USA oder Deutschland? Warum es völlig egal sein sollte, wo ein Server steht

Sowohl das Bundesdatenschutzgesetz (BDSG) als auch die europäische Datenschutz-Grundverordnung (DSGVO), die dieses ablösen wird, verlangen, dass Unternehmen personenbezogene Daten ausschließlich innerhalb der Grenzen der Europäischen Union speichern.
Dabei ist die Idee eines festgelegten Standorts im Internet, den Daten nicht verlassen, bei genauerer Betrachtung ziemlicher Unsinn: Das Internet ist in seiner Grundstruktur so aufgebaut, dass sich Routing durch bestimmte Länder kaum ausschließen lässt. Der Sinn eines Servers ist ja gerade, dass Daten nicht dort bleiben: Sie sollen ja gerade online abgerufen werden können – und zwar von überall aus der Welt aus.
Datenschutz: Auf die Verschlüsselung kommt es an
Was bringt es da zum Beispiel, wenn ein Unternehmen seine personenbezogenen Daten in der deutschen Cloud speichert aber die Kollegen aus den USA die Daten von dort abrufen? Alle Versuche, Daten im Internet auf bestimmte Länder zu beschränken – wie die auf dem Höhepunkt des NSA-Skandals aufgekommene Idee eines „Schengen-Netz“ – sind zum Scheitern verurteilt und stehen dem grundsätzlichen Geist des Internets diametral entgegen.
Im Mittelpunkt der Debatte um Datenschutz und Datensicherheit im Internet sollte daher nicht der Server-Standort, sondern die Verschlüsselung der Daten stehen. Wichtig ist nicht, wo die Daten gespeichert sind, sondern dass sie verschlüsselt gespeichert sind und dass der private Schlüssel, der die Daten entschlüsselt, die Computer der eigenen Firma nicht verlässt.
Bei der Verschlüsselung gibt es dabei zwei Ebenen: Die Verschlüsselung der Daten auf dem Server selbst und die sogenannte Transportverschlüsselung bei der Übertragung der Daten zwischen zwei Computern. Letztere kommt beispielsweise zum Einsatz, wenn eine HTTPS-Verbindung zum Server einer Bank aufgebaut wird, bei der das Passwort übertragen wird. Mindestens genauso wichtig ist aber, dass das Passwort und alle sensiblen Daten, die auf dem Server sind, dort nur verschlüsselt abgelegt wurden, sodass auch im Falle eines Einbruchs direkt auf den Server der Angreifer nur verschlüsselte Daten erhält und beispielsweise keine Klartext-Passwörter.
DSGVO: Datenschutz oder Wirtschaftsförderung?
Warum aber schreiben sowohl das bisherige deutsche Bundesdatenschutzgesetz als auch die kommende europäische Grundverordnung europäische Server-Standorte für personenbezogene Daten vor? Darauf gibt es nur zwei naheliegende Antworten: Die Gesetzgeber sind dem Irrtum unterlegen, dass der Server-Standort wichtig ist – vielleicht auch durch die Lobbyeinflüsterungen einflussreicher europäischer Unternehmen, die Hosting anbieten. Oder aber es ging hier eigentlich nie um Datenschutz, sondern in Wirklichkeit immer um europäische Wirtschaftsförderung.
Mehr zur neuen Datenschutzgrundverordnung:
- DSGVO: Diese Änderungen kommen auf dein Online-Business zu (Teil 1)
- DSGVO: Welche Daten du nutzen darfst – und welche nicht (Teil 2)
- DSGVO: So holst du Einwilligungen richtig ein (Teil 3)
- DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten (Teil 4)
- DSGVO: So gibst du Daten rechtssicher an Dritte weiter (Teil 5)
Solange jeder dreibuchstabige Dienst problemlos physischen Zugriff auf alle Server in den USA bekommen kann, finde ich es eine gute Idee die Daten nicht dort zu speichern.
Selbstverständlich ist der Hinweis auf die Verschlüsselung deshalb nicht weniger richtig und wichtig.
Der Auto hat natürlich recht, aber mit der Praxis hat das doch sehr wenig zu tun. Insbesondere im Zeitalter der Cloud ist die Verschlüsselung der Daten nicht problemlos möglich. In einer perfekten Welt wäre natürlich alles mit asymmetrischer Verschlüsselung abgesichert, aber so funktioniert die Welt eben nicht.
Im Sinne der Arbeitsteilung vertraut man dem Hostinganbieter und bezahlt diesen für den Schutz der Server. Wenn man dem Anbieter nicht vertraut, dann muss man natürlich auch so die Daten verschlüsseln, dass der Schlüssel nicht im Ram gespeichert wird (tieffrieren und auslesen), sondern in den Registern der CPU beispielsweise.
Eine Verschlüsselung der Daten macht somit nur Sinn, wenn man glaubt der Hostinganbieter verschafft sich physischen Zugriff. Wenn dem so ist, ist es die einzige Möglichkeit das Hosting selber zu übernehmen. Aber so gefährdet sind personenbezogene Daten meist dann doch nicht.
Der Serverstandort ist auch nicht wichtig, sondern der „juristische Standort“. Was hilft einer US Firma, wenn diese alle Daten verschlüsselt hat, und dann die NSA, CIA, FBI oder ein anderer Geheimdienst die Herausgabe des Schlüssels verlangt? Und insbesondere wenn die Geheimdienste das lokale Rechtssystem auf ihrer Seite haben. Somit macht ein Serverstandort in DE oder EU für hier angesiedelte Firmen schon Sinn.
Die ganze Situation ist also etwas komplizierter als hier dargestellt.
Danke für die wertvollen Anmerkungen!
Dazu muss man noch ergänzen dass der Satz „Der Sinn eines Servers ist ja gerade, dass Daten nicht dort bleiben“ bei vielen Leuten die Fußnägel nicht nur zum aufrollen, sondern zum rotieren bringt. Wenn ich Kunden habe die eine gewisse Anonymität zu schätzen wissen und ich als Dienstleister auch sicherheitsüberprüft bin, kann ich Unternehmen wie Salesforce nicht im Ansatz vertrauen. Sondern ich muss meine Daten auf meiner Infrastruktur betreiben und Systeme wie die genucard einsätzen.
Es ist für mich unbegreiflich wieso man seine Daten als Unternehmen in fremde Hände legen will. Das widerspricht jeglichem Sicherheitsgedanken und hat sich in der Vergangenheit immer wieder als Fehler erwiesen. Überall wird gespart oder mit Diensten kooperiert.
Sie schreiben, dass die Kunden haben die „eine gewisse Anonymität zu schätzen wissen“. Aber dann schreiben Sie wieder es sei für Sie unbegreiflich, wieso Unternehmen ihre Daten in fremde Hände geben. Sie sind doch anscheinend ein Dienstleister dem Kunden vertrauen und (hoffentlich) auf Sie zählen können. Wenn jetzt jedes Unternehmen anfängt eigene Rechenzentren zu betreiben, eigene Server zu bauen, einzurichten, warten… würden die Kosten explodieren. Abgesehen davon, haben die wenigsten Unternehmen die Kompetenz im eigenen Unternehmen. Selbst Banken mit hochsensiblen Daten haben ihre IT-Dienstleister. Und das ist auch besser so.
Ich arbeite für einen Dienstleister der seinen überwiegenden Geschäftskunden virtuelle E-Mail-Server anbietet die nach dem Cloud-Prinzip nach Verbrauch abgerechnet werden. Wir sind aber nur ein kleines Unternehmen mit wenig Angestellten. Es wäre utopisch anzunehmen, dass wir noch konkurrenzfähig wären, wenn wir alles selber machen würden. Aber wir Kommunizieren ganz klar mit unseren Kunden wie wir deren Daten verarbeiten und warum wir welchen Dienstleister einsetzten. Es hat sich gezeigt, dass dieses Vorgehen sich positiv auf das Vertrauen des Kunden auswirkt. Zu behaupten man könnte alles perfekt selber machen ist in der Regel quatsch.
Ich finde es weder falsch noch verwerflich einen Dienstleister zu beauftragen, solange man diesem Vertrauen kann, ein gesicherte Rechtsgrundlage hat und es dem Kunden gegenüber transparent gemacht wird.
Das ist doch vollkommener Quatsch. FBI, NSA, CIA erhalten jetzt schon Zugriff auf Daten in Europa, die von amerikanischen Unternehmen gespeichert werden. Da ist es ja wohl klar von nöten, dass personenbezogene Daten auch in unserem Rechtsraum gespeichert werden, natürlich on top mit richtiger Verschlüsselung!
NSA und Co bekommen auch auf deutsche Server Zugriff, wenn es sich um ein US-Unternehmen wie Amazon handelt, das die Server betreibt.
Ich stimme dem Autor vollkommen zu. Es erfordert jedoch ein Umdenken. Die meisten Unternehmen versuchen noch immer ihre Perimeter zu schützen. Das funktioniert aber in einer hybriden IT-Infrastruktur nicht mehr. Heute sind die Daten über die ganze Welt verteilt.
Leider wissen viele IT-Spezialisten nicht, dass es recht einfach wäre, die Daten im Kern durchgängig zu schützen. Dabei kommt es nicht einmal darauf an ob die Daten im eigenen Rechenzentrum, beim Service-Provider, in der Cloud (IaaS & PaaS) oder in Cloud-Applikationen alla Salesforce, ServiceNow etc. sind. Es ist auch egal welche Datenbanken verwendet werden. Das funktioniert bei MariaDB, Oracle, MSsql, Teradata oder Hadoop gleichermaßen. Und man benötigt bspw. bei Oracle nicht einmal eine Enterprise Lizenz.
Technisch ist es also kein Hexenwerk. Es erfordert ein Umdenken, die Kenntnis über mögliche Lösungen und vor allem, dass man damit startet das neue Konzept einzuführen; Schritt für Schritt.
Der Schwierige Teil ist, dass ein Unternehmen ihre Prozesse kennen muss. Welche Rolle für Ihre Arbeit, welche Daten im Klartext benötigen. Auch welche Applikationen und Datenbanken auf welche Daten zugreifen. Das sind jedoch alles Dinge die ein Unternehmen eh wissen sollte, will es denn GDPR Compliant sein.
Aus meiner Sicht ist dies der Einzige Weg um Daten wirklich zu schützen. Eine notwendige Hauptkomponente ist, dass die Applikationen und Datenbanken nur minimal angepasst werden müssen. Ist das nicht gewährleistet wird man nicht mit dem Projekt starten
Verschlüsseln, anonymisieren und pseudonymisieren verwende ich als Synonyme. Wir empfehlen eine bestimmte format-erhaltende Verschlüsselung. Diese erhält die referenzielle Integrität bei den Daten. Mit dieser Verschlüsselung bekommt man im Sinne von GDPR eine Pseudonymisierung. Die Wertschöpfungskette der Daten bleibt erhalten, da die Beziehungen zwischen den Datensätzen über sämtliche Systeme hinweg bestehen bleibt.
Haben Sie dieses Konzept umgesetzt, ist jegliche Attacke zwecks Datendiebstahl auf Applikationen, Systeme, Datenbanken, Web-Applikationen oder nicht privilegierte User absolut sinnlos. Und schon mal viele Themen im Bezug auf GDPR sind wesentlich vereinfacht!
Zusätzlich zum Schutz Ihrer Daten bietet dieser Ansatz noch weitere Vorteile:
– Die Daten sind ebenfalls im Transfer zwischen Applikationen, Datenbanken geschützt.
– Test-Daten-Management kann mit Original-Daten gemacht werden. Ohne Berechtigung können die Daten nicht im Klartext gesehen werden. Die Test-Applikation verhält sich genau gleich, wie die Produktion. Fast alle Tests werden Sie damit machen können.
– Backup-Verschlüsselung und andere Verschlüsselungen sind nicht mehr notwendig, da die Daten eh bereits im Kern geschützt sind. Auch einige anderen Sicherheits-Lösung wird man reduzieren können.
Ich glaube, der Artikel geht von einer falschen Prämisse aus. Denn weder das BDSG noch die DSGVO verbieten einen Serverstandort in den USA oder sonstwo. Vielmehr muss die verantwortliche Stelle geeignete Schutzvorkehrungen treffen, um ein eventuell niedrigeres Datenschutzniveau auszugleichen (zB durch EC Model Clauses, Privacy Shield, BCR). Dann steht auch einem Hosting in den USA nichts im Wege.
Richtig ist allerdings, dass es dabei (auch) auf den Standort des Anbieters ankommt und nicht (nur) auf den Serverstandort. Ein Server in Deutschland eines US-Konzerns ist dem potenziellen Zugriff der Nachrichtendienste zumindest ähnlich ausgesetzt wie bei einem Serverstandort in den USA.
Was Verschlüsselung angeht funktioniert das bei reinen Storage Diensten sicher sehr gut, weil die Daten beim Anbieter nicht im Klartext verarbeitet werden müssen. Spätestens bei Datenoperationen, die auf dem Server durchgeführt werden müssen, benötigt der Anbieter aber wieder Zugriff auf die Daten im Klartext und es ist nichts gewonnen. Wie soll bspw. Amazon Elastic Search anbieten, ohne die Daten indexieren zu können?