IaaS und PaaS - Erhöhte Anforderungen an Datenschutz
Verarbeitet ein Dienstleister im Auftrag eines Unternehmens personenbezogene Daten, müssen beide Seiten eine „Vereinbarung zur Auftragsdatenverarbeitung“ schließen. Während eine solche Vereinbarung bei cloudbasierten „Software as a Service“ (SaaS)-Angeboten problemlos anwendbar ist, sieht es bei der Nutzung von IaaS- und PaaS-Modellen anders aus. Hier lässt sich der Auftragsgegenstand nur in den seltensten Fällen explizit definieren, da der Kunde die bereitgestellten IT-Lösungen bedarfsweise nutzt. Daher kann zu Beginn der Geschäftsbeziehung lediglich ein Rahmenvertrag für den hypothetischen Fall der Nutzung von Cloud-Ressourcen geschlossen werden. Erst dann, wenn der Kunde die IT-Infrastruktur oder IT-Plattform tatsächlich nutzt, wird ein zu verarbeitender Datensatz als Auftragsgegenstand definiert. Da dieser „Auftrag“ mit der Nutzung der Cloud zur Datenverarbeitung endet, muss der Provider anschließend auch alle Daten der genutzten Ressourcen löschen.
Provider empfiehlt Datenschutz-Optionen
Auch die technischen und organisatorischen Rahmenmaßnahmen der Auftragsdatenverarbeitung gestalten sich bei IaaS- und PaaS-Modellen komplexer als bei klassischen Anbieter-Nutzer-Beziehungen. Da der Provider nicht wissen kann, inwieweit der Datenzugang für autorisierte Anwender reguliert oder kontrolliert werden muss, kann er den Kunden nur Optionen für einen zusätzlichen Datenschutz anbieten oder empfehlen. Ob diese letztlich angewendet werden, hängt vom Cloud-Nutzer ab.
Auf jeden Fall sollte der Cloud-Nutzer eine Risikoabschätzung vornehmen, um den Schutzbedarf der Daten festzustellen. Schließlich ist er auch dafür verantwortlich, die vom Cloud-Anbieter angebotenen Maßnahmen und Optionen zum Datenschutz zu evaluieren und mit den eigenen Anforderungen und Sicherheitsansprüchen abzugleichen.
Werden sensible personenbezogene Daten mittels einer Verschlüsselungslösung wie dem eperi Gateway zuvor verschlüsselt und pseudonymisiert, bevor sie die geschützte Umgebung des Cloud-Nutzers verlassen, kann dieser Aufwand erheblich reduziert werden. Denn in diesem Fall erhält der Cloud-Anbieter erst gar keine personenbezogene - weil verschlüsselte - Daten noch einen Zugriff auf die Schlüssel, insofern kann die Einhaltung regulatorischer Anforderungen hinsichtlich der Datenschutzvorkehrungen maßgeblich auf die eigenen Maßnahmen des Cloud-Nutzers bezogen werden.
Im Gegensatz dazu ist allein der Cloud-Anbieter in der Lage, die physische Sicherheit der IT-Infrastruktur zu gewährleisten sowie entsprechende technische und organisatorische Maßnahmen umzusetzen.
Gemeinsame Verantwortlichkeiten
Neben diesen geteilten Verantwortlichkeiten für den Datenschutz bei der IaaS- und PaaS-Nutzung gibt es gemeinsame Maßnahmen, deren Umsetzung beidseitig sichergestellt werden muss. Dazu gehört beispielweise, dass sowohl Provider als auch Nutzer auf den jeweils betriebenen Ressourcen und Datensätzen laufend nach Malware suchen und sich davor mit Firewalls schützen.
Mehr zum Datenschutz im IaaS- und PaaS-Umfeld auf Security-Insider.de