen und insbesondere bei der Auswahl eines Cloud Dienstleisters diesen Aspekt nicht unter den Tisch fallen zu lassen.
