vladimircaribb - Fotolia

DSGVO / GDPR: Der Storage-Standort muss lokalisierbar sein

Dank der Cloud scheint es gleichgültig zu sein, wo sich das Storage befindet. Aus Compliance-Sicht jedoch muss sich das Storage lokalisieren lassen.

Wenn Unternehmen ein Storage-System auswählen, gibt es viele Entscheidungskriterien. Die Storage-Kapazität und die Storage-Kosten sind nur zwei einfache Beispiele. Was in aller Regel aber nicht im Lastenheft steht, ist der Standort des Storage-Systems.

Um den Standort geht es wenn dann indirekt, indem bestimmte Sicherheitsanforderungen an das Storage-System gestellt werden. So muss es einen Zugangsschutz besitzen. Bei physischen Storage-Systemen folgt daraus die Forderung, das Storage-System in einem zutrittskontrollierten Bereich aufzustellen. Die gleiche Forderung muss aber auch bei Cloud-Storage aufgestellt werden, wie bereits einmal dargelegt wurde.

Tatsächlich aber müssen weitere Forderungen an den räumlichen Bereich gestellt werden, in dem sich das Storage-System später befinden soll. Aus Compliance-Sicht spielt der geografische Ort eine wichtige Rolle. Einerseits natürlich aus dem Grund, weil die Gefahr von Naturkatastrophen wie Erdbeben oder Überflutung auch von dem gewählten Standort abhängt. Gerade der Datenschutz sieht aber noch einen anderen Compliance-Faktor, wenn es um den Standort von Storage-Systemen geht.

Standort-Anforderungen bei Colocation und Cloud Computing

Wenn es um die Wahl einer Rechenzentrumsinfrastruktur für die eigenen Storage-Systeme und damit um die Nutzung von Colocation-Services geht, spielt es eine entscheidende Rolle, wo sich der Standort befindet. Unter anderem im Raum Frankfurt wird von einer hohen und weiter steigenden Nachfrage für Colocation-Services berichtet, zusätzlich zu den neuen Rechenzentren, die im Rhein-Main-Gebiet entstehen.

Auch bei Cloud Computing spielt der Standort des Storage eine entsprechend wichtige Rolle. Cloud-Storage ist keineswegs so flexibel, wie es manche Anbieter versprechen. Es kommt darauf an, wo sich der Cloud-Storage befindet. Man kann sagen: Cloud-Storage muss lokalisierbar sein.

Ortung des Storage für den Datenschutz

Der Standort der Storage-Systeme spielt so eine wichtige Rolle, weil in aller Regel auch personenbezogene Daten gespeichert werden. Diese Datenspeicherung unterliegt den Datenschutzgesetzen. Das Bundesdatenschutzgesetz (BDSG) fordert, dass bei Nutzung von Cloud Computing, aber auch bei Colocation Services die Übermittlung der Daten unterbleibt, wenn kein angemessenes Datenschutzniveau gewährleistet ist. Das ist insbesondere zu berücksichtigen, wenn es um eine Datenübermittlung ins Ausland geht, nach Datenschutzsicht also in Drittländer außerhalb des EU/EWR-Raumes. Es sollte aber klar sein, dass das Datenschutzniveau auch innerhalb des EU/EWR-Raumes unzureichend sein kann und dann die Speicherung auf dortigen Storage-Systemen verboten ist, wenn dort die verantwortlichen Stellen den Datenschutz missachten.

Nach BDSG wird die Angemessenheit des Datenschutzniveaus unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind. Insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.

Die Datenschutz-Grundverordnung (Artikel 44 ff. DSGVO / GDPR) nennt ebenfalls Kriterien, die bei der Prüfung der Angemessenheit des Datenschutzniveaus zu beachten sind, darunter mehrere Punkte, die von dem Standort abhängig sind, wie „die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land beziehungsweise bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art – auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten – sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften“.

Cloud-Storage nur mit transparenten Standorten

Unternehmen, die Cloud-Storage nutzen wollen, müssen den zu nutzenden Storage-Standort kennen, wie auch die Orientierungshilfe Cloud Computing der deutschen Aufsichtsbehörden für den Datenschutz besagt. Dort heißt es unter anderem:

„Der Cloud-Anbieter muss daher vertraglich verpflichtet werden, sämtliche Unter-Anbieter – auch solche, die zu Beginn noch nicht bekannt waren – und auch sämtliche Standorte der Datenzentren, an denen die personenbezogenen Daten verarbeitet werden können, abschließend gegenüber dem Cloud-Anwender zu benennen“.

Viele Cloud-Provider bieten inzwischen Dashboards mit Standortangaben zu den genutzten Data Center und lassen den Cloud-Nutzern über eine Cloud-Management-Plattform die Wahl des Cloud-Standortes. Die Standortkontrolle und die Standortwahl müssen die Cloud-Nutzer aber auch ausführen, damit sie sich davon überzeugen können, dass das Cloud-Storage in einem Raum mit „angemessenem Datenschutzniveau“ betrieben wird.

Datenschutz ist somit ein klarer Standortfaktor, was die Rechenzentrumsbetreiber in Deutschland gegenwärtig positiv feststellen können.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DSGVO / GDPR: Was Datenportabilität für Storage-Systeme bedeutet

Cloud-Sicherheit und DSGVO: Cloud-Anbieter sind stärker in der Pflicht

EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance

Dokumentation der IT-Sicherheit nach DSGVO

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Gesetzeskonforme Datenspeicherung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close