Die Übermittlung von Daten in die Cloud bedarf stets einer rechtlichen Legitimation. Gerade bei der Übermittlung in unsichere „Drittstaaten“, wie die USA von der EU in datenschutzrechtlicher Hinsicht eingestuft wurde, hatten die meisten Anbieter auf die „Safe Harbor“-Selbstzertifizierung gesetzt. Nachdem aber der EuGH durch Urteil vom 06.10.2015 das Aus für „Safe Harbor“ verkündet hat, entfällt die prominenteste Lösung dieses datenschutzrechtlichen Problems. Auch die Nutzung der EU-Standardvertragsklauseln ist durch das EuGH-Urteil unsicher geworden. Diese beiden Prinzipien bildeten bisher jedoch die Grundlage für viele namhafte Cloudprovider, um eine Datenübermittlung in die USA zu ermöglichen.
Um dieser Rechtsunsicherheit zu entgehen und ein angemessenes Schutzniveau zu gewährleisten, das einfach und effektiv umzusetzen ist, empfiehlt sich eine hybride Cloud-Lösung, die den Unternehmen als „Herren ihrer Daten“ einen rechtssicheren Weg bietet, die Vorteile der Cloud weiterhin nutzen zu können. Dabei müssen die Daten im jeweiligen Land nach den dort geltenden Anforderungen gespeichert werden, während die Compute-Leistung aus der Public Cloud bezogen werden kann. Hybride Cloud-Lösungen verbinden also typischerweise eine Private Cloud mit Public-Cloud-Umgebungen, wodurch die technischen Begrenzungen innerhalb der eigenen IT-Infrastruktur hinsichtlich Rechenleistung und Speicherplatz kurzfristig ausgeglichen oder ständig durch Inanspruchnahme externer Ressourcen und Services von unterschiedlichen Anbietern in einem Multi-Cloud-Modell in die Cloud hinein erweitert werden können.
Daten und Systeme unter Kontrolle
Bei hybriden und Multi-Cloud-Architekturen werden bestimmte Kategorien von Daten auf einem dedizierten eigenen Storage-System, das in Nähe eines Netzknotenpunktes bei einem Co-Locator aufgestellt wird und unter vollständiger Verfügungsgewalt des Unternehmens verbleibt, vorgehalten. Das bedeutet:
- Das Unternehmen bleibt Herr über seine Systeme und Daten, die es in jederzeitiger Alleinverfügbarkeit und unter ständiger Funktions- und Prozesskontrolle beim Co-Locator betreibt.
- Die Datenverarbeitungen selbst erfolgen sodann im eigentlichen Sinne nicht in der Cloud sondern aus der Cloud heraus.
- Die eigentliche Datenverarbeitung ist auf „blinde“, auf den temporären Massenspeicher der virtuellen Maschine des Cloudproviders begrenzte Rechenoperationen beschränkt.
- Durch diese Flüchtigkeit des Speichers kann gewährleistet werden, dass sämtliche Daten gelöscht werden, sobald die vom Unternehmen initiierte jeweilige Anwendung beendet ist, die virtuelle Maschine heruntergefahren wird oder technisch ausfällt.
- Die Beweglichkeit der Daten, insbesondere ihre Restore-Fähigkeit – bei jederzeitiger Kontrollhoheit – muss über den gesamten Verarbeitungsprozess, vom ersten „Computing-Job“ aus der Cloud heraus bis zur Rückübertragung und „rückstandslosen“ Löschung von den Systemen der Cloud-Anbieter, sichergestellt sein.
Die Vorteile der hybriden Multi-Cloud
Mit „NetApp Private Storage for Cloud“ und der Entwicklung „Cloud ONTAP“ beschreitet nun einer der führenden Anbieter von Datenmanagementlösungen den zuvor skizzierten Weg in eine hybride Multi-Cloud, aus der heraus Cloud-Ressourcen – unter gleichzeitiger Berücksichtigung der Beweglichkeit, Verfügbarkeit, Sicherheit, Vertraulichkeit und jederzeitiger Kontrollhoheit der applikationsrelevanten Daten – in Anspruch genommen werden können. Cloud ONTAP stellt ein Storage-Betriebssystem dar, das „per Mausklick“ gebucht und als virtuelle Appliance auf einer virtuellen Maschine bereitgestellt wird. Die Abrechnung erfolgt minutengenau nach dem Consumption-Modell. Sämtliche Daten werden verschlüsselt gespeichert. Zu den von NetApp angebotenen Lösungen gehört auch die (private) „Cloud an der Cloud“. Kommt etwa innerhalb der eigenen On-Premise Enterprise-Infrastruktur ein „Clustered Data Ontap“ zum Einsatz, lassen sich damit bestimmte Services in die Cloud hinein erweitern.
Hierzu wird in einem Co-Location-Rechenzentrum ein unter ausschließlicher Verfügungsbefugnis des Kunden befindliches Storage-System aufgestellt, auf dem die Unternehmensdaten liegen. Das Rechenzentrum befindet sich in unmittelbarer geografischer Nähe zu den Anbietern, wodurch geringst mögliche Latenzzeiten und somit hohe Zugriffsraten auf Netzwerkebene möglich werden. Zwischen dem On-Premise NetApp-System und dem beim Co-Locator aufgestellten System wird eine Datenspiegelung eingerichtet, so dass die Daten zum Co-Location System repliziert werden und dort dann an der Cloud zur Verarbeitung zur Verfügung stehen. Zwischen dem NetApp Private Storage for Cloud und den einzelnen Public-Cloud-Anbietern werden exklusive IP-Verbindungen hergestellt, die nicht über das Internet geleitet werden. Die Services und Ressourcen der Public Cloud-Anbieter greifen damit direkt auf die Daten des NetApp Private Storage des Kunden zu. Die Verarbeitung findet statt, ohne dass die Daten in die Public Cloud des Anbieters verschoben werden.
Cloud-Services ohne externen Datentransfer
Derlei innovative Lösungen machen es entbehrlich, die Daten zu bewegen. Diese bleiben stattdessen unter uneingeschränkter, dauerhafter Kontrollhoheit des Unternehmens. Die gebuchten Public-Cloud-Services (Rechenleistung, Applikationen und weitere „as a“-Services) greifen dann zu bestimmten – vom anwendenden Unternehmen initiierten – Zeiten für die Vornahme bestimmter Verarbeitungen auf diese Daten zu. Mit Abschluss dieses Datenverarbeitungsvorganges melden sich die Services wieder ab oder – bildlich gesprochen – ziehen sich aus den Datenbeständen, die sie sich zur Abarbeitung in den Arbeitsspeicher gezogen hatten, wieder zurück. Während der Verarbeitung wurden zwar Änderungen an den Daten vorgenommen und auf deren Basis Ergebnisse erzeugt, Auswertungen erstellt etc. Jedoch kam es zu keinem Zeitpunkt zu einer „Datenübermittlung“ im Rechtssinne in die Cloud hinein, da der Speicherort der Daten eben gerade nicht in die Richtung der Public-Cloud zur dauerhaften Vorhaltung angelegt wurde, sondern – gleichsam diametral – das Unternehmen sich die Cloud-Services aus der Cloud heraus ins Haus holt. Dabei wird lediglich der Vorgang des „Computing“ selbst, aber keine Speicherressourcen der Cloud an sich in Anspruch genommen.
Letztlich handelt es sich um den „verlängerten Arm“ der On-Premise Enterprise-Prozesse: eine externe Applikation, die ausschließlich auf die Weisung des Verfügungsberechtigten „anspringt“. Dabei kommt es nicht zu einer Übertragung von Daten in eine Drittverantwortung des Cloudproviders. Hier ist zu trennen zwischen „Store“ und „Compute“: Beim Anbieter wird kein Speicher sondern nur Rechenleistung gemietet, seine Systeme nehmen mithin lediglich „blinde“ Datenverarbeitungen vor. Die herkömmlich Cloud-typische (Rück-) Übertragung der zu verarbeitenden Daten in die vorgehaltenen Cloud-Strukturen findet nicht statt. Dann aber stellt sich dieser vom Unternehmen auf eigenen Systemen vollumfänglich durchkontrollierte Prozess der konkreten Datenverarbeitung als flüchtiger dar, da er allein im Arbeitsspeicher stattfindet. Die Rechenleistung wird ins Haus geholt, nicht etwa „cloudgesourct“.
Funktionsherrschaft über die Datenverarbeitung
Diese reine erweiterte Infrastrukturnutzung ist sonach nicht als Datenübermittlung zu qualifizieren. Sie dürfte freilich noch nicht einmal eine Auftragsdatenverarbeitung (ADV) darstellen, wenn das Unternehmen diese Verantwortung weder überträgt noch durch Einbindung eines ein- und anzuweisenden Auftragsdatenverarbeiters erweitert sondern sich nur fremder Infrastruktur bedient. Dies ist der Fall, wenn lediglich Datenverarbeitungsanlagen gemietet oder sonst genutzt werden und diese vom Unternehmen betrieben werden und der „Vermieter“ – etwa ein globaler Cloudprovider – somit nur durch Eigentumsverletzungen Zugriff auf die Daten erlangen könnte. Maßgebend ist hier die Funktionsherrschaft über den Datenverarbeitungsvorgang als entscheidendes Kriterium für die Kontrolle über technische Systeme. Wenn und soweit der Cloudprovider keinen Zugriff auf die Daten erhält, die auf einem bestimmten Speichermedium verarbeitet werden (ähnlich einem Server-Housing), wird mithin lediglich eine Verlängerung der Verantwortlichkeiten des Unternehmens durch Erweiterung ihrer Infrastruktur-Ressourcen vorliegen und nicht auf die Grundsätze der ADV zurückgegriffen werden müssen.
** Disclaimer: Dieses Dokument stellt eine generelle rechtliche Bewertung dar. Es ersetzt nicht die verbindliche Rechtsauskunft durch einen spezialisierten Anwalt. Bitte haben Sie Verständnis, dass trotz größtmöglicher Sorgfalt bei der Erstellung eine Garantie oder Haftung für die inhaltliche Richtigkeit, Aktualität und individuelle Brauchbarkeit nicht übernommen wird.