Home » Blog » Gastbeitrag – Datenschutz-Experten raten zu Hosting in Deutschland

Gastbeitrag – Datenschutz-Experten raten zu Hosting in Deutschland

13. Dezember 2016

Hosting in Deutschland

Unser Partner PlusServer zeigt, worauf Sie beim Hosting in Sachen Datenschutz achten sollten

Mehr und mehr Daten werden im Internet übertragen, verarbeitet und gespeichert. Daher nimmt auch die Relevanz der Themen Datenschutz und Datensicherheit kontinuierlich zu. Bereits 2012 belegte eine Studie den großen Stellenwert des Datenschutzes in deutschen Unternehmen – mit steigender Tendenz. 78 Prozent der befragten Unternehmen stuften es als äußerst oder sehr wichtig ein, dass ihre Datenverarbeitung mit deutschem Datenschutzrecht im Einklang steht. Der Datenstandort Deutschland und somit auch datenschutzgerechtes Hosting stehen daher bis heute ganz oben auf den Wunschlisten der IT-Verantwortlichen.

Warum Unternehmen bevorzugt in Deutschland hosten

Diesen Trend befeuerte unter anderem die Enthüllung von Edward Snowden zu PRISM im Jahr 2013. Datenausspähung durch Geheimdienste rückte damit stark in den Fokus der Öffentlichkeit. Einen weiteren Schub erhielt der Datenstandort Deutschland durch die Safe-Harbor-Entscheidung des Europäischen Gerichtshofs (EuGH) im Oktober 2015. Die USA sind als Land ohne angemessenes Datenschutzniveau und somit als unsicheres Drittland eingestuft. Auf Basis des Safe-Harbor-Abkommens war es seit dem Jahr 2000 dennoch erlaubt, personenbezogene Daten von EU-Bürgern in die USA zu übertragen und dort zu speichern. Dieses Abkommen hatte bereits seit einiger Zeit in der Kritik gestanden, bevor es schließlich durch den EuGH gekippt wurde. Dem Urteil lag eine Klage des österreichischen Juristen Max Schrems gegen Facebook zugrunde. Dieser hatte bereits als Student eine Initiative gegen die Datensammelwut des Unternehmens sowie dessen Datenspeicherung in den USA gegründet.

Zwar gibt es seit Juli 2016 mit dem EU-US Privacy Shield ein Nachfolgeabkommen zu Safe Harbor. Ob und inwiefern dieses aber das gewünschte Maß an Datenschutz in den USA garantiert, bietet derzeit noch reichlich Diskussionsstoff: „In Fachkreisen wird kontrovers diskutiert, ob das Privacy Shield überhaupt den Anforderungen, die der EuGH in seinem Safe-Harbor-Urteil aufgestellt hat, gerecht wird,“ erklärt IT-Jurist Dr. Thorsten Hennrich in einem Whitepaper zum Thema.

Datenschutzexperten raten zu Deutschland

Max Schrems war zuletzt als Datenschutzexperte im Rahmen der „Ask me Anything“-Reihe des Managed-Hosting-Anbieters PlusServer aktiv. Dabei wurde er von den Teilnehmern immer wieder nach seiner Einschätzung im Hinblick auf amerikanische Cloud-Anbieter gefragt. Schließlich versprechen Hyperscale-Clouds wie AWS oder Google Cloud kostengünstige und flexible IT-Ressourcen. Jedoch befindet sich der Sitz des Anbieters in den USA. So wäre der Zugriff auf die Daten durch ausländische Behörden wie die NSA theoretisch möglich.

Max Schrems erklärt: „Dass die Daten wahlweise in Deutschland gehostet werden, reicht alleine nicht aus. Ein Unternehmen mit Sitz in den USA muss nach dortigem Recht Daten auch von deutschen Servern herausgeben, wenn zum Beispiel die NSA dies verlangt.“ Daher ist neben dem Datenstandort auch der Sitz des Hosting- oder Cloud-Anbieters relevant. Hat der Anbieter seinen Sitz in Deutschland, so unterliegt er deutschem Recht, mit der Folge, dass ausländische Behörden grundsätzlich keinen Zugriff auf die Daten der Hostingkunden haben.

Firmensitz und RZ-Standort ausschlaggebend

Wie immer gibt es natürlich Ausnahmen. So zum Beispiel bei einem deutschen Hoster mit einem Rechenzentrum im Ausland, der auch eine Niederlassung im selben Land unterhält. Hier ist der Sitz der Niederlassung ausschlaggebend für das gültige Recht. Somit sollten Hostingkunden darauf achten, dass sowohl der Rechenzentrumsstandort als auch der Firmensitz in Deutschland liegen. So können die Kunden ganz sicher sein, dass ihre Daten dem deutschen Recht unterliegen.

Eine weitere Ausnahme gibt es im Bereich der sogenannten Hyperscale oder Public Clouds. Denn ab Anfang 2017 sind die Cloud-Services von Microsoft Azure in zwei deutschen Rechenzentren verfügbar –  unter der Aufsicht eines deutschen Datentreuhänders. Mit diesem Konstrukt gibt der US-Konzern die rechtliche Verantwortung für die Daten in deutsche Hände ab. Für den Datentreuhänder gilt ausschließlich das deutsche Recht. Weder Microsoft noch ausländische Behörden haben Zugriff auf die Kundendaten. Somit ist Microsoft Azure Deutschland aktuell die einzige große Public Cloud, welche komplett im Geltungsbereich des Bundesdatenschutzgesetzes liegt.

Datenschutz-Zertifizierungen bieten Orientierung

Neben dem Firmensitz und Rechenzentrumsstandort sind Zertifizierungen ein guter Indikator für das Datenschutzniveau beim betreffenden Hoster. Die gängigen und relevanten Zertifikate sind:

ISO 27001

ISO 27001 ist mittlerweile der weltweit bekannteste Standard für Informationssicherheit. Die internationale Norm legt die Anforderungen für die Einführung, den Betrieb sowie die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) fest. Ein geprüftes ISMS gewährleistet einen einwandfreien Datenschutz sowie optimale Sicherheit in Bezug auf die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten und Systeme. Rechenzentrum, Anbindung und Netzwerk sind die definierten Schwerpunkte der Zertifizierung.

IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht mit dem Zertifikat nach IT-Grundschutz noch einen Schritt weiter. Denn die Zertifizierung fügt der ISO-27001-Norm rund 900 weitere Maßnahmen hinzu, die es zu erfüllen gilt. Neben den Rechenzentren erstreckt sich der Umfang des Zertifikats auf die Infrastruktur (wie Server, Storage und Netzwerk), Gebäude und die Administrationsumgebung.

Bereits bevor das IT-Grundschutz-Zertifikat ins Leben gerufen wurde, fand das IT-Grundschutzhandbuch des BSI in vielen Unternehmen und Behörden Anwendung. Es bildet dort die Basis für die tägliche Arbeit des IT-Sicherheits-Managements. Heute können die Unternehmen mit dem Zertifikat belegen, dass sie die Standard-Sicherheitsmaßnahmen erfolgreich umsetzen und aufrechterhalten.

PCI DSS

Hinter dem Kürzel PCI DSS verbirgt sich der Name eines international gültigen Datensicherheitsstandards der Kreditkartenindustrie: Payment Card Industry Data Security Standard. Dieser gilt für alle Unternehmen, die Kreditkartendaten verarbeiten, übermitteln oder speichern.

Die Zertifizierung nach PCI DSS garantiert die Einhaltung der Datensicherheitsanforderungen für Organisationen in der Zahlungsindustrie. Oder mit anderen Worten: Bei einem PCI-DSS-zertifizierten Unternehmen sind Kreditkartendaten bestens geschützt.

Fazit: Hosting in Deutschland bietet den besten Datenschutz

Wer sich aktuell als deutsches Unternehmen nach datenschutzgerechtem Hosting umschaut, kommt an einem deutschen Anbieter mit Rechenzentrum in Deutschland kaum vorbei. Denn nur bei dieser Konstellation gilt ausnahmslos das Bundesdatenschutzgesetz und damit eine der strengsten Datenschutzregelungen weltweit. Oben genannte Zertifizierungen geben eine zusätzliche unabhängige Bestätigung des Datenschutzniveaus beim Hoster.

Wer zusätzlich die vielseitigen Möglichkeiten einer Public-Cloud-Lösung nutzen möchte, dem bietet Microsoft Azure Deutschland eine datenschutzkonforme Lösung. Der deutsche Datentreuhänder sorgt hier für die Gewährleistung von Datenschutzstandards nach deutschem Recht.

Hostinglösungen und Ressourcen aus der Azure-Plattform können dabei sogar aus einer Hand bezogen werden. So zum Beispiel bei PlusServer, dem deutschen Marktführer im Managed Hosting und Vertriebspartner für Microsoft Azure Deutschland. Der Vorteil: Neben einer umfassenden und unabhängigen Beratung sorgt der Anbieter für die komplette Planung und Umsetzung des Setups. Gerade bei hybriden Lösungen aus Hosting und Cloud profitieren die Kunden so von einer optimalen Integration aller Komponenten.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>