Europäische Cloud – made in Germany?

Die Rufe nach einer europäischen Cloud-Lösung wurden zuletzt immer lauter, doch aus technischer und organisatorischer Sicht wird noch viel Neuland betreten.

Nicht zu vernachlässigen sind die offenen Fragen in den Bereichen Datenschutz und Governance. Gleichwohl boomt der Gesamtmarkt. Zu reizvoll sind die technischen und organisatorischen Chancen, welche sich durch die Einbindung und den Aufbau von Cloud-Technologien im Zeitalter der Digitalisierung bieten.

Eigentlich sollte davon auszugehen sein, dass der Einsatz von Cloud-Technologie innerhalb der Bundesrepublik Deutschland rechtlich und organisatorisch abgesichert ist und den Versprechen der Großanbieter aus dem amerikanischen Markt, in Bezug auf den Schutz der privaten Daten, zu vertrauen ist. So dürfte es keinen Unterschied machen, ob der Cloud-Anbieter seinen Firmensitz in Deutschland oder Übersee hat. Oder etwa doch?

Der US CLOUD Act: Eine Verpflichtung zur Herausgabe 

Bereits im März 2018 ging ein Aufschrei durch die Szene deutscher Unternehmen, welche sich mit dem Thema Cloud beschäftigen. Anlass zur Sorge: Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) – ein US-amerikanisches Bundesgesetz. Es verpflichtet amerikanische Internetfirmen und IT-Dienstleister, den US-Behörden auch dann Zugriff auf Datensätze zu gewährleisten, wenn deren Speicherung nicht in den USA erfolgt. Umgekehrt können über diesen Weg auch ausländische Firmen Zugriff auf Daten erhalten, die von US-Konzernen im Ausland abgelegt wurden. In Folge des Gesetzes sollen bilaterale Abkommen ausgearbeitet werden, welche es ausländischen Behörden ermöglichen, ihre Anfragen direkt an die Konzerne zu stellen. Hiermit würde eine gerichtliche Kontrolle bei einer Abfrage außen vor bleiben, was zu Kritik durch einige Datenschützer geführt hat.

Den von der Herausgabeverpflichtung betroffenen Unternehmen steht jedoch nach dem Gesetz im Einzelfall ein Widerspruchsrecht gegen die Anordnung zur Herausgabe von Daten zu, wenn der Eigentümer des gespeicherten Inhalts kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen ausländisches Recht (in Europa zum Beispiel die DSGVO) verstoßen würde.

Das Gesetz wurde eingeführt, nachdem US-Behörden in verschiedenen Fällen Probleme meldeten, an im US-Ausland gespeicherte Daten zu gelangen. So konnten Unternehmen sich bis vor dessen Verabschiedung darauf berufen, dass ein Durchsuchungsbeschluss nur in den USA Geltung habe. Internetfirmen und IT-Dienstleistern kann nun per Anordnung verboten werden, ihre User über eine solche heimliche Abfrage von Benutzerdaten zu informieren.

Was ist die Kritik am CLOUD Act?

Im CLOUD Act soll der Zugriff von US-Behörden auf die im Ausland liegenden Daten und die Zusammenarbeit zwischen den US- und ausländischen Strafverfolgungsbehörden geregelt werden. Somit kann jede amerikanische Behörde ohne Gerichtsbeschluss Zugriff auf im Ausland befindliche Server erhalten, wenn die Inhalte von einem amerikanischen Unternehmen administriert werden.

Ausländische Amtspersonen sollen ebenfalls und unter den gleichen Voraussetzungen Zugriff auf die US-Datacenter erhalten. Dies würde zwar grundsätzlich dem Gleichbehandlungsgebot entsprechen, doch in der Praxis werden bei solchen Vorhaben die deutschen Gerichte größtenteils vor unüberwindliche Hürden gestellt. So kann die Herausgabe von Informationen nur im Rahmen eines Rechtshilfeabkommens erfolgen. Doch im Falle von beispielsweise personenbezogenen Daten ist diese Möglichkeit über die existierenden Rechtshilfeabkommen zwischen der EU und den USA bislang nicht gedeckt – eine Zwickmühle.

Die Problematik wurde auch durch das European Data Protection Board (EDPB) und den European Data Protection Supervisor (EDPS) in ihren unverbindlichen Stellungnahmen vom Juli 2019 bestätigt. Unabhängig davon dürfte es für jede deutsche Privatperson und jedes deutsche Unternehmen sehr befremdlich sein, wenn bei Fragen rund um den eigenen Grundrechteschutz plötzlich Werte und Normen eines anderen Staates zur Anwendung kommen.

Im Übrigen sollen bilaterale Abkommen getroffen werden, die die jeweilige Behörde ermächtigen, ihre Anfragen direkt an die Technologieunternehmen zu stellen. Datenschützer sehen deshalb das Gesetz als äußerst kritisch an, da mit einer entsprechenden Vereinbarung die Gerichte außen vor bleiben und die Behörden zu viel Macht bekommen. Eine Einschätzung über die politischen Gepflogenheiten und Usancen von amerikanischen Behörden ist aus heutiger Sicht nicht möglich. Das Gebot der Rechtsstaatlichkeit wäre somit grundlegend ausgehöhlt.

Die europäische Cloud-Lösung

Europa sollte sich stattdessen um eine eigene Plattform für den Datenverkehr bemühen. Erste Schritte in die richtige Richtung wurden dabei bereits gemacht: Das sogenannte GAIA-X-Projekt soll bald die Serverkapazitäten vieler kleiner und großer Unternehmen vernetzen. Im Gründungskonsortium der Initiative, welcher mittlerweile rund 40 Unternehmen angehören, sind auch große Namen wie Deutsche Bank, Telekom und SAP vertreten. Maßgeblich vorangetrieben wird GAIA-X dabei vom Bundesministerium für Wirtschaft und Energie (BMWi), der EU-Kommission und europäischen Ländern wie zum Beispiel Frankreich.

Ziel dieser vernetzten Infrastruktur sei es, dass Daten in Zukunft sicher und vertrauensvoll verfügbar gemacht, zusammengeführt und geteilt werden können. Auf diese Weise wollen die europäischen Unternehmen unabhängiger von amerikanischen oder chinesischen Cloud-Diensten werden.

Lidl, Würth, EnBW und andere arbeiten ebenfalls an europäischer Cloud

Aber nicht nur die Bundesregierung und ihre Partner, sondern auch andere deutsche Unternehmen wollen eine europäische Cloud-Lösung anbieten. Die Schwarz-Gruppe plant ein solches Projekt, welches vor allem auf die Wahrung des gesetzlich vorgeschriebenen Datenschutzes Wert legen soll. Das Ziel: Der Aufbau einer unabhängigen Cloud-Infrastruktur mit europäischen Sicherheitsstandards – zunächst für interne Zwecke. Sollte das Projekt erfolgreich und nachgefragt sein, so strebt die Schwarz-Gruppe an, als Dienstleister weitere Unternehmen in die Cloud einzuladen. Die entsprechende Infrastruktur hierfür will die Gruppe bis Ende 2020 bereitstellen.

Wie positioniert sich die PASS Consulting Group zum Thema Cloud-Angebot?

Die PASS Consulting Group gehört mit über 35 Jahren Marktpräsenz zu den führenden IT-Beratungshäusern in Deutschland. Kernkompetenz des 1981 gegründeten Unternehmens ist die Digitalisierung in Großkonzernen, im Mittelstand und in Start-ups. Gleichzeitig ist PASS seit mehr als fünf Jahren Cloud-Anbieter und hat bereits über einhundert Kunden von den eigenen Services überzeugen können. Dabei zeichnet sich das Angebot der Group vor allem durch eigene Rechenzentren, höchste Verfügbarkeitsklassen, einem Green Cloud Datacenter sowie höchste Anforderungen im Bereich Cyber-Security aus – natürlich alles zertifiziert nach höchstem Standard.

Insgesamt verfolgt PASS den Weg der private Cloud, welche rein nach deutscher Gesetzgebung und Governance-Verfahren betrieben wird. Es werden Servicelevelverträge für alle Arten von Anwendungen angeboten. Ebenso ist PASS in der Lage, Altanwendungen in die Cloud zu migrieren. Die PASS Cloud Services befinden sich somit in guter Gesellschaft zu den Initiativen von Gaia-X, denn das Unternehmen und dessen Server unterliegen nicht dem US-Patriot Act und verlassen nie das PASS Rechenzentrum. Eine leistungsfähige technische Infrastruktur und moderne Plattformen runden das Angebot für den deutschen Markt ab.


Bildquelle: Shutterstock

Schreibe einen Kommentar

Ähnliche Artikel