Cloud-Dienste wie Infrastructure as a Service boomen, vor allem die Angebote der Hyperscaler. Doch viele Unternehmen setzen aus Datenschutzgründen bewusst auf deutsche Cloud-Anbieter – oder müssen es notgedrungen aus rechtlichen Gründen tun.
(Bild: Shutterstock)
Ohne sie geht fast nichts mehr – die Cloud. Längst ist sie zu einem festen Bestandteil der IT-Landschaft geworden. Vor allem Infrastructure as a Service (IaaS), also das bedarfsgerechte Mieten von Rechenleistung sowie Speicher- und Netzwerkressourcen, erfreut sich bei den Unternehmen großer Beliebtheit. Das Ziel dabei: Mit der Migration der Unternehmensinfrastruktur zu einer IaaS-Lösung sollen der Wartungsaufwand reduziert und Hardware-Kosten eingespart werden. Und diese Rechnung geht in der Praxis auch häufig auf – IaaS-Lösungen bieten die Flexibilität, IT-Ressourcen nach Bedarf hoch- und herunterzuskalieren.
Vor allem die vergleichsweise umfangreichen Angebote der Hyperscaler werden dabei rege gebucht, also die der drei großen Player im Markt Amazon, Google und Microsoft, deren Cloud-Dienste sich in hohem Maß skalieren lassen. Immer mehr Unternehmen machen sich jedoch Gedanken darüber, ob es tatsächlich eine gute Idee ist, die eigenen Daten einem ausländischen und insbesondere einem US-amerikanischen Anbieter zu überlassen. Sie stellen also quasi die Vertrauensfrage und überlegen, ob es einen sicheren Weg zur datenschutzkonformen Nutzung von Cloud-Diensten aus Übersee gibt. Und häufig schließt sich daran die Frage an, ob es nicht auch ohne die großen Hyperscaler und mit einem Cloud-Dienst aus dem eigenen Land geht.
Die Herkunftsbezeichnung „made in Germany“, Ende des 19. Jahrhunderts in Großbritannien eingeführt, um vor vermeintlichen Ramsch-Messern aus Deutschland zu warnen, gilt schon lange in allen möglichen Bereichen als eine Art Gütesiegel – und das immer öfter auch bei Cloud-Diensten.
„Bei der Auswahl des passenden Cloud-Services geht es um Vertrauen“, konstatiert Patrick Schaudel, Head of Products bei Ionos. Der Nutzer übergebe dem Cloud-Anbieter sein sensibelstes Gut und erwarte, dass dieser gut damit umgeht. Hier in Europa hätten wir, so Schaudel, mit der Datenschutz-Grundverordnung (DSGVO) dafür enge Spielregeln. Und deutsche Anbieter würden die Bestimmungen sehr gut kennen – „das ist quasi unsere DNA“.
(Bild: Plusserver)„Das Prädikat ,made in Germany’ mag gelitten haben, doch für die Cloud-Angebote in sensiblen Branchen hat das Thema zunehmend mehr Gewicht.“
Alexander Wallner, CEO bei Plusserver
Aus Sicht von Alexander Wallner, CEO von Plusserver, sind über den klassischen Datenschutz und die DSGVO hinaus drei Aspekte entscheidend: Da sei zum einen die Datenhoheit, welche die vollständige Verfügungsgewalt beziehungsweise selbstbestimmte Kontrolle von Unternehmen und Personen bei der Erhebung, Speicherung, Nutzung und Verarbeitung der eigenen Daten umfasst. Hinzu komme der Standort des Rechenzentrums sowie der Firmensitz – beides falle unter die Kategorie Rechtsraumsouveränität. „Und dann wird es eigentlich erst interessant, denn genau genommen bedarf es zudem noch technologischer und operativer Souveränität.“ Erstere könne durch Open Source beziehungsweise allgemein verfügbare, standardisierte Technologie erreicht werden. „Letztere meint die transparente Kontrolle der Abläufe von der Bereitstellung und dem Management der Lösungen und Services bis hin zur Überwachung des physischen Zugriffs auf die Infrastruktur.“ Dies lasse sich über offene und verifizierbare Betriebskonzepte erreichen. „Im Grunde geht es also damit nicht nur darum, den Quelltext, sondern auch den Betriebsprozess öffentlich zu machen.“
Cloud-Anwender sollten sich also die Frage stellen, wie sie die souveräne Kontrolle über ihre Daten gewährleisten und sich vor Eingriffen aus anderen Rechtsräumen schützen können. Kurzum: Wie verhindert man, dass zum Beispiel US-amerikanische Sicherheitsbehörden den Cloud-Anbieter dazu zwingen, Zugriff auf sensible Daten eines deutschen Unternehmens zu gewähren? Kurzer Spoiler: wohl gar nicht. Sobald man auf einen ausländischen beziehungsweise Nicht-EU-Cloud-Anbieter setzt, geht man immer das Risiko ein, dass ausländische Behörden Zugriff auf die eigenen Daten erhalten. (Siehe dazu auch das Interview mit dem Rechtsanwalt Sebastian Schulz im 3. Teil)
Die Hyperscaler sind sich der Debatte rund um das Thema Datenhoheit natürlich bewusst und nutzen zum Beispiel vermehrt Rechenzentren in Europa und auch in Deutschland, setzen also auf „hosted in Europe“. Das sei, so Alexander Wallner allerdings nur bedingt verifizierbar. Er betont, dass der Teufel hier im Detail stecke: Wie stellen die Hyperscaler zum Beispiel aus den USA sicher, dass im Zweifelsfall keine Daten herausgegeben werden, wenn man sie rechtlich dazu zwingt? Und gebe es eine Garantie, dass die Public Cloud, nur weil sie in einem deutschen Rechenzentrum aufgebaut wird, vollständig von der Hyperscaler-Cloud in einem anderen Rechtsraum getrennt ist? „Das Prädikat ,made in Germany‘ mag gelitten haben, doch für die Cloud-Angebote in sensiblen Branchen hat das Thema zunehmend mehr Gewicht und steht für Vertrauen.“
Nach Einschätzung von Henrik Hasenkamp braucht es nicht zwingend Lösungen aus Deutschland. „Aber europäische Lösungen haben aus meiner Sicht schon signifikante Vorteile hinsichtlich der Compliance und der Handhabung besonders schützenswerter Daten“, betont der CEO von Gridscale. Für einige Unternehmen seien dann noch besonders hohe Anforderungen hinsichtlich des Geheimnisschutzes relevant, um ihre Verfahren und Patente vor möglicher Industriespionage zu schützen. „Hier – meine persönliche Sicht – ist der rechtliche Raum innerhalb der europäischen Union doch eindeutig zu bevorzugen gegenüber Datenspeicherung und Verarbeitung außerhalb dieser Rechtsräume.“
Wer auf Nummer sicher gehen will, sollte also darauf achten, dass er sich für einen Cloud-Anbieter entscheidet, der nicht nur seine Server in Europa betreibt, sondern auch seinen Firmensitz in Europa hat. Denn ob USA Patriot Act, Safe Harbor, EU-US Privacy Shield oder CLOUD Act – vor allem die Vereinigten Staaten, in denen die großen Hyperscaler ihren Hauptsitz haben, sorgen mit immer neuen Gesetzen für ordentlich Zündstoff in der Diskussion um Datenschutz und Datensouveränität. So verpflichtet zum Beispiel das jüngste Bundesgesetz zu diesem Thema – der seit 2018 bestehende CLOUD Act (Clarifying Lawful Overseas Use of Data Act) – US-amerikanische Firmen dazu, US-Behörden auch dann Zugriff auf Daten zu ermöglichen, wenn die Daten außerhalb der USA gespeichert sind.
(Bild: IDC)
Wenn also ein Anbieter aus den USA etwa einen Server-Standort in Frankfurt anbietet, so ist laut Henrik Hasenkamp davon auszugehen, dass auf entsprechende Anordnung beispielsweise der US-Geheimdienste ein Durchgriff auf die Infrastruktur in Frankfurt erfolgt. „Dieses Durchgriffsrecht lässt sich aus unserer Sicht nicht durch den gewählten Standort vermeiden. Wir blicken daher der Datenverarbeitung sensibler Daten auf Infrastrukturen außerhalb der EU genauso skeptisch entgegen wie der inländischen Verarbeitung auf Infrastrukturen, die zum Beispiel einem US-amerikanischen Unternehmen gehören.“
(Bild: Ionos)„In Europa haben wir mit der DSGVO enge Spielregeln für den Umgang mit sensiblenDaten. Deutsche Anbieter kennen die Bestimmungen sehr gut.“
Patrick Schaudel, Head of Products bei Ionos
Doch das Land des Cloud-Anbieters ist nicht immer das entscheidende Kriterium, berichtet Marc Korthaus, Geschäftsführer von Syseleven. Es gehe hauptsächlich darum, für den jeweiligen Zweck den am besten passenden Anbieter zu finden. „Die kleineren Anbieter punkten immer, wenn es um schnellen, guten, persönlichen Service und Verständnis für die besonderen Anforderungen geht. Auch Branchenlösungen und -wissen können hier eine Rolle spielen.“ In die Bewertung des Risikos der Wahl eines Cloud-Providers müsse natürlich auch einfließen, dass DSGVO-Verstöße beträchtliche Strafen nach sich ziehen können. Sein Tipp: „Wer die Kontrolle über seine Daten behalten will, entscheidet sich für Open-Source-basierte Plattformen, die mit den großen Hyperscalern kompatibel und interoperabel sind und einen möglichst reibungslosen Anbieterwechsel ermöglichen.“ Der Vorteil der meisten alternativen Anbieter sei, dass sie auf cloudnative Lösungen wie Kubernetes setzen, mit denen eine Migration zwischen Anbietern einfach möglich sei. „Im Ergebnis sinkt der Lock-in und nicht der Anbieter entscheidet, wie hoch die Rechnung ausfallen wird“, so Korthaus weiter.
Doch bei der Wahl eines Cloud-Anbieters geht es letztlich um viel mehr als nur um dessen Firmensitz und die Server-Standorte. Auch der Funktionsumfang der Angebote muss auf die eigenen Bedürfnisse zugeschnitten sein. Und hier punkten die großen Player Amazon, Google und Microsoft. So listet etwa Microsoft auf seiner Azure-Webseite eine dreistellige Zahl an verfügbaren Cloud-Diensten auf. Schon wenn man sich etwa nur die ausgefeilten Funktionen für Künstliche Intelligenz anschaut, stellt sich die Frage, ob die – vergleichsweise kleinen – deutschen Anbieter hier überhaupt mithalten können.
Alexander Wallner von Plusserver zufolge muss man diese Frage differenziert betrachten. „Klar, die Hyperscaler bieten tolle Lösungen für bestimmte Anforderungen, sei es nun Collaboration, KI oder auch die Rechen-Performance“, räumt er ein. Aber zum einen seien die Hyperscaler nicht in all diesen Dingen gleich gut, und zum anderen komme es stets auf den Kunden und seine Bedürfnisse sowie auf den aktuellen Stand der Cloud-Journey an. „Der mittelständische Konzern braucht erst mal eine Cloud-Lösung auf Enterprise-Niveau“, so eine Erfahrung. Nicht zuletzt gehe der Trend immer stärker in Richtung Multi-Cloud, „und das machen wir uns zunutze. Wir haben die Expertise, um die Angebote der Hyperscaler zu verwalten, und kombinieren diese an den Stellen mit unseren eigenen Lösungen, an denen es aus Datenschutz- oder Souveränitätsgründen notwendig ist.“
(Bild: Gridscale)„Es gilt daran zu arbeiten, dass die eine oder andere Nischenlösung in Europa entsteht, damit Europa nicht vollends den Anschluss verliert.“
Hendrik Hasenkamp, CEO bei Gridscale
Jeder Anbieter habe sein eigenes Service-Portfolio und es gehöre zur Strategie eines jeden Providers, sein Angebot entsprechnd seiner Geschäftsbeziehungen weiter auszubauen, so Henrik Hasenkamp von Gridscale. Die Technologien hierfür seien in der Regel allen Unternehmen gleichermaßen zugänglich – „wenn wir einmal von durchaus relevanten Monopolstellungen wie Microsoft Office absehen.“
Dabei ist sich Hasenkamp durchaus bewusst, dass man in Sachen Größe und Relevanz den Vorsprung von Amazon & Co. nicht aufholen könne. „Es gibt aber Nischen, und unter Nische verstehen wir durchaus ein Marktvolumen von mehreren Milliarden Euro, sodass es sich lohnt, hier einzusteigen. Wir sehen dieser Tage ja eindrucksvoll, wie die Firma OpenAI eine dieser Nischen exzellent besetzt.“ ChatGPT erfreue sich einer unfassbaren Beliebtheit. „Und meiner Einschätzung nach ist es das erste Mal, dass ein durchschnittlicher IT-Anwender Künstliche Intelligenz sehr einfach verwenden kann. Genau über solche Impulse verändert sich letztlich die gesamte Welt der IT.“
Patrick Schaudel von Ionos spricht bei den Angeboten der Hyperscaler von einem „aufgeblähten Portfolio an Funktionen“. Wenn man das Gros der Anwender befrage, was sie genau benötigen, dann reduziere sich das sehr schnell auf einige Kernfunktionen. „Gerade kleine und mittelständische Unternehmen stehen oft noch am Anfang ihrer Digitalisierungsreise. Da braucht es einen vertrauenswürdigen Anbieter, der die grundlegenden Dienste besonders in den Bereichen IaaS und PaaS bereitstellt.“ Der Preis, den man für die Feature-Vielfalt bei den Hyperscalern zahle, sei dagegen oftmals eine nicht umkehrbare Abhängigkeit, so sein klares Statement.
Marc Korthaus verweist in diesem Zusammenhang auf die jüngsten Milliarden-Investitionen von Microsoft in das KI-Projekt ChatGPT. Die Investition sei nachvollziehbar und ermögliche Innovationen in der weltweit eingesetzten Standard-Software von Microsoft. „Gleichzeitig ist sie eine Machtdemonstration – die ihre Wirkung nicht verfehlt.“ Vor allem aber zeige Microsofts Investition: Für den globalen Betrieb solcher Lösungen sei eine enorme Rechenleistung notwendig, die im Grunde nur Großunternehmen wie Amazon, Microsoft oder Google auf internationaler Ebene bereitstellen könnten. „Was dies allein für unsere Zukunft bedeutet, bereitet Kopfschmerzen. Es schafft gefährliche Abhängigkeiten, doch Stand heute sehe ich hier keine echte europäische Konkurrenz – im Moment sieht es ganz danach aus, als wenn es dabei bleiben würde.
Zudem sei nicht die Frage, so Schaudel weiter, wie deutsche Cloud-Anbieter beim Funktionsumfang aufholen könnten. „Unser Ziel ist es, eine leistungsfähige und preiswerte Alternative für alle zu bieten, die aktiv nach einer europäischen Lösung suchen.“ Dabei sei man ja nicht allein, vielmehr hätte man die Chance, auf Basis europäischer Werte ein Ökosystem zu schaffen, das Europa unabhängiger mache und gleichzeitig datengetriebene Innovationen erlaube. „Wir müssen daher sektorübergreifend kooperieren und offene Standards und Interoperabilität fördern. So können wir Herausforderungen gemeinsam mit Mitbewerbern lösen, die wir allein wirtschaftlich und technologisch nicht stemmen können.“ Zum Beispiel sei das europäische Cloud-Projekt GAIA-X eine Initiative, die genau in diese Richtung ziele. Das Ziel von GAIA-X als föderiertes Ökosystem sei es, über Kooperation die europäische Innovationskraft zu stärken. Das bedeute, man müsse Interoperabilität und Portabilität schaffen und damit den Vendor-Lock-in einreißen.
Enttäuschender Hoffnungsträger: GAIA-X
Wenn man sich das europäische Cloud-Projekt GAIA-X allerdings näher anschaut, dann hat man den Eindruck, dass es ziemlich steckengeblieben ist – und sich in der Praxis kaum etwas bewegt. Das bestätigt Patrick Schaudel: „Durch die vielen Mitglieder hat sich die Konzeptphase etwas länger gezogen.“ Jetzt aber habe GAIA-X deutlich an Fahrt gewonnen: „Die Grundlagen der Federated Services stehen, es laufen erste Projekte und es gibt auch schon funktionierende Datenräume mit echten Business-Cases dahinter wie den Mobility Data Space.“
Anders Marc Korthaus: „GAIA-X ist zum Papiertiger geworden. Was als internationales Projekt zur besseren Interaktion und Nutzung verschiedener Cloud-Anbieter in einem Datenraum gestartet ist, wurde in Gremien zu Tode diskutiert – aus meiner Sicht zum Teil auch willentlich von einzelnen Anbietern.“ Heute gebe es viel Papier, wenig Umsetzung und noch weniger Kundennutzen. „Schade, aber ein Beispiel für europäische Gestaltung, die viel will und wenig schafft.“ Wie so oft würden auch bei GAIA-X zu viele Köche den Brei verderben: „Es reicht nicht, eine gute Idee zu haben – man muss sie auch möglichst schnell und effektiv umsetzen. Ich denke, bei GAIA-X sind zu viele Spieler mit unterschiedlichen oder gegensätzlichen Ansichten und Zielen beteiligt.“ Dass seit einiger Zeit Hyperscaler wie Amazon, Google und Microsoft mitmischen, habe die Sache nicht besser gemacht – im Gegenteil: „Einige Mitglieder sehen ihre Interessen verwässert und befürchten eine zu starke Einflussnahme der Big Player und sind medienwirksam aus dem Projekt ausgetreten. Das Ergebnis ist stets der kleinste gemeinsame Nenner und der reicht nicht, um große Veränderungen zu realisieren.“
Alexander Wallner findet, der Eindruck, dass bei GAIA-X wenig vorankomme, sei weitverbreitet, doch „in Wahrheit ist hier im Hintergrund einiges in Bewegung“. Das beste Beispiel dafür sei der sogenannte Sovereign Cloud Stack (SCS). Diese modular aufgebaute Open-Source-Cloud- und Container-Plattform bilde den technischen Unterbau des GAIA-X-Projekts und sei weit über das Konzeptstadium hinaus.
„GAIA-X ist zum Papiertiger geworden. Was als internationales Projekt zur besseren Interaktion und Nutzung verschiedener Cloud-Anbieter in einem Datenraum gestartet ist, wurde in Gremien zu Tode diskutiert.“
Marc Korthaus, Geschäftsführer von Syseleven
Patrick Schaudel ist außerdem davon überzeugt, dass Datensouveränität deutlich ernster genommen wird als noch von wenigen Jahren – und das sei auch ein Verdienst von GAIA-X. „Zudem hat es dazu geführt, ein einheitliches Verständnis der Bedeutung von Datenschutz und Souveränität zu schaffen.“ Darüber hinaus habe die kollaborative Entwicklung von Datenräumen basierend auf einem europäischen Wertesystem an Fahrt aufgenommen. Auch das hätte es, so Schaudel, ohne GAIA-X als Katalysator in dieser Geschwindigkeit nicht gegeben. „All das wird von Europa aus getrieben – wir sehen bei anderen Regionen und Ländern großes Interesse daran, was hier gerade geschieht.“ Wo man sich sicher verbessern könne, seien die Geschwindigkeit und die Agilität in der Abstimmung innerhalb der Organisation selbst, „aber auch hier sind wir optimistisch“.
Fazit & Ausblick
„There is no way back! Es ist keine Frage, ob Digitalisierung und Cloud weiter wachsen werden, sondern nur wie schnell“, lautet das unmissverständliche Resümee von Patrick Schaudel. Das Tempo hänge natürlich von vielen Faktoren ab, derzeit befände sich Deutschland in einer Phase, die, verglichen mit den letzten Jahren, schon deutlich Fahrt aufgenommen hätte.
„Die Nutzung von Cloud-Diensten ist niemals völlig frei von Risiken“
Was sind die rechtlichen Risiken bei der Nutzung etwa US-amerikanischer Cloud-Provider? Und ist man als Unternehmen automatisch auf der sicheren Seite, wenn man sich für einen europäischen oder deutschen Cloud-Betreiber entscheidet? com! professional spricht darüber mit Sebastian Schulz. Er ist Rechtsanwalt in der Kanzlei Härting in Berlin. Zu seinen Schwerpunkten gehören Datenschutzrecht und Data-Compliance.
com! professional: Herr Schulz, viele Unternehmen nutzen Cloud-Dienste – häufig die von großen Anbietern wie Amazon oder Microsoft. Welche Risiken gehen deutsche Unternehmen ein, wenn sie auf US-amerikanische Anbieter setzen?
Schulz: Die Nutzung von Cloud-Diensten ist niemals völlig frei von Risiken. Die damit verbundene Lockerung der Herrschaft über geschäftliche Informationen oder verarbeitete personenbezogene Daten ist tendenziell immer risikoträchtiger als die Nutzung unternehmenseigener On-Premises-Lösungen. Ob der Cloud-Dienst durch ein US-amerikanisches Unternehmen oder einen Anbieter mit Sitz innerhalb Deutschlands beziehungsweise der EU erbracht wird, ist dabei erst einmal nicht entscheidend.
Aus der Unternehmensperspektive sollte bei der Wahl des Dienstleisters deshalb vor allem das jeweils angebotene Schutzniveau maßgebend sein. Hier sind große Dienste, auch US-amerikanischer Anbieter, oft besser aufgestellt. Die aktuell vor allem durch die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten getriebene Debatte über die Sicherheit von Lösungen US-amerikanischer Anbieter blendet das gern aus.
com! professional: Unternehmen beschäftigt natürlich vor allem das Thema Datenschutz …
Schulz: Die gegenwärtige Diskussion wird praktisch ausschließlich von datenschutzrechtlichen Aspekten dominiert. Im Zentrum steht die Frage, ob die in einem Unternehmen verarbeiteten personenbezogenen Daten auf Servern US-amerikanischer Anbieter sicher sind oder nicht. Betroffen sind neben Kunden- und Lieferantendaten regelmäßig auch Daten der eigenen Belegschaft. Nicht selten unterliegen Daten von Beschäftigten sogar einem höheren Schutzbedarf, da hier besondere persönliche Daten wie beispielsweise zur Gesundheit, zur Konfessionszugehörigkeit oder der etwaigen Mitgliedschaft in einer Gewerkschaft Gegenstand der Verarbeitung sind.
com! professional: Amazon, Google und Co. bieten das Ablegen der Daten auf Rechenzentren in Europa oder sogar in Deutschland an. Ist man damit auf der sicheren Seite?
Schulz: Keine Cloud-Lösung ist absolut sicher. Auch Rechenzentren mit definierten Standorten in der EU sind Ziele von Cyberattacken oder Innentätern. Das Motiv hinter der durch US-Anbieter forcierten Datenlokalisation ist, sich darüber einem potenziellen unmittelbaren Zugriff von US-amerikanischen Ermittlungsbehörden zu entziehen. Damit ist die Hoffnung verbunden, dass Kunden in der EU das Vertrauen nicht verlieren und Aufsichtsbehörden in ihrer Kritik ein Stück weit abrüsten. Bei genauerem Hinsehen sind solche Lokalisationen aber oft nur Placebos. Zahlreiche US-Rechtsakte auferlegen heimischen Unternehmen die Pflicht, bei Vorliegen bestimmter Voraussetzungen auch auf ausländischen Servern gespeicherte Informationen herauszugeben.
(Bild: Härting)„Der Glaube daran, dass ein US-Unternehmen unter Strafandrohung nicht die geforderten Informationen an die eigene Administration herausgibt, erscheint mir weltfremd.“
Sebastian Schulz, Rechtsanwalt in der Kanzlei Härting
Mit diesem Überwachungsfetisch der Amerikaner muss man leben. Andere demokratische Staaten sind hier auch nicht besser. Der Glaube daran, dass ein US-Unternehmen unter Strafandrohung nicht die geforderten Informationen an die eigene Administration herausgibt, erscheint mir schon ein wenig weltfremd. Nicht ohne Grund behalten sich alle großen Dienstleister eine solche Übermittlungsbefugnis in den eigenen Vertragswerken vor. Dass deshalb aber der Einsatz von US-Dienstleistern unter Berufung auf das Datenschutzrecht per se am Pranger steht, ist nicht sinnvoll und auch rechtlich nicht begründbar.
com! professional: Es gibt ein Datenschutzabkommen zwischen den USA und Europa – den EU-US Privacy Shield. Er wird jedoch stark kritisiert, da die USA damit weiterhin Zugriff auf Daten haben, auch wenn sie in Europa liegen. Die EU hat jetzt den Entwurf eines Nachfolgers des Privacy-Shield-Abkommens vorgelegt – wäre man damit als deutsches Unternehmen endlich sicher?
Schulz: Die EU-Kommission hat im Dezember 2022 den Entwurf für einen neuen sogenannten Angemessenheitsbeschluss vorgelegt. Durch diesen Beschluss sollen die USA, genauer US-amerikanische Unternehmen, die sich einem Selbstzertifizierungsmechanismus unterworfen haben, erneut als sichere Datenempfänger eingestuft werden. Nach europäischem Datenschutzrecht bedarf es dann keiner weiteren Garantien zum Schutz der exportierten Daten in den USA mehr, auch keiner Standarddatenschutzklauseln. Ist die Verarbeitung insgesamt rechtmäßig, müssen Datenexporteure die Behörden dann erst einmal nicht mehr fürchten. Ich gehe davon aus, dass der Beschluss Anfang des zweiten Quartals veröffentlicht werden wird. Als sicher gilt auch, dass auch dieses Framework durch den Europäischen Gerichtshof bewertet werden wird. Ob es allerdings nach den Entscheidungen zu Safe Harbor und Privacy Shield erneut zu einer Schelte aus Luxemburg kommen wird, ist längst nicht ausgemacht. Die Rahmenbedingungen haben sich schon deutlich geändert.
com! professional: Die DSGVO legt klare Regeln für die Datenverarbeitung fest. Was meinen Sie, ist es angesichts der aktuellen Situation überhaupt empfehlenswert, einen Cloud-Anbieter außerhalb Europas zu nutzen?
Schulz: Der Nutzung von Cloud-Diensten sollte ganz generell stets eine unternehmensinterne Abwägung vorgeschaltet sein. Hier sollten informations- und datenschutzrechtliche Risiken, aber auch Effizienz-, Performance- und Kostenaspekte Berücksichtigung finden. Ergibt sich hiernach, dass die in der Cloud zu verarbeitenden Informationen angemessen geschützt werden können und ein vergleichbarer Service durch europäische Unternehmen nicht angeboten wird, sehe ich keinen Grund, sich nicht für den besseren Cloud-Dienst eines US-amerikanischen Anbieters zu entscheiden.
com! professional: Das Sanktionsrisiko ist also ohnehin nicht so groß?
Schulz: Im Gegenteil beobachten wir in der Praxis eine regelrechte Scheu der Behörden, Aspekte des Drittstaatentransfers von Daten einmal zum Gegenstand eines Verwaltungs- oder Klageverfahrens zu machen. Das mag auch daran liegen, dass die aufsichtsbehördliche Abneigung eher auf einem diffusen Unbehagen beruht, als auf rechtlich überzeugenden Argumenten.
com! professional: Es schadet aber wohl nicht, wenn man sich für einen europäischen oder sogar deutschen Cloud-Anbieter entscheidet, der seine Rechenzentren in Europa oder hierzulande hat. Sollte man mit diesem sicherheitshalber dennoch schriftlich festhalten, dass die Daten keinesfalls das Land verlassen dürfen?
Schulz: Eine solche Klausel, die sich zudem auch auf etwaige Unterauftragnehmer erstrecken sollte, ist üblich und sinnvoll. Im Sozialrecht sind solche Klauseln sogar zwingend, da das Sozialgesetzbuch besonders strenge Vorgaben zur Zulässigkeit von Datenexporten macht. Alternativ sind vertragliche Abreden denkbar, nach denen eine Datenverarbeitung außerhalb der EU nur unter Einhaltung der Vorgaben der DSGVO erfolgen darf. So wird auch noch einmal vertraglich festgelegt, dass der Cloud-Anbieter im Fall eines Drittstaatentransfers seinen damit verbundenen Pflichten nachkommt.
IaaS-Anbieter aus Deutschland (Auswahl) |
Anbieter |
Beschreibung |
Cloud&Heat Technologies
www.cloudandheat.com |
Bietet diverse Cloud-Dienste wie IaaS sowie OpenStack-Services an |
Hetzner Cloud
www.hetzner-cloud.de |
Anbieter kompletter Cloud-Server und Block Storage |
Ionos
www.ionos.de |
Umfangreiches Cloud-Portfolio, zum Beispiel Block Storage, Network Services und diverse Datenbanken |
Gridscale
https://gridscale.io |
Bietet unter anderem Managed Kubernets, GPU-Instanzen sowie S3 Objekct Storage an |
Plusserver
www.plusserver.com |
Umfangreiches Cloud-Portfolio, zum Beispiel S3 und Network Storage, Managed Kubernetes sowie diverse Datenbanken |
Syseleven
www.syeseleven.de |
Spezialisiert auf Managed Kubernets, OpenStack Cloud sowie diverse Dienste DDoS-Protection |
Scaleup Technologies
www.scaleuptech.com |
Anbieter diverser Cloud-Dienste wie Kubernetes |
T-Systems
www.t-systems.com |
Bietet mit der Open Telekom Cloud Infrastructure as a Service aus deutschen Rechenzentren an |
Vodafone
www.vodafone.de |
Individuelle Cloud-Dienste unter de |