Warum es nicht egal ist, wo Ihre Daten gespeichert sind

Worldwide Services
Bildquelle: AdobeStock

Vor kurzem hat Brad Smith, Präsident und Chief Legal Officer bei Microsoft angekündigt, mit technischen Maßnahmen die Speicherung und Verarbeitung von daten ausschließlich in der EU zu ermöglichen und diese „vor unzulässigem Zugriff durch staatliche Stellen“ zu schützen. Warum ist das interessant und warum sollte es Ihnen nicht egal sein, wo Ihre Daten gespeichert werden, besprechen wir in diesem Blogbeitrag.

Eine Frage des Standorts

Mit dem Verstärkten Fokus auf Cloud-Dienste, sei es für Software, Infrastruktur oder komplette Leistungspakte, ist der Fokus auf Security und speziell der Ort der Speicherung der Daten vermehrt in den Vordergrund gerückt. Speziell bei der Optimierung von Prozessen oder Business Intelligence Anwendung liegen für Unternehmen große Potentiale, sei es zur Verbesserung interner Abläufe, Entwicklung besserer Serviceangebote und Kundenerfahrungen bis hin zur besseren Bereitstellung vorhandener Daten als Entscheidungsgrundlage. Speziell bei innovativen Ideen tritt eher früher als später das Thema der Datensicherheit auf den Plan und ist damit häufig der Spielverderber, der diese Ideen killt. Das betrifft besonders die Fragen, wo Kundendaten gespeichert, weiterverarbeitet oder wie im Fall eines Vorfalls Datenverlust verhindert werden kann.

Als innovatives Unternehmen hören wir in vielen Gesprächen zu solchen Lösungen Fragen von Kunden wie, „Und wo steht das Rechenzentrum?“ oder „Wie werden die Daten abgesichert?“, wenn die Antwort dann lautet „Frankfurt“ oder „das läuft auf Azure“ ist fast immer erledigt. Wenn man näher darauf eingeht, wird mit einem Achselzucken reagiert und eine „kann man halt nicht ändern“ oder ähnlichem zur Kenntnis genommen. Während in anderen Bereichen oft das Thema der Kontrolle über die eigenen Daten aktiv angesprochen wird, reicht hier eine eher unverbindliche Antwort aus, um Bedenken zu zerstreuen

Was offen bleibt

Dennoch gibt es einige Fragen, denen man sich zumindest bewusst sein muss, um darauf aufbauend eine Entscheidung für oder gegen eine Lösung treffen zu können oder zumindest die Themen zu kennen, die aufkommen können. Dabei sind es oft nicht die klassischen Security-Themen wie Verschlüsselung, die hier relevant sind, sondern, was mit den Daten passiert, wenn diese in den Rechenzentren liegen: wohin werden sie repliziert, um Hochverfügbarkeit zu garantieren, wer kann im Zweifelsfall darauf zugreifen, um nur zwei zu nennen.

Kleiner Abstecher zur DSGVO

Dass das Thema spätestens seit den Klagen des Datenschutzaktivisten Max Schrems mehr als brisant ist, sollte allgemein bekannt sein. Kurze Erinnerung, der Europäische Gerichtshof (EuGH) hatte im Oktober 2015 die Vereinbarung „Safe Harbor“ gekippt, 2020 wurde auf Betreiben von Schrems auch die Nachfolgeregelung „Privacy Shield“ aufgehoben. Die Basis dafür ist Kapitel IV der DSGVO, in dem die Übertragung personenbezogener Daten in Drittländer geregt ist. Danach ist es nicht erlaubt, Daten in Länder, die kein vergleichbares Datenschutzniveau wie die EU aufweisen, zu übermitteln, da der Schutz der personenbezogenen Daten nicht in ausreichende ist Maß gegeben ist. Dazu gehören neben Russland und oder die Türkei auch die USA. Während nach der Aufhebung von Safe Harbour noch mit Standardvertragsklauseln versucht wurde, ein entsprechendes Niveau zu garantieren, ist die Lage nach Schrems II eindeutig: damit ist kein ausreichendes Schutzniveau für die Übermittlung personenbezogenen Daten gegeben. Begründung dafür ist, dass im Zweifelsfall das Zugriffsrecht der Regierung überwiegt, im Fall der USA handelt es sich dabei um FISA 702. Und ja, in Artikel 49 der DSGVO sind Ausnahmen genannt, diese beziehen sich allerdings auf Einzelfälle, mit Betonung auf Einzelfälle. Da Cloud Dienste aber laufende Dienste sind, treffen diese hier nicht zu.

Dazu noch zwei Punkte:

  • Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US Behörden Zugriff auf gespeicherte Daten zu gewährleisten, auch wenn die Speicherung nicht in den USA erfolgt. Das ist auch der Fall, wenn ein US Unternehmen eine Tochter in Europa hat und es die Möglichkeit gibt, dass diese auf diese Daten zugreifen kann. Somit ist ein Standort in Europa allein noch kein Schutz vor Zugriff.
  • Die DSVGO besagt in Artikel 48, dass Zugriffe von beispielsweise US-Behörden auf Daten, die im EU-Raum gespeichert werden, nur im Rahmen von Rechtshilfeabkommen zulässig sind. Eine unmittelbare Datenweitergabe unter Umgehung der zuständigen nationalen Stellen ist unzulässig.

Damit steht der CLOUD Act im direkten Widerspruch zur DSGVO.

MS Azure on Laptop
Bildquelle: AdobeStock

Meanwhile back in the jungle

In der Praxis zeigt sich, wie vorher schon beschrieben, dass in vielen Fällen die aktuelle Situation einfach ausblendet wird. Dennoch gibt es Umfragen, dass gerade neue und innovative Projekte, die auf permanente Verfügbarkeit, Skalierbarkeit und Flexibilität setzen, aufgrund dieser Einschränkungen, wenn schon nicht komplett, dann doch zumindest im Moment nicht umgesetzt werden.

Was kann man also dagegen tun? Einerseits kann man darauf vertrauen, dass Unternehmen wie Microsoft mit Ankündigungen wie jene am Beginn des Beitrags, mittels technischer Maßnahmen das Problem bei Azure oder Microsoft365 entsprechend lösen. Hier muss aber eingewendet werden, dass Microsoft als US Unternehmen natürlich immer noch der US-Rechtsprechung unterliegt. Max Schrems merkt dazu an: „Microsoft USA anscheinend weiter Zugriff auf die Daten hat, müssen sie die Daten nach US-Recht weiter herausgeben. Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben.“

Unser Vorschlag: eine durchgehende Europäische Lösung

Was soll man als IT Verantwortlicher jetzt also machen? Schulterzucken und hoffen, dass sich alles zum Besten wendet? Vertrauen, dass Weltkonzerne wie Google, Amazon oder Microsoft mit meinen Daten eh nichts anfangen können und daher das Ganze für mich nicht relevant ist? Auf technische Lösungen wie spezielle, durchgehende Verschlüsselungen („Zero Knowledge“) setzen? Eigentlich sollen Clouddienste doch einfacher, weniger komplex und günstiger sein.

Oder vielleicht auf eine Lösung setzen, bei denen diese Fragen schon gelöst sind, der Speicherort zu 100% in Europa ist, darüber hinaus redundant und weder dem Patriot Act unterliegt noch Kompromisse beim Datenschutz eingeht.

ABAX setzt bei Cloud-Services bewusst auf Exoscale von A1 Digital, eine Plattform, alle Services anbietet, die moderne Cloud Plattformen ausmachen: hochverfügbare Server, redundante Datenspeicherung und GPU-Server für anspruchsvolle IT-Aufgaben, virtuelle Instanzen in 30 Sekunden erstellen, Pay per use, flexibel und skalierend je nach Anforderungen und Features wie Load Balancing, Snapshots sowie IPv4 und IPv6 Adressen.

Die Server stehen in sechs europäischen Rechenzentren, die die hohen Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) erfüllen und nach ISO 27001, ISO 27017 und ISO 27018 zertifiziert sind. Dank einer einfachen und intuitiven Web-Administrationsoberfläche, gepaart mit einem transparenten Preismodell, macht Exoscale komplexe Infrastrukturkonzepte leicht umsetzbar.

Und die Moral von der Geschichte

Daher kann es Unternehmen nicht egal sein, wo ihre Daten gespeichert sind, wer darauf Zugriff hat und was im Zweifel in Rechtsstreitigkeiten herauskommt. Wir zeigen Ihnen gerne, wie Sie die Lösung sicher und gewinnbringend für Ihr Unternehmen einsetzen können. Und wenn Sie noch Zweifel haben, ob das Alles wirklich so sicher ist: Die europäische Kernforschungsorganisation CERN in Genf nutzt für ihr Projekt Cosmics Leaving Outdoor Droplets (Cloud) auch die Cloud als Datenspeicher und Plattform für Datenanalysen im Petabyte-Bereich und einer der Partner ist Exoscale. Nähere dazu erfahren Sie hier.

Exoscale Logo
ABAX Logo

ABAX baut auf eine jahrelange Expertise bei IT Infrastruktur und Cloud Services. Wir stehen Ihrem Unternehmen bei einer passenden Lösung unterstützend zur Seite. Gemäß dem Ansatz „Von der Planung über die Umsetzung bis zur laufenden Optimierung“ stehen wir für Ihre Anliegen an moderne IT Systeme gern zur Verfügung.

Die ABAX IT-Experten achten auf problemlose Abläufe, um Ihr Unternehmen möglichst schnell, effizient und transparent zu unterstützen und reibungslose Prozesse sicherzustellen. Wir freuen uns auf eine Zusammenarbeit mit Ihnen!

Mehr Beiträge