7. September 2015 - Cloud-Prüfung auch bei EU-Standort

Cloud Computing in der EU

Neue Cloud-Lösungen werben zunehmend damit, dass sie ein deutsches Rechenzentrum nutzen oder einen Cloud-Standort in der EU haben. Die Standortfrage ist wichtig, aber nicht alles im Cloud-Datenschutz. Anwenderunternehmen sind trotzdem in der Kontrollpflicht.

Cloud Computing - in der EU sicherer Cloud-Lösungen mit EU-Standort sind von Vorteil für den Datenschutz (Bild: rvlsoft / iStock / Thinkstock)

Cloud-Anbieter zieht es in deutsche Rechenzentren

Als Datenschützer kann man mit Freude feststellen, dass eine ganze Reihe von Cloud-Anbietern inzwischen Cloud-Services anbietet, die Rechenzentren in Deutschland erbringen. Der Grund: Die Anbieter haben verstanden, dass der Datenschutz bei der Suche nach Cloud-Diensten in Deutschland eine große Rolle spielt. Wenn das Rechenzentrum nicht in Deutschland steht, verweisen die Cloud-Provider zumindest auf einen Rechenzentrumsstandort innerhalb des EU/EWR-Raums.

Beispiel: Amazon AWS

Im August kündigte zum Beispiel Amazon Web Services (AWS) an, dass der Dienst Amazon Machine Learning nun innerhalb der EU erbracht wird, genauer gesagt in Irland. Eine wesentliche Zielgruppe für diese neue Cloud-Lösung sind Firmen, die bezüglich des Standorts ihrer Datenhaltung eingeschränkt sind. Jegliche Analyse und Prognose soll innerhalb Europas stattfinden, so AWS, die Daten sollen die AWS-Region Dublin nicht verlassen.

An dieser Stelle sollten Sie als Datenschutzbeauftragter nicht gleich den „Alles-ok“-Haken setzen. Tatsächlich wird das Thema des Cloud-Standorts so stark in Datenschutz-Diskussionen behandelt, dass man glauben könnte, dies sei der wesentliche Prüfpunkt für den Datenschutz. Doch weit gefehlt. Es kommt immer auch auf das genaue Verfahren der Datenverarbeitung an.

Achten Sie genau auf das Verfahren der Datenverarbeitung

Bei dem nun innerhalb der EU erbrachten Cloud-Dienst von Amazon zum Beispiel geht es um maschinelles Lernen (ML), worunter man sich nicht so einfach etwas vorstellen kann. AWS beschreibt den Dienst so, dass Amazon Machine Learning Visualisierungstools und Assistenten bietet, die das Anwenderunternehmen durch den Aufbauprozess für Machine-Learning-Modelle begleiten, ohne dass die Anwender komplexe ML-Algorithmen und ‑Technologien erlernen müssen.

Was das für den Datenschutz bedeuten kann, wird erst richtig deutlich, wenn man sich Anwendungsbeispiele ansieht:

  • Betrugserkennung (Prognosemodelle, mit deren Hilfe sich potenzielle betrügerische Einzelhandelstransaktionen erkennen lassen),
  • Personalisierung von Inhalten (z.B. Website-Ablauf auf der Grundlage vorheriger Kundenaktionen optimieren) oder
  • Neigungsmodellierung für Marketingkampagnen (frühere Kundenaktivitäten nutzen, um die relevantesten E-Mail-Kampagnen für eine Kundenzielgruppe auszuwählen).

Als Datenschutzbeauftragte oder Datenschutzbeauftragter sollten Sie deshalb den Einkauf und die IT-Leitung bzw. die Geschäftsleitung dafür sensibilisieren, nicht nur auf den Cloud-Standort zu achten. Der Cloud-Standort ist sehr wichtig, doch auch wenn sich dieser Punkt als unproblematisch erweist – etwa durch ein deutsches Rechenzentrum für den Cloud-Betrieb –, bleiben die Fragen zur Auftragskontrolle bestehen, da Cloud Computing in aller Regel Auftragsdatenverarbeitung ist.

Zudem kommt es immer auf die konkrete Cloud-Anwendung an, ob nicht doch Datenschutz-Fragen zu klären sind, etwa bei Themen wie Betrugserkennung oder Personalisierung von Angeboten und Diensten. Nutzen Sie die Arbeitshilfe für die Sensibilisierung der verantwortlichen Stelle.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.


Noch mehr Datenschutz-Checklisten finden Sie Unter den Praxishilfen.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln