Cloud Computing

Cloud Services

Heutzutage weit mehr als „nur“ IaaS-Leistungen (Compute), Storage  oder Glacier (Langzeitdatensicherung). Hauptanwendungsbereich von Cloud Services ist derzeit:

Arten von Clouds

Nahezu alle Unternehmen nutzen heute Cloud Lösungen auf irgendeine Art, was (neue) rechtliche Themen nach sich zieht:

Public Cloud (vollständige Cloud-Migration): Datenmigration aus der On-Premise-Anwendung (also inhouse-Anwendung) in die Cloud-Lösung

  • Datenschutzthemen: Cloud-Anbieter Datenverabeiter, Support: EU/EWR oder privacy shield
  • Nutzungsrechtsthemen: idR SaaS, Rechte bei Customizing
  • Vertragsthemen: Beschreibung der Schnittstellen, Schnittstellen-Support

Hybrid Cloud (On-Premise-IT-Infrastruktur mit Schnittstellenanbindung, dh. Integration der Cloud):

  • Datenschutzthemen: Datenaustausch On-Premise und Cloud-Lösung
  • Themen wie Nutzungsrechte an den Daten, Arbeitsergebnissen/Entwicklungen

Infos zur Hybrid Cloud: https://www.computerwoche.de/a/wie-aus-vielen-cloud-services-eine-integrierte-loesung-wird,3330485

Multi-Cloud (mehrere/unterschiedliche Cloud-Lösungen unterschiedlicher Anbieter kombiniert)

  • Themen wie oben und Multicloudmanagement, Verträge mit mehreren Anbietern, Multicloudprovider - General-Provider

Infos zur Multi Cloud: https://www.computerwoche.de/a/wie-aus-vielen-cloud-services-eine-integrierte-loesung-wird,3330485,2

US Clouds

Die EU-Datenschutzrichtlinie und die neue EU-Datenschutz-Grundverordnung regeln, dass Datenübermittlungen nur zulässig sind, wenn beim Datenimporteur ein „angemessenes Datenschutzniveau“ besteht. Diese Voraussetzung gilt für die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU / des EWR, also in sogenannten Drittstaaten. Dieses Schutzniveau wurde früher durch Mitgliedschaft beim Safe-Harbour-Abkommen attestiert, heute durch Privacy Shield ("der EU-US-Datenschutzschild"):

Die Nutzung von Cloud Services wie Amazon AWS, Microsoft usw., die auf einem Datentransfer auf US-Server basieren, ist seit dem Safe-Harbour-Abkommen Vol 2 (genannt „Privacy Shield“ https://www.privacyshield.gov/welcome ) nunmehr rechtmäßig. (Zur Erinnerung: Das alte Safe-Harbour-Abkommen war mit EuGH-Urteil vom 06.10.2015 für ungültig erklärt worden).

Amazon AWS  https://www.privacyshield.gov/participant?id=a2zt0000000TOWQAA4

Microsoft https://privacy.microsoft.com/en-us/microsoft-eu-us-privacy-shield

Aktuelle Diskussion:

Am 25.1.2017 hat US-Präsident Donald Trump die Anordnung zur „Verbesserung der öffentlichen Sicherheit“ erlassen. Diese besagt, dass Nicht- US-Bürger, vom Schutz des „Privacy Acts“ nicht erfasst werden. Dieses Gesetz schützt vor Massenüberwachung. Bisher waren darüber auch EU-Bürger vor Datenschutzrechtsverstößen geschützt. Ist dies nicht mehr der Fall, so könnte die Anerkennung des „privacy shield“ wackeln ( siehe https://www.heise.de/newsticker/meldung/EU-US-Datentransfer-Privacy-Shield-unter-europaeischem-Beschuss-3670487.html ).

Große Erleichterung:

Die EU-Kommission hat den "Datenschutzschild" im ersten jährlichen Prüfbericht als "funktionsfähig" bezeichnet (Okt 2017). Die EU-Datenschutzbeauftragte kritisieren zwar, dass dies ohne sie erfolgt sei, aber durch den Prüfbericht kann nun von der Anerkennung des „privacy shield“ ausgegangen werden https://www.heise.de/newsticker/meldung/Privacy-Shield-EU-Datenschuetzer-distanzieren-sich-von-der-Kommission-3871043.html .

Doch selbst wenn sich das ändern sollte, werden die US-Unternehmen auf die Standardvertragsklauseln der EU-Kommission zurückgreifen. Mit diesen Klauseln wird ein Vertrag zwischen Datenexporteuer und Datenimporteur geschlossen, der nach EU-Recht anerkannt ist. Clouds der großen US-Anbieter wären damit langfristig EU-konform.

US Clouds bleiben also DSGVO-sicher.