Mit eigenen “Cloud-Anwendungen” unabhängig werden

Was bedeutet, “Die Daten sind in der Cloud”?

Wenn Daten in der Cloud sind, bedeutet es eigentlich nur, dass die Daten auf einem Server sind, von dem ich meistens keinerlei Ahnung habe, wo er steht und wie er eingerichtet ist.

Die Cloudanbieter sorgen – im Idealfall – für die technische Bereitstellung mit hoher Verfügbarkeit, für Backups, Datensicherheit und Datenschutz.

Leider gibt es diese ideale Welt nicht.

Sicherheit und Datenschutz

Regelmäßig gibt es Sicherheitsvorfälle, bei denen Hacker auch bei renommierten Anbietern riesige Datenmengen abfließen lassen. Häufig beruhen diese Vorfälle auf Fehlkonfigurationen, die Kundenadmins bei der Bedienung von Cloud-Diensten machen.

Derartige Vorfälle sind aber nicht der einzige Aspekt, der die Datensicherheit und den Datenschutz gefährdet. Vielmehr sind die Anbieter selbst häufig an der “Mitnutzung” ihrer Kundendaten interessiert (1) und gegebenenfalls auch zur Zusammenarbeit z.B. mit den us-amerikanischen Geheimdiensten verpflichtet (2).

Wegen dieser Zusammenarbeit hat unlängst der Europäische Gerichtshof die Regeln zur Verarbeitung europäischer, personenbezogener Daten in den USA unter dem Privacy Shield gekippt (3, 4).

Und auch die Rechtmäßigkeit der Alternative, die Weitergabe von personenbezogenen Daten mit EU-Standardvertragsklauseln, wird u.a. von den irischen Datenschutzbehörden als nicht mehr DSGVO-konform angesehen. Sie haben deshalb Facebook die Weitergabe von Daten in die USA mit dieser Rechtsgrundlage untersagt, da in den USA kein vergleichbares Schutzniveau gegeben sei (5).

Alternativen

Wenn meine hausinterne IT sowieso umfangreich in der sicheren Konfiguration von Cloud-Diensten geschult werden muss und zusätzlich die rechtliche Zulässigkeit von Datentransfers in die Cloud offensichtlich auf tönernen Füßen steht, warum baue ich mir dann die passende Infrastruktur nicht gleich selbst?

Quelloffene, alternative Software existiert und die gegenseitige Integration wird auch immer besser. Wer sich von Cloud-Diensten außerhalb der EU unabhängig machen will, kann mit einer Kombination aus Nextcloud, Collabora, BigBlueButton und einem LMS wie Moodle oder Iomad weitreichende Unabhängigkeit erzielen.

Die Nextcloud stellt Dateien, Kalender, E-Mail, To-dos, Kanban-Boards, Terminabstimmungen, Messenger, Fragebögen und vieles mehr zur gemeinsamen Nutzung bereit. Die meisten Funktionen haben Schnittstellen zu Mobilgeräten oder Applikationen wie Mozillas Thunderbird.

Textdateien, Tabellenkalkulationen und Präsentationen können von NutzerInnen gemeinsam in der Nextcloud mit Collabora im Browser bearbeitet werden. Und ist das von LibreOffice abgeleitete Web-Office schon einmal installiert, kann es auch in Lernmanagementsystemen wie Moodle oder Iomad integriert werden und Lernenden Zusammenarbeit in Lernszenarien ermöglichen.

Genauso integriert sich die Videokonferenz-Software BigBlueButton in Nextcloud (wenn die interne Talk-Lösung nicht ausreicht) und Moodle/Iomad. Neben der Video- und Audioübertragung kann der Bildschirm geteilt werden, ein Whiteboard gemeinsam bearbeitet werden oder gemeinsame Notizen zum Meeting erstellt werden.

Kosten

Die Hersteller der Lösungen geben ihre Software kostenlos zum Download ab. Aber kostenlos sind die Lösungen dadurch natürlich nicht. Sachgerechte Installation, Konfiguration und Betrieb erfordern Expertise und zeitlichen Aufwand. Der Betrieb eigener oder gemieteter Hardware verursacht weitere Kosten. Ob die Kosten in der Summe über die Lebenszeit der Lösung günstiger liegen als für eine proprietäre Lösung muss im Einzelfall geprüft werden.

Neben dem eigenen Betrieb der Software bietet sich auch das Hosting bei spezialisierten Dienstleistern in der EU an.

Fazit

Ein Leben – und vor allem Arbeiten – ohne Cloud-Dienste von Microsoft, Google oder Amazon ist möglich. Abhängig von der vorhandenen Expertise im Haus kann so eine Lösung sogar kostengünstiger sein. Auf jeden Fall befreit sie aber von rechtlichen Unsicherheiten bei der DSGVO-konformen Verarbeitung von Daten. Denn am Ende ist immer der/die Datenverarbeitende und nicht der Dienstleister in der rechtlichen Verantwortung für die Daten.