Cloud: Der Lock-In-Effekt und die Folgen für den Datenschutz

Die Abhängigkeit von einem Anbieter kann nicht nur wirtschaftliche Nachteile mit sich bringen. Auch Datenschützer warnen vor dem Lock-In-Effekt.

Dieser Artikel behandelt

Public Cloud

ÄHNLICHE THEMEN

Kaum ein Unternehmen wird bestreiten, dass die Abhängigkeit von einem Lieferanten oder Dienstleister negative wirtschaftliche Folgen haben kann. So wird die Vertragsverhandlung erschwert, und oftmals müssen höhere Preise in Kauf genommen werden. Ein weiteres Problem der Abhängigkeit ist, dass ein Lieferengpass bei dem betreffenden Anbieter schnell zu Produktionsschwierigkeiten im eigenen Unternehmen führen kann.

Während die Konsequenzen im finanziellen Bereich und für die Unternehmensabläufe und -prozesse schnell sichtbar und gut bekannt sind, werden die möglichen Konsequenzen für den Datenschutz leicht übersehen: Der sogenannte Lock-In-Effekt kann zu einem schwerwiegenden Datenschutzproblem werden, wie das Beispiel Cloud Computing zeigt.

Auftragskontrolle wird erschwert

Nicht nur die Vergütung für die Nutzung der Cloud-Dienste ist ein wichtiger Gegenstand der Vertragsverhandlungen, auch der Datenschutz und die Service Level Agreements (SLAs) sollten es sein. Die EU-Agentur für Internet- und Informationssicherheit ENISA weist zum Beispiel nachdrücklich darauf hin, dass bei der Beschaffung von IT-Diensten mehr Kontrollmöglichkeiten und Berichte eingefordert werden sollten.

Auch das Bundesdatenschutzgesetz sieht klare Vertragsinhalte vor, wenn es um eine Auftragsdatenverarbeitung geht, wie es bei Cloud Computing regelmäßig der Fall ist. So sollen in dem Cloud-Vertrag unter anderem die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers geregelt werden. In der Praxis jedoch hat der Cloud-Nutzer durchaus Schwierigkeiten, seine Kontrollrechte einzufordern. Wenn eine Anbieterabhängigkeit besteht, also die Cloud-Dienste kaum von einem anderen Provider bezogen werden können, kann das Durchsetzen der Kontrollrechte besonders schwierig werden, obwohl die Kontrollen bei solch einer geschäftskritischen Zusammenarbeit besonders wichtig sind.

Behörden warnen vor dem Lock-In-Effekt

Es gibt also gute Gründe, wenn zum Beispiel der Baustein "Cloud-Nutzung" der IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) die Abhängigkeit von einem Outsourcing- oder Cloud-Dienstleister zu den organisatorischen Mängeln bei der Cloud-Nutzung rechnet. Der ENISA-Report „Cloud Computing: Benefits, risks and recommendations for information security” unterstreicht ausdrücklich, dass bei Cloud Computing der Lock-In-Effekt zu den wesentlichen Risiken gehört.

Die Orientierungshilfe Cloud Computing der deutschen Aufsichtsbehörden für den Datenschutz macht ebenfalls darauf aufmerksam, dass sich Cloud-Nutzer in eine große Abhängigkeit von einem Cloud-Anbieter begeben können, was bereits vor Beginn der Cloud-Nutzung bedacht werden muss.

Verfügbarkeit der Daten ist gefährdet

Wie die Abhängigkeit vom Cloud-Anbieter konkret aussehen kann, zeigt unter anderem die Verfügbarkeitskontrolle, die der Datenschutz als technisch-organisatorische Maßnahme gegen Verlust und Zerstörung von Daten fordert. Die Verfügbarkeit von Cloud-Daten kann in Gefahr sein, wenn der Cloud-Anbieter seine Leistung verweigert, wenn Hardware, Dienste oder Anwendungen des Providers ausfallen, Verbindungen zwischen Cloud-Nutzer und Cloud-Anbieter unterbrochen werden und die Qualität und IT-Sicherheit beim Cloud-Provider nicht stimmen. Auch die Durchführung der regelmäßigen Backups der Cloud-Daten kann durch die Abhängigkeit vom Anbieter erschwert werden, wenn zum Beispiel das Backup-Verfahren des Anwenderunternehmens nicht unterstützt wird.

Offene Schnittstellen notwendig

Das geeignete Gegenmittel für den Lock-In-Effekt lautet Portabilität beziehungsweise Interoperabilität. Gemeint sind hier definierte Cloud-Standards und Cloud-Schnittstellen, die eine Migration oder einen Cloud-Umzug ermöglichen. Leider sind die Standardisierungsbemühungen im Cloud Computing noch nicht so weit fortgeschritten, dass Cloud-Nutzer tatsächlich von einer Portabilität oder Interoperabilität einfach ausgehen könnten.

Stattdessen sollten Cloud-Nutzer aus wirtschaftlichen Gründen und auch aus Gründen des Datenschutzes darauf achten, dass der Anbieter zu Beginn und am Ende einer Zusammenarbeit einen Datenumzug unterstützt oder zumindest ermöglicht. Es sollte genau geklärt werden, in welchem Format und über welche Schnittstellen Daten in den Cloud-Dienst importiert und bei Bedarf auch exportiert werden können und welche Kosten dabei entstehen. Es gibt inzwischen sogar spezielle Umzugsdienstleister für Clouds, die bestimmte Formate konvertieren können. Nicht vergessen werden sollte, dass nach dem Export der Daten im Fall der Beendigung des Vertragsverhältnisses auch die Löschung der Cloud-Daten geregelt sein muss.

Diese Forderungen sind grundlegend für den Datenschutz, können aber genauso schwierig in der Durchsetzung sein wie die generelle Datenschutzkontrolle beim Cloud-Provider. In diesem Fall jedoch gibt es nur eine sinnvolle Antwort auf den drohenden Lock-In-Effekt, den Verzicht auf den betreffenden Cloud-Dienst.

 

Artikel wurde zuletzt im Juni 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Public Cloud

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close