Multi-Cloud – und der Datenschutz?

Nachdem Cloud Computing heute in immer mehr Unternehmen Teil der IT-Infrastruktur ist, geht es nun einen Schritt weiter Richtung Multi-Cloud. In der Multi-Cloud können verschiedene Cloud-Dienste und -Plattformen parallel genutzt werden. Damit multiplizieren sich die Daten-schutzherausforderungen, die bereits bei der Nutzung einer einzigen Cloud bestehen; dazu gehören Fragen wie:

• Wo genau sind die Daten?

• Wer hat Zugriff auf die Daten?

• Wie werden die Daten gelöscht?

• Wie ist die Datensicherheit gelöst?

• Wie kann eine Kontrolle umgesetzt werden?

Die zentrale Frage bei einer Cloud ist, inwiefern man dem Dienstleister, dem Outsourcingpartner vertrauen kann. Egal ob Cloud oder Multi-Cloud, ein Dritter wird mit einer Datenbearbeitung betraut. Im Sinne des Datenschutzgesetzes ist Bearbeiten "jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten" (Art. 3 lit. e Bundesgesetz über den Datenschutz, SR 235.1). Wird die Datenbearbeitung einem Dritten übergeben, bleibt der Auftraggeber verantwortlich und muss sich insbesondere vergewissern, dass die Daten­sicherheit eingehalten wird.

Je mehr Beteiligte, umso schwieriger

Bei Multi-Cloud ist ein weiterer Partner beteiligt. Je mehr Beteiligte, umso zentraler sind die Verantwortlichkeiten und Dienste zu regeln. In den meisten Fällen sind die Allgemeinen Geschäftsbedingungen seitens Anbieter definiert. Wenn möglich sollten die Nutzungsbestimmungen gemeinsam definiert und genau geregelt werden. Insbesondere die Löschung von Daten wird noch komplexer. Es muss sichergestellt sein, dass Daten tatsächlich auf allen Systemen gelöscht sind und nicht noch irgendwo ein Backup mit diesen Daten besteht: Je mehr Beteiligte, umso schwieriger. Und bezüglich Datensicherheit müssen die einzelnen Systeme miteinander zusammen funktionieren und sich nicht behindern.

In den seltensten Fällen dürften alle Cloud-Dienstleistungen aus einem Land kommen. So muss beachtet werden, dass es weltweit kein einheitliches Datenschutzniveau gibt. Länder, die gemäss eidgenössischem Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ein gleichwertiges Datenschutzniveau haben, befinden sich primär in Europa, und dann noch in vereinzelten Ländern wie Kanada, Argentinien, Uruguay, Israel und Neuseeland, Länder wie die USA oder Australien nur unter bestimmten Bedingungen. Darum ist es wichtig, dass man weiss, wo die Infrastruktur ist. Ein Grossteil der Cloud-Computing-Infrastruktur befindet sich in den USA. Insbesondere Facebook verlangt inzwischen, dass sich auch die USA an den Vorgaben der europäischen Datenschutzgrundverordnung ein Vorbild nehmen und ähnliche Regelungen erlassen. Solche fehlen aktuell noch; europäische Dienstleister sind folglich zu bevorzugen, sofern klar geregelt ist, dass sich ihre Infrastruktur nur in Ländern mit gleichwertigem Datenschutz befindet.

Datenschutz ist nicht lästig, sondern Teil der Qualität

Multi-Cloud ist eine Folge der Bequemlichkeit. Man möchte im Alltag möglichst einfach arbeiten, die Vorteile einzelner Cloud-Lösungen möglichst gebündelt nutzen können. Diese Bedürfnisse werden erkannt und Lösungen gesucht. Werden dabei die datenschutzrechtlichen Rahmenbedingungen – es sind immer dieselben, etwa Transparenz, Datensicherheit, Verhältnismässigkeit, Richtigkeit der Daten – im Vorfeld berücksichtigt, ist dies besser, als wenn Nutzende Schatten-IT-Lösungen finden und dabei grundlegende Vorgaben vernachlässigen. Entscheidend dabei: Datenschutz nicht als lästig, sondern als Teil der Qualität verstehen!