Schlagwort: Cloud Computing

Google reagiert auf den Wegfall des Privacy Shield

30. September 2021

Seit Jahren steht Google in puncto Datenschutz in vielfacher Hinsicht unter Kritik. Nun sollen auch bei dem Tech-Riesen für die eigenen Cloud-Dienste die überarbeiteten Standarvertragsklauseln gelten. Im Zuge einer Aktualisierung der Datenschutzbedingungen habe man auch die neuen SCCs aufgenommen, teilte Google mit. Laut Google soll dies eine transparente Unterstützung der Cloud-Kunden bei der Einhaltung der geltenden europäischen Datenschutzgesetze und eine Vereinfachung der Prozesse gewährleisten.

Seitdem das sog. Privacy – Shield – Abkommen durch den Europäischen Gerichtshof mit seinem Urteil vom 16. Juli 2020 in der Rechtssache “Schrems II” aufgehoben wurde, steht fest, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden ist. Das Gericht zeigte wiederholt auf, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act einen massenhaften Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI erlauben. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) enthält bei Vorliegen gewisser Voraussetzungen eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. So können auch Daten europäischer Bürger ohne Weiteres in die Hände der US-Behörden gelangen, wenn diese sie bei einer amerikanischen Muttergesellschaft zB. einem Cloudanbieter herausverlangt. Dies steht allerdings im Widerspruch mit Art. 48 DSGVO und stellt europäische Unternehmen vor die Frage, ob sie Unternehmen mit Muttergesellschaft in den USA zur Auftragsverarbeitung überhaupt rechtskonform einsetzen können oder nicht zu europäischen Anbietern wechseln sollten.

Verbliebenes Instrument zum Schutz des europäischen Datenschutzniveaus sind die Standardvertragsklauseln (SCCs), die die Europäische Kommission am 04.06.2021 in neuer Version und angepasst an die erhöhten Anforderungen des “Schrems II- Urteils” veröffentlichte. Diese werden die aktuell noch gültigen SCCs, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden, ersetzen. Die neuen SCCs legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Google ist nach Amazon Web Services und Azure von Microsoft der nächste große Cloudanbieter, der die neuen SCCs implementiert.

Bei ihrer Umsetzung könnten allerdings einige Punkte spannend werden. So ist nach Klausel 14 der Datenimporteur verpflichtet, umfangreiche Informationen bereitzustellen, durch die eine Bewertung des Risikos der Datenübermittlung im Einzelfall möglich wird. Insbesondere ist entscheidend, dass nicht nur das allgemeine Datenschutzniveau im Empfängerland bewertet wird, sondern das konkrete Schutzniveau für die konkret übertragenen Daten eingeschätzt werden muss. Das könnte bedeuten, dass – anders als bisher – Google im großen Umfang datenschutzrechtlich tätig werden und interne Prozesse offenlegen müsste.

Auswirkungen der DSGVO auf Cloud Service Provider

12. Juli 2017

Lagert ein Unternehmen personenbezogene Daten von Kunden, Mitarbeitern oder anderen denkbaren Betroffenen-Gruppen in “die Cloud” aus, handelt es sich dabei um einen klassischen Fall der Auftragsdatenverarbeitung (unter der Datenschutz-Grundverordnung “Auftragsverarbeitung”). Wie in den vielen weiteren Bereichen des Datenschutzrechts treten durch die neue EU-Verordnung auch beim Daten-Outsourcing zum 25.05.2018 Änderungen in Kraft. Grund genug, zwei dieser Änderungen im Hinblick auf ihre praktischen Auswirkungen einmal genauer zu beleuchten.

Eine der Neuerungen verbirgt sich in Art. 30 Abs. 2 DSGVO: Anders als bislang muss künftig auch der Auftragsverarbeiter ein Verfahrensverzeichnis führen. Diese Aufgabe zur Schaffung von Verarbeitungstransparenz lag bislang allein bei der verantwortlichen Stelle (Auftraggeber im Rahmen der ADV). Dadurch stehen Cloud-Anbieter künftig vielfach in der Pflicht, für jede ihrer Geschäftsbeziehungen ein Verfahrensverzeichnis anzulegen. Zwar verlangt die Verordnung im Hinblick auf die darzulegenden Informationen inhaltlich nichts “Unmögliches” (eigene Bezeichnung, Name der verantwortlichen Stelle, ggf. bestellter Datenschutzbeauftragter etc.), je nach Größe des Cloud-Anbieters kann es sich aber um eine ganze Bandbreite von dokumentationspflichtigen Verfahren handeln. Diese sind zusätzlich im Zeitverlauf aktuell zu halten. In jedem Fall sollten sich Cloud-Provider (aber auch andere Vielfach-Auftragsverarbeiter) bereits jetzt um einen standardisierten Prozess bemühen, der ihnen die Abfrage der Verzeichnisinhalte erleichtert.

Für die Erbringung von Cloud-Services arbeiten Provider häufig zusammen, z.B. um eine noch bessere Rechenleistung oder größeren Speicherplatz anbieten zu können. Datenschutzrechtlich handelt es sich hierbei um eine “Unterbeauftragung”. Interessant ist in diesem Zusammenhang das neue Widerspruchsrecht des verantwortlichen Auftraggebers, das ihm aus Art. 28 Abs. 2 der Datenschutz-Grundverordnung zukommt. Sollte ein Auftraggeber (=Daten-outsourcendes Unternehmen) der Kooperation mit einem bestimmten Cloud-Unterauftragnehmer widersprechen, muss sein ADV-Vertragspartner hierauf verzichten. Die Möglichkeit zur praktischen Umsetzung von Widersprüchen ist an dieser Stelle jedoch höchst fraglich: Schließlich ist die Rücksichtnahme auf individuelle Kundenwünsche im Falle einer Public Cloud (offener Nutzerkreis, keine Lokalisierung der verarbeiteten Daten) technisch nur äußerst schwer zu realisieren.

Praxisstudie zum Cloud-Computing: Datenschutz und -sicherheit besorgniserregend

20. Juli 2015

Cloud-Computing wird immer populärer und ist mittlerweile fester Bestandteil des Business-Alltags. Trotz alledem haben 87 Prozent der IT-Verantwortlichen Bedenken, wenn es um Datenschutz und Datensicherheit in Zusammenhang mit Geschäftsinformationen und Cloud-Anwendungen geht, wie nun Ergebnisse einer Praxisstudie (“Preparing for next-generation cloud: Lessons learned and insights shared”), für die Anfang dieses Jahres weltweit 232 IT-Führungskräfte bezüglich ihrer Erfahrungen mit Cloud-Anwendungen befragt wurden, verdeutlichen.

So gaben 67 Prozent der Befragten an, dass ihre Unternehmen bereits unter Zwischenfällen oder Problemen in Verbindung mit Cloud-Anwendungen zu leiden hatten. Wiederum 9 Prozent der Befragten, die bereits Zwischenfälle erlebt haben, sprachen dabei von „hohen Schäden”, 55 Prozent von „begrenzten” und 34 Prozent von „geringen” Auswirkungen.

Von knapp der Hälfte der Befragten wurde der „Verlust von Kundendaten” infolge einer fehlerhaften Cloud-Anwendung als größtes Risiko für ihr Unternehmen angesehen, danach folgen Umsatzverluste (40 Prozent) und Verletzungen des Kundendatenschutzes (36 Prozent).

Bei Public-Cloud-Anwendungen sollen Ausfälle und Störungen doppelt so häufig vorkommen wie bei Private Clouds.

Die Studie empfiehlt fünf Best Practices, die Unternehmen bei der optimalen und kosteneffizienten Nutzung von Cloud-Ressourcen helfen sollen:

  • Sicherstellen, dass die Cloud-Anbieter die Anforderungen der gesamten unternehmerischen Tätigkeit und der IT-Organisation erfüllen können.
  • Einen geeigneten Cloud-Service auswählen, um Sicherheit und Datenschutz besser überwachen zu können.
  • Cloud-Architekturen nutzen, die Verbindungen zwischen dem Cloud-Service und der vorhandenen IT-Infrastruktur ermöglichen.
  • Über die Kosten hinaus weitere Faktoren berücksichtigen, etwa das Potenzial der Cloud zur Optimierung von Geschäftsprozessen, zur Stärkung der Innovationskraft und der Mitarbeitereffizienz.
  • Geschäftsanforderungen an die IT festlegen, um Cloud-Services anzubieten und als Cloud-Vermittler tätig zu werden.

 

Kategorien: Allgemein
Schlagwörter: ,

Europäische Strategien für den digitalen Binnenmarkt: Kommt die europäische Cloud?

13. Mai 2015

Die EU-Kommission hat in der vergangenen Woche ein 16 Initiativen umfassendes Strategiepapier vorgestellt, mit denen den Veränderungen in der digitalen Welt Rechnung getragen und vor allem die Vorteile eines gemeinsamen Europäischen Marktes in Zukunft besser genutzt werden sollen.

Eine dieser Initiativen bezieht sich auf den Aufbau von eigenen, europäischen Cloud-Diensten. Es soll innerhalb dieser Maßnahme vor allem um die Zertifizierung von Cloud-Diensten, die Möglichkeit des schnellen Wechsels des Cloud-Diensteanbieters und um eine Forschungs-Cloud gehen. Bislang lohne sich die dezentraler Speicherung von Daten und Nutzung externer Rechenzentren in Europa noch nicht, weil der europäische Markt nach Ansicht der Kommission zu zersplittert sei. Dies liege beispielsweise in den abweichenden Datenschutzstandards in den EU-Mitgliedstaaten begründet. Wie einem dem Strategiepapier beigefügten Fahrplan zu entnehmen ist, ist die Umsetzung dieser “Initiative für einen freien Datenfluss” für das Jahr 2016 geplant.

Mit der Schaffung eines Gütesiegels für Cloud-Provider sollen zukünftig die Anbieter hervorgehoben werden, die in besonders hohem Maße bestimmte Sicherheitsstandards erfüllen.

Umfrage: Private Cloud-Dienste wenig beliebt

15. Januar 2015

Nach Auswertung einer Studie der europäischen Statistikbehörde Eurostat berichtet der BITKOM von einer zögerlichen Akzeptanz  der Deutschen von privaten Cloud-Diensten. Grundlage für diesen Bericht ist eine repräsentative Umfrage unter 16- bis 74-jährigen Einwohnern in 31 europäischen Staaten.

Am beliebtesten sind die privaten Online-Speicher wie Dropbox oder iCloud in Dänemark, wo sie von 44 Prozent der Einwohner genutzt werden. Dagegen speichert nur etwa jeder fünfte Deutsche (21 Prozent) Dateien im Netz. Der EU-Durchschnitt für eine Nutzung von Cloud-Speichern liegt bei 22 Prozent. Auffällig ist, dass Jüngere deutlich häufiger von der Möglichkeit Gebrauch machen, ihre Daten im Netz abzulegen: Von den 16- bis 24-Jährigen ist es schon jeder dritte Deutsche (33 Prozent), der Cloud-Speicher in Anspruch nimmt.

Neben den Vorteilen, die diese Anbieter bieten, nämlich eine nahezu unbeschränkte Speicherkapazität und eine ortsunabhängigen Zugriffsmöglichkeit, sollten jedoch auch die Risiken, die insbesondere aus datenschutzrechtlicher Sicht bestehen, bei einer Bewertung von Cloud-Dienstleistern eine Rolle spielen. Denn es sind insbesondere diese Bedenken, die ein Fünftel der Deutschen als Grund angeben, warum sie (noch) keine Cloud-Dienste verwenden.

Der Anbieter sollte daher genau geprüft werden: In welchem Land steht der Server des Anbieters? Liegen die notwendigen datenschutzrechtlich erforderlichen Verträge vor? Welche technischen und organisatorischen Maßnahmen wendet der Anbieter vor allem zum Schutz vor unberechtigtem Zugriff auf meine Daten an? Werden meine Daten getrennt von Daten anderer Nutzer der Cloud abgelegt?

Kategorien: Allgemein
Schlagwörter: ,

Standortvorteil Deutschland: Oracle eröffnet deutsche Rechenzentren

29. September 2014

Nach Berichten der Frankfurter Allgemeinen Zeitung (FAZ) eröffnet der SAP-Konkurrent Oracle noch vor Jahresende zwei Rechenzentren in Deutschland. Der Konzern kündigte an, dass sie in Frankfurt und München ans Netz gehen sollen. Der Deutschlandchef Jürgen Kunz erklärte, dass damit vor allem Unternehmen bedient werden sollen, die ihre Cloud-Dienste aus Deutschland beziehen wollen. Die Ankündigung sei seiner Meinung nach ein Zeichen dafür, dass Oracle als US-Unternehmen dem deutschen Markt verbunden bleibt.  Es gebe durhaus Kundnen mit dem Bedürfnis, ihre Daten in Deutschland zu speichern, und dem wolle man gerecht werden.

Nach der Diskussion um die Internet-Überwachung durch Geheimdienste wie die NSA bieten amerikanische Unternehmen für ihre Kunden in Europa verstärkt lokal angesiedelte Dienste an. So setzte sich jüngst der Deutschlandchef des Computerriesen Hewlett-Packard, Heiko Meyer, für eine europäische Cloud ein. „Wir sollten einen gemeinsamen Datenraum für Europa entwickeln wie den europäischen Wirtschaftsraum“, sagte er. Microsoft prüft Cloud-Möglichkeiten für den deutschen Mittelstand.

Die Deutsche Telekom macht sich für ein sogenanntes Schengen-Routing stark: Internet-Dienste, bei denen die Daten auf dem Weg zwischen zwei Punkten in Europa entsprechend auch die europäischen Grenzen nicht verlassen sollen.

Der Oracle-Deutschlandchef zeigte sich für diese Ideen eher skeptisch, so die FAZ weiter. „Es ist überhaupt nicht notwendig, sich in einem einzelnen Datenraum abzuschotten.“ Es gebe Möglichkeiten, Daten überall auf der Welt sicher zu lagern, viele Unternehmen machten das auch.

“Internet der Dinge” mit vielen Schwachstellen

1. August 2014

Nach einer Studie, die HP diese Woche veröffentlicht hat, gehen die Hersteller von vernetzten Geräten oft sehr sorglos mit deren Sicherheit um.

Bei den zehn populärsten vernetzten Geräte, die untersucht wurden (darunter z. B. Webcams, Alarmanlagen, Türschlösser, Sprinkleranlagen), wies jedes im Durchschnitt 25 Schwachstellen auf. Vor allem wurden bei der Studie mangelnde Verschlüsselung in Kombination mit überflüssigen privaten Informationen, schwache Passwörter und fehlerhafte Benutzerschnittstellen aufgedeckt. So könnten Geräte der Kategorie “Internet of Things” zu einem großen Sicherheitsrisiko werden.

Das größte Risiko bestehe wohl darin, dass die Nutzer in neun von zehn Geräten überflüssige persönlichen Daten eingeben mussten, darunter auch Kreditkarteninformationen, und diese durch eine unverschlüsselste Verbindung kommunizieren müssen. In acht von zehn Geräten konnten Nutzer auch einfache Passwörter wie 1234 eingeben, heißt es in der Studie weiter. Besonders kritisch: Diese Passwörter werden teilweise nicht nur im Heimnetzwerk, sondern auch für den Zugang zur Cloud oder von mobilen Geräten aus genutzt.

Ein weiterer sehr kritischer Punkt sei die mangelhafte Verschlüsselung. So werde in sieben von zehn Geräten überhaupt keine Verschlüsselung eingesetzt. Unverschlüsselte Updates hingegen sorgen für unsichere Firmware.

Dabei ist das Internet der Dinge ein vielbeschworenes Entwicklungsfeld: Laut dem Marktforschungsinstitut Gartner sollen bis zum Jahr 2020 etwa 26 Milliarden Geräte weltweit mit Bluetooth, WLAN oder sonstigen Netzwerkverbindungen ausgestattet werden, wie Zeit-Online in diesem Zusammenhang berichtet.

Clouds bei deutschen Firmen weiterhin beliebt

4. März 2014

Trotz der Snowden-Enthüllungen setzen deutsche Unternehmen weiterhin auf Clouds. 40 Prozent der deutschen Unternehmen nutzen cloudbasierte Dienste, wie Chip Online schreibt. Was die NSA-Affäre aber mit sich bringt ist, dass Nutzer und Interessenten deutlich vorsichtiger geworden sind und genauer wissen wollen, was wie funktioniert und wie die Daten geschützt und transportiert werden, sagt Dirk Emminger vom Cloud-Dienstleister Finanz Informatik Technologie Service (FI-TS). Das Bewusstsein für die Sicherheit der eigenen Daten wurde in den letzten Jahren mehr und mehr geschult und gehört zur strategischen Notwendigkeit eines jeden Unternehmens. Das mag auch ein positiver Effekt der Snowden-Enthüllungen sein.

Bitkom stellt auf seiner Homepage den Leitfaden „Wie Cloud Computing neue Geschäftsmodelle ermöglicht“ zum Download bereit und zeigt hier u.a. an Beispielen aus der Wirtschaft und der öffentlichen Verwaltung, wie Cloud Computing bereits sinnvoll und sicher in Geschäftsabläufe integriert wird.

Der Nutzen und die Vorteile von cloudbasierten Anwendungen sind mittlerweile unumstritten. Und so ist auch mit einem weiteren Anstieg des Cloud Computing zu rechnen, wie es auch bei der Cloudconf im Dezember in Berlin hieß.

Kategorien: Online-Datenschutz
Schlagwörter: ,

BfDI: Internationale Datenschutzkonferenz fordert mehr Datenschutz in der Cloud

31. Oktober 2012
Cloud Computing war nach einer Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Schaar ein zentrales Thema der 34. Internationalen Datenschutzkonferenz, die vom 22.-26. Oktober in Uruguay stattgefunden hat. Ein gemeinsam mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit eingebrachter Entschließungsentwurf zum Cloud Computing sei von den versammelten Vertretern der Datenschutzbehörden aus aller Welt einstimmig angenommen.
“Wir waren uns einig, dass Cloud-Computing nicht zu Lasten des Datenschutzes gehen darf. Die Internationale Datenschutzkonferenz fordert Anbieter und alle anderen Beteiligten auf, ein hohes Datenschutzniveau für Cloud Computing-Dienste zu gewährleisten. Die Nutzer derartiger Dienste, insbesondere Unternehmen und öffentliche Stellen müssen sich vergewissern, dass die Cloud-Dienste ein ausreichendes Datenschutzniveau garantieren, sofern personenbezogene Daten verarbeitet werden sollen. Anbieter müssen für mehr Transparenz sorgen. Zudem müssen datenschutzrechtliche und -technische Anforderungen frühzeitig berücksichtigt werden (privacy by design). Eine grenzüberschreitende Datenverarbeitung setzt internationale Datenschutzstandards voraus. Die Datenschutzbehörden haben bereits entsprechende Entwürfe vorgelegt. Wir sind bereit, an deren Erarbeitung weiterhin mitzuwirken.”, so Schaar.

Datenpanne bei Cloud-Anbieter Dropbox

3. August 2012

Aus einer Veröffentlichung in dem firmeneigenen Blog des Cloud-Anbieters Dropbox geht hervor, dass aus dem Account eines Mitarbeiters Kundendaten durch unbekannte Angreifer entwendet werden konnten. Bekannt wurde der “Diebstahl”, als im Anschluss an diesen Mitte Juli die aus dem Dokument mit den Kundendaten entnommenen E-Mail Adressen vermehrt mit Spam-Mails belästigt wurden. Noch unklar ist, an wie viele E-Mail Adressen die Angreifer auf diese Weise gelangen konnten. Nach Angaben des Unternehmens erfolgte der unberechtigte Zugriff mittels eines gestohlenen Zugangspassworts eines Mitarbeiters, der anscheinend sein Passwort für den Zugriff auf die Cloud auch bei anderen Web-Dienstleistern verwendet hat. Auf die gleiche Weise haben die Angreifer auch auf „eine kleine Anzahl“ weiterer Dropbox-Accounts Zugriff erhalten.

Dropbox hat auf den Zwischenfall mit zweierlei Maßnahmen reagiert. Zum einen können sich Nutzer des Dienstes mit dem neu eingerichteten Zugriffsverlauf darüber informieren, wer zu welchem Zeitpunkt auf den Account zugegriffen hat. Zum anderen wird in den nächsten Wochen optional eine Zwei-Faktor-Authentifizierung angeboten, bei der neben der Online-Anmeldung auch eine Bestätigung per Mobiltelefon notwendig ist.

Ob bei Dropbox intern Maßnahmen ergriffen wurden, um solche Zwischenfälle in Zukunft zu vermeiden, lässt sich hingegen nicht in Erfahrung bringen. Der Vorfall zeigt nichts desto weniger wieder einmal schmerzlich auf, dass das Thema Datensicherheit, insbesondere für sensible Bereiche wie das Cloud-Computing, nicht ernst genug genommen werden kann.

Pages:  1 2
1 2