Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom Oktober 2015 die Safe-Harbor-Vereinbarung zwischen den USA und Europa für ungültig erklärt. Unternehmen, die unter der dieser Vereinbarung bislang Daten aus der EU in die USA übermittelten, müssen nun neue Wege finden, um sicherzustellen, dass ihre Daten entsprechend der EU-Datenschutzrichtlinie verarbeitet werden.
Das Safe-Harbor-Urteil des EuGH macht keine Angaben zu Übergangszeiten, jedoch herrscht schon jetzt Windstärke 10 in vielen IT-Abteilungen.Unternehmen müssen gewährleisten und nachweisen, dass sie die Grundlagen des Datenschutzes auch weiterhin einhalten. Mit dem Urteil unterstreicht der EuGH zudem, dass effektive Datenschutzprogramme und Datenmanagementpraktiken für alle Unternehmen, die sich mit persönliche Daten beschäftigen, Pflicht sind. Wer also heute schon eine hybride Cloud-Infrastruktur betreibt, benötigt eine detaillierte Bestandsaufnahme und Analyse darüber, wo die externen Dienstleister die eigene Daten verarbeiten und speichern. Das gilt für die im operativen Tagesgeschäft genutzten Daten als auch für die Backups.
Digitale Schatzkarte benötigt. Ein möglicher Lösungsansatz zum Einhalten der Datenschutzrichtlinien ist die Nutzung von Colocation-Rechenzentren in Verbindung mit Datenmanagement-Software, die auf Storage-Ebene eine Datenvirtualisierung vornimmt. Eine solche Lösung kommt beispielsweise von NetApp mit clustered Data ONTAP. Das Storage-Betriebssystem verwaltet externe Datenquellen ebenso wie On-premise-Storage-Systeme und unterstützt dabei, Ressourcen aus der Cloud zu integrieren. Auf Basis dieser Technologie können Unternehmen nun zusätzlich zu ihrem On-Premise-Storage ein weiteres System in einem Colocation-Rechenzentrum betreiben, auf dem sich operative Daten befinden. Dieser Dienstleister betreibt sein Rechenzentrum in unmittelbarer geografischer Nähe zu den großen Public-Cloud-Anbietern, wodurch geringstmögliche Latenzzeiten und somit hohe Zugriffsraten auf Netzwerkebene möglich werden.
Wichtig ist hierbei die Tatsache, dass Unternehmen weiterhin die volle Kontrolle über ihre Daten haben. Diese bleiben nämlich weiterhin auf dem Storage-System unter der Kontrolle des Kunden gespeichert, stehen also sicher bei dem Colocator. Die gebuchten Public-Cloud-Services von Anbietern wie Amazon oder Microsoft greifen dann zu bestimmten Zeiten auf diese Daten zu. Mit Abschluss der Datenverarbeitung melden sich die Services wieder ab und ziehen sich aus den Datenbeständen zurück. Die Anwendungen können also die Daten verarbeiten und ändern, auf deren Basis Ergebnisse erzeugen und Auswertungen erstellen. Dabei nimmt das Unternehmen jedoch lediglich den Vorgang des »Computing« selbst, aber keine Speicherressourcen der Cloud an sich in Anspruch.
Mit einem Cloud Storage Gateway nutzen Unternehmen die Cloud als Backup-Speicher. Eine Reihe von Service Providern bieten hierzu Cloud-Rechenzentren mit Standorten in Deutschland, sodass die deutschen Datenschutzrichtlinien erfüllt werden.
Aus Sicht des Kunden entsteht damit eine private Cloud an der Cloud. Auf Basis dieser Infrastruktur lassen sich nun bestimmte Services in die Cloud hinein erweitern. Beispielsweise unterstützen solche Colocation-Angebote eine Trennung von Storage und Compute. Während die großen Datenmengen in On-Premise-Storage-Systemen verbleiben, können Fachabteilungen ihre Workloads flexibel und nach Bedarf in die Cloud auslagern.
Datenschutzrechtliche Neubewertung. Mit dieser Form einer hybriden Cloud findet eine Datenverarbeitung statt, ohne dass die operativen Daten dauerhaft in die Public Cloud des Anbieters verschoben werden. Dieses Modell erlaubt eine datenschutzrechtliche Neubewertung gegenüber den klassischen Modellen der Datenübermittlung und kann wesentlich weitere Spielräume für die Nutzung von globalen Clouds eröffnen. Dieses Konzept gilt als technische Verlängerung eines unter Eigenkontrolle stehenden IT-Systems und fällt damit nicht unter die strengen Voraussetzungen an eine Datenübermittlung in Drittstaaten.
Datenschützer könnten jetzt argumentieren, dass zwar keine Datenübermittlung gegeben ist, jedoch eine Auftragsdatenverarbeitung. Bei herkömmlicher Cloud-Nutzung trifft dies auch zu, da diese Dienste ähnlich wie ein Outsourcing-Prozess organisiert sind. Das Verfahren mit zwischengeschaltetem Colocation-Anbieter hingegen nutzt die Cloud als eine Verlängerung der eigenen IT-Ressourcen und ohne explizite Übergabe der Daten in eine Drittverantwortung. Es erfolgt eine Art blinde Datenverarbeitung, bei der die IT-Prozesse vom Unternehmen aus gestartet und durchgängig kontrolliert werden. Die Datenverarbeitung erfolgt also mit flüchtigen Prozessen und unter überwiegender Verwendung des Arbeitsspeichers. Dies erlaubt die Betrachtung, dass sich ein Unternehmen die Rechenleistung ins eigene Haus holt und nicht die Cloud als eine Art Outsourcing-Service nutzt. Somit fällt keine Auftragsdatenverarbeitung an, die vertraglich und kontrolltechnisch abzusichern wäre.
In dem Whitepaper »NetApp Private Storage for Cloud – eine Stellungnahme unter Anlegung europäischer Datenschutzstandards« erläutert Dr. Jens Bücking, Rechtsanwalt und Fachanwalt für IT-Recht, wie Unternehmen eine hybride Cloud-Infrastruktur betreiben und dabei die Datenschutzstandards beachten. Das Dokument ist kostenfrei auf der Homepage von NetApp abrufbar.
In deutschen Häfen anlegen. Eine ganz andere Alternative sind die Angebote zum Sichern von Backups in der Cloud. Hierbei ist es vor allem wichtig, nur auf Dienstleister zu setzen, die ihre Rechenzentren in Deutschland betreiben. Besonders einfach funktioniert dies unter Verwendung eines Cloud Storage Gateways. Diese als physikalische oder virtuelle Appliance verfügbare Lösung überträgt alle Backup-relevanten Daten ohne Belastung der Produktivsysteme an beliebige Cloud-Provider. Bei der Auswahl sollten Entscheider darauf achten, dass die mit den gängigen Backup-Anwendungen und allen wichtigen Anbietern von
Public Clouds sowie lokalen Service Providern funktioniert. Idealerweise ermöglicht die Lösung ähnliche Zugriffe wie bei einem Netzlaufwerk: Protokolle wie CIFS (Common Internet File System) und NFS (Network File System) bilden die Basis dafür, dass die IT bestehende Abläufe und Software für die Datensicherung direkt weiterverwenden kann. Dies sichert bereits getätigte Investitionen und beschleunigt die Implementierung. Ein Beispiel für ein Cloud Storage Gateway ist das von NetApp angebotene System AltaVault.
Herbert Bild,
Solutions Marketing Manager,
NetApp