Microsoft übernimmt als erster führender Anbieter von Cloud-Diensten mit ISO/IEC 27018 den weltweit ersten internationalen Standard für Datenschutz in der Cloud. Alexander Hailfinger, Geschäftsführer der Terrabit GmbH, erläutert, was dieser Meilenstein konkret für die Praxis bedeutet und welchen Nutzen insbesondere Cloud-Anwender in Deutschland davon haben.
Denn letztlich stellt Microsoft mit Azure eine Komponente von Terrabit vCompany, dem Cloud Service „Made in Germany“ – damit diese Cloud-Lösung auch weltweit ohne lähmende Latenzzeiten nutzbar ist.
Microsoft, dessen Cloud-Dienst Azure auch ein Baustein in der IT-Outsourcing-Lösung vCompany der Terrabit ist, hat kürzlich mit seiner Vorreiterrolle in Sachen Datenschutz von sich Reden gemacht. Was ist neu?
Alexander Hailfinger: Microsoft ist nun der erste globale Anbieter von Cloud Services, der es geschafft hat, dass man quasi mit personenbezogenen Daten gemeinschaftlich in der Cloud arbeiten kann und trotzdem alle Anforderungen an den Datenschutz erfüllt sind. Das war bislang der Knackpunkt: Als Nutzer von Applikationen, die in der Cloud eines internationalen Anbieters wie zum Beispiel Microsoft oder Amazon gehostet sind, konnte man sich nie sicher, was die mit den personenbezogenen Daten anstellen – für die man selbst gegenüber seinen Kunden ja geradestehen muss. So fordert es die deutsche Datenschutz-Gesetzgebung.
Um als deutsches Unternehmen bei einem US-amerikanischen Cloud-Anbieter auf die Umsetzung der Datenschutzrichtlinien zu pochen, gab es bislang ja keine wirklich praktikable Lösung …
Alexander Hailfinger: Genau. Insbesondere für den Mittelstand. Als deutsches Unternehmen musste man eine Vielzahl von einzelnen Verträgen abschließen, wenn man die Software-Dienste eines US-amerikanischen Cloud-Anbieters nutzt. Nur so wurde man den deutschen Datenschutz-Richtlinien gerecht. Das ist passé: Microsoft bietet mit seinen Cloud-Produkten über die Online Services Terms, die OST, nun ein auf die Bedürfnisse des Mittelstands zugeschnittene Lösung. Ein Vertrag für alles. Selbst zukünftige Anforderungen und Erweiterungen sind damit abgedeckt.
Aber das ist ja noch nicht alles: Jeder, der personenbezogene Daten in der Cloud verarbeiten will, muss seinen Cloud-Anbieter quasi einem Audit unterziehen.
Alexander Hailfinger: In der Realität war das ja zuweilen fast ein Ding der Unmöglichkeit. Mit der Entscheidung zur Übernahme von ISO/IEC 27018 lässt sich Microsoft sozusagen von außen, von einer unabhängigen Organisation auditieren. Wenn wir als Terrabit auch Bausteine wie Microsoft Azure nutzen, greifen wir auf dieses Auditing zu. Und können uns sicher sein, dass die strengen deutschen Datenschutzrichtlinien umgesetzt sind. Denn darauf basiert diese ISO-Norm.“
Was kann ISO 27018 denn nun? Ist das wirklich die Allzweckwaffe für eine bessere Welt in Sachen Datenschutz?
Alexander Hailfinger: Auf alle Fälle ein mächtiges Instrument. Abgesichert ist, dass ich als Cloud-Anwender stets die Kontrolle über meine Daten behalte. Der Cloud-Anbieter verpflichtet sich, die von mir zur Verfügung gestellten personenbezogenen Daten exakt und ausschließlich nach meinen Anweisungen zu verarbeiten. Die Verwendung dieser Daten für Werbezwecke ist tabu, ich werde vom Cloud-Provider informiert, falls Ermittlungsbehörden die Herausgabe dieser Daten fordern oder es zu unerlaubten Zugriffen auf meine Datensätze kommt. Außerdem gibt’s strikte Vorgaben, was die Datenübertragung und die Speicherung betrifft. Und natürlich auch die Geheimhaltungsverpflichtungen der beteiligten Personen.
Gerade die rechtlichen Unsicherheiten sind ja immer noch ein Top-Ablehnungsgrund, weshalb Unternehmen nur zögerlich auf Cloud-Computing setzen (vgl. die Studie des Statistischen Bundesamts zum Cloud-Computing).
Alexander Hailfinger: Hier sind wir einen enormen Schritt weitergekommen. Nun sind alle Voraussetzungen gegeben, um alle Geschäftsprozesse – wie beispielsweise Dokumentenablage oder ERP-Systeme – in der Cloud abzubilden, ohne sich Gedanken über den Datenschutz machen zu müssen. Die bisherige Begrenzung auf Deutschland oder Europa gehört somit der Vergangenheit an. Der weiteren Globalisierung steht nichts im Wege.
Weitere Informationen zu Terrrabit sind im Lösungskatalog verfügbar.