Souveräne Cloud-Dienste? IT-Konzerne denken um
15.07.2022
Einem Bericht des Handelsblatt vom 11.07. zufolge kündigt nun auch Oracle an, Cloud-Dienste zu entwickeln, „die Kunden mehr Kontrolle versprechen“. Oracle folgt darin „neuen“ Wegen, die AWS, Microsoft und Google bereits eingeschlagen haben. Im Wesentlichen geht es dabei um die Eroberung eines gigantischen Marktes, der dadurch erschlossen würde, dass europäische Sicherheitsbedürfnisse bzw. Datenschutzgesetze beim Aufbau einer Cloud künftig berücksichtigt würden.
Cloud Dienste und die Frage der Datenhoheit
Auch Mahr EDV hat in der Vergangenheit kleinen und mittelständischen Unternehmen eher zu (kleineren) Cloudanbietern geraten, deren Rechenzentren in Deutschland oder der EU betrieben werden und deren Betreiber deutschem oder EU-Recht unterliegen (siehe z.B.: hier und hier). Aus grundsätzlich zwei Gründen. Erstens: Die großen US-Anbieter sind dem amerikanischen Cloud-Act unterworfen, nach dem US-amerikanische Unternehmen legal gezwungen werden können, Daten an die Regierung bzw. die Geheimdienste herauszugeben. Dies beißt sich mit den Bestimmungen der europäischen Datenschutzverordnung, die deutsche Unternehmen bei Androhung hoher Bußgelder für Zuwiderhandlungen gegenüber ihren Kunden einhalten müssen. Zweitens: Bei technischen Problemen oder Rechtsstreitigkeiten mit dem Anbieter sind die Lösungswege in Zusammenarbeit mit kleineren Providern, die demselben Recht unterliegen wie der Kunde, wesentlich kürzer und direkter, als wenn man sich für Abhilfe erst durch die Instanzen eines Riesenkonzerns begeben muss.
Der Sicherheitsaspekt gilt aber auch für die Großen, vor allem (aber nicht nur) den öffentlichen Sektor, das Gesundheitswesen und die Finanzdienstleistungsindustrie. Im Cloud-Monitor von Bitkom und KPMG beispielsweise erklären sogar „70 Prozent der befragten Unternehmen, dass ein Rechenzentrum im Rechtsgebiet der EU unabdingbar sei“, so das Handelsblatt im Artikel.
„Souveränität“ allein durch Datenlagerung in Europa?
Da der Cloud-Act auch im Ausland gelagerte Daten umfasst, reicht es nicht, Rechenzentren in Europa aufzubauen. Und auch, wenn die EU-Kommission derzeit mit der US-Regierung über ein Abkommen verhandelt, das den Datenaustausch regeln soll, wollen viele nicht darauf warten. Deshalb hätten beispielsweise AWS und Microsoft Geschäftsbedingungen eingeführt, die die Übertragung von Daten an die USA so weit wie möglich limitieren sollen, wie auch neue Technologien das Schutzniveau etwa durch Verschlüsselung erhöhen. Des Weiteren spielen Treuhänderkonzepte zunehmend eine Rolle. So können Kunden die Cloud-Lösungen von Google seit dem Frühjahr von T-Systems betreiben lassen, auch AWS plant eine Zusammenarbeit mit der Telekom-Tochter.
Oracle plane, für Betrieb und Wartung seiner Cloud-Dienste eine eigene Firma zu gründen, in der ausschließlich EU-Bürger arbeiten sollen, was die Einhaltung der EU-Regeln gewährleiste. „Allerdings“, so das Handelsblatt, „soll die Einheit zum Konzern gehören und damit vom Management in Austin, Texas, abhängig sein.“ Damit stelle sich die Frage, wie Oracle Zugriffe von US-Behörden über den Cloud-Act verhindern will, bzw. bleibt „unklar, ob Oracle die Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllt, das Cloud-Dienste vor dem Einsatz in Bundesbehörden und Ministerien prüft. Diese sehen vor, dass Auftraggeber die Systeme ‚unabhängig, unwiderruflich und damit souverän‘ vom Anbieter betreiben können.”
Fazit
Die großen US-Anbieter unternehmen viel, damit ihnen der aus ihrer Sicht „durch-regulierte“ europäische Markt nicht langfristig durch die Lappen geht. Ob sie die strengen Anforderungen etwa des BSI jemals erfüllen oder dieser seine Kriterien in Hinblick auf Cloud-Dineste aufweicht, dürfte noch nicht ganz ausgemacht sein.
Haben Sie Fragen zur DSGVO-konformen Nutzung von Cloud-Diensten, zögern Sie nicht, uns anzusprechen. Nutzen Sie unsere kostenlose Erstberatung für Firmen. Wir sind über das Kontaktformular oder telefonisch erreichbar und freuen uns auf Sie.