Cloud: Datenschutz-Schreckgespenst Cloud?
Lars Behrens, Dipl.-Paed
Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.
Passende Arbeitshilfen
Was verstehen wir unter einer „Cloud“?
Es gibt zwei entscheidende Unterschiede, ob es sich bei einer Software oder Hardware um eine „echte“ Cloud handelt:
- Die physikalische Loslösung einer Infrastruktur von Ihrem eigenen Netzwerk. Dabei kann und muss es eine logische Verbindung geben, etwa über VPN oder HTTPS / SSL-TLS. Wichtig ist, dass sich die für eine Cloud notwendige Serverhardware nicht in Ihrem direkten Zugriff befindet. Bei einer „echten“ Cloud handelt es sich immer um SaaS (Software-as-a-Service) oder IaaS (Infrastructure-as-a-Service) wie beispielsweise Microsoft 365, Amazons AWS, Google Cloud und so weiter. Anhand dieses Kriteriums wird bereits deutlich, dass eine NextCloud auf einem Server in Ihrem Serverschrank ihre Ressourcen zwar weltweit zur Verfügung stellt – und diese zumindest technisch mögliche globale Verfügbarkeit einer Ressource ist ein Punkt, der gerne als wesentlich für eine Cloud genannt wird. Letzten Endes handelt es sich aber um einen Service, der auf Ihr Netzwerk beschränkt ist.
- Die logische Trennung von Hardware und Service. Dieser Punkt muss Sie von den technischen Aspekten her weniger interessieren. Es ist aber wichtig zu wissen, dass es sich bei einer „richtigen“ Cloud um verteilte Rechenleistungen handelt. Der Cloudanbieter stellt dann beispielsweise eine Freigabe bereit, diese wird aber über einen Verbund mehrerer Server, idealerweise verteilt auf mehrere Rechenzentren erstellt. Dass die einzelnen Server eines solchen Cloudverbundes ihre Datenträger wiederum per RAID und LVM respektive ein SAN redundant (also hochverfügbar) halten, ist wiederum eine technische Selbstverständlichkeit und kann gut zur Unterscheidung zu einer NAS (Network Attached Storage) herangezogen werden. Solche Speicherlösungen verfügen in der Regel zwar auch über mehrere Festplatten im RAID-Verbund, sind ansonsten aber singuläre Services. Fällt die Hardware der NAS aus, ist es auch vorbei mit der angeblichen „Cloud“.
Das Cloud-Prinzip sorgt zum einen für eine hohe Ausfallsicherheit, eine hohe Skalierbarkeit (also Erweiterbarkeit), aber eben auch für wenig Transparenz. "Den" Server, auf dem Sie vielleicht Ihre CMS-Lösung angemietet haben, gibt es gar nicht – er besteht entweder aus einem Serververbund oder aus einem Back-up-System, das einspringt, wenn Ihr eigentlicher Server ausfällt. "Die" Cloud an sich gibt es nicht, weder ist der Begriff normiert noch wird er einheitlich im Sprachgebrauch verwendet.
Cloud-Lösungen wachsen
Vieles von dem, was wir im KMU-Bereich noch vor wenigen Jahren als lokal oder auf dem Server in unserem Netzwerk bereitgestellte Software für unverzichtbar gehalten haben, kann mindestens ebenso gut durch einen Cloud-Anbieter betrieben werden. Wie aber sieht es dabei mit dem Thema „Cloud Datenschutz“ aus?
DSGVO gilt (fast) immer!
Spätestens mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung, der DSGVO (GDPR) zum 25. Mai 2018 ist vielen Administratoren, IT-Verantwortlichen und generell Unternehmensverantwortlichen bewusst geworden, dass auch IT-Systeme auf ihre Konformität zu den Vorgaben des Datenschutzes hin geprüft werden müssen. Das ist grundsätzlich immer dann der Fall, wenn personenbezogene Daten verarbeitet werden. Dies ist aber fast immer in irgendeiner Form der Fall. Selbst der einsam in seinem Keller vor sich hin programmierende Datenbankprofi kommt mit dem Datenschutz in Berührung, sobald er Zugriff auf Daten von Personen hat:
- Kontaktdaten von Kunden und Kooperationspartnern
- Daten von Angestellten
- Daten, die auf Systemen von Kunden oder Kooperationspartnern vorgehalten werden
Bekannt und berüchtigt sind inzwischen die beim Besuch jeder Webseite aufpoppenden Hinweise auf den Datenschutz – die oben getroffene Beschreibung der "personenbezogenen Daten" trifft nämlich bereits dann zu, wenn jemand mit seinem internetfähigen Gerät die Webseite Ihres Unternehmens aufsucht. Ganz gleich, ob er dies aus einem Internetcafé heraus tut, bewusst verschleiernd über einen Proxy wie Tor oder als Einbrecher, der mit dem Laptop der Tochter im Internet surft: So obskur es anmuten mag, gilt bereits hier die DSGVO, da auf den Servern der Webseitenbetreiber ja irgendwelche Daten landen könnten, die Rückschlüsse auf die Person des Surfers ermöglichen.
Betroffene haben Anrecht auf personenbezogene Daten
Nun hat aber jeder Kunde, Kooperationspartner, Nutzer Ihrer IT-Systeme und auch jeder Angestellte, dessen personenbezogenen Daten Sie zur Verarbeitung überlassen bekommen haben, ein verbrieftes Anrecht auf Auskunft, Einsicht und Löschung dieser Daten. Wenn er oder sie dieses Recht einfordert und Sie ihm dann antworten müssen, dass Sie erstens gar nicht genau wissen, wo diese Daten denn nun genau liegen und ob nicht eine staatliche Ermittlungsbehörde diese längst schon mitgeschnitten hat, haben Sie ein ernsthaftes juristisches Problem. Das aber kann Ihnen passieren, wenn Sie Ihre Daten oder IT-Systeme "der Cloud" anvertrauen.
Jetzt weiterlesen mit 
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare
