Die Datenschutz-Grundverordnung

„Bei der Auswahl des passenden Cloud-Services geht es um Vertrauen“, konstatiert Patrick Schaudel, Head of Products bei Ionos. Der Nutzer übergebe dem Cloud-Anbieter sein sensibelstes Gut und erwarte, dass dieser gut damit umgeht. Hier in Europa hätten wir, so Schaudel, mit der Datenschutz-Grundverordnung (DSGVO) dafür enge Spielregeln. Und deutsche Anbieter würden die Bestimmungen sehr gut kennen – „das ist quasi unsere DNA“.

Aus Sicht von Alexander Wallner, CEO von Plusserver, sind über den klassischen Datenschutz und die DSGVO hinaus drei Aspekte entscheidend: Da sei zum einen die Datenhoheit, welche die vollständige Verfügungsgewalt beziehungsweise selbstbestimmte Kontrolle von Unternehmen und Personen bei der Erhebung, Speicherung, Nutzung und Verarbeitung der eigenen Daten umfasst. Hinzu komme der Standort des Rechenzentrums sowie der Firmensitz – beides falle unter die Kategorie Rechtsraumsouveränität. „Und dann wird es eigentlich erst interessant, denn genau genommen bedarf es zudem noch technologischer und operativer Souveränität.“ Erstere könne durch Open Source beziehungsweise allgemein verfügbare, standardisierte Technologie erreicht werden. „Letztere meint die transparente Kontrolle der Abläufe von der Bereitstellung und dem Management der Lösungen und Services bis hin zur Überwachung des physischen Zugriffs auf die Infrastruktur.“ Dies lasse sich über offene und verifizierbare Betriebskonzepte erreichen. „Im Grunde geht es also damit nicht nur darum, den Quelltext, sondern auch den Betriebsprozess öffentlich zu machen.“

Cloud-Anwender sollten sich also die Frage stellen, wie sie die souveräne Kontrolle über ihre Daten gewährleisten und sich vor Eingriffen aus anderen Rechtsräumen schützen können. Kurzum: Wie verhindert man, dass zum Beispiel US-amerikanische Sicherheitsbehörden den Cloud-Anbieter dazu zwingen, Zugriff auf sensible Daten eines deutschen Unternehmens zu gewähren? Kurzer Spoiler: wohl gar nicht. Sobald man auf einen ausländischen beziehungsweise Nicht-EU-Cloud-Anbieter setzt, geht man immer das Risiko ein, dass ausländische Behörden Zugriff auf die eigenen Daten erhalten. (Siehe dazu auch das Interview mit dem Rechtsanwalt Sebastian Schulz im 3. Teil)

Die Hyperscaler sind sich der Debatte rund um das Thema Datenhoheit natürlich bewusst und nutzen zum Beispiel vermehrt Rechenzentren in Europa und auch in Deutschland, setzen also auf „hosted in Europe“. Das sei, so Alexander Wallner allerdings nur bedingt verifizierbar. Er betont, dass der Teufel hier im Detail stecke: Wie stellen die Hyperscaler zum Beispiel aus den USA sicher, dass im Zweifelsfall keine Daten herausgegeben werden, wenn man sie rechtlich dazu zwingt? Und gebe es eine Garantie, dass die Public Cloud, nur weil sie in einem deutschen Rechenzentrum aufgebaut wird, vollständig von der Hyperscaler-Cloud in einem anderen Rechtsraum getrennt ist? „Das Prädikat ,made in Germany‘ mag gelitten haben, doch für die Cloud-Angebote in sensiblen Branchen hat das Thema zunehmend mehr Gewicht und steht für Vertrauen.“

Nach Einschätzung von Henrik Hasenkamp braucht es nicht zwingend Lösungen aus Deutschland. „Aber europäische Lösungen haben aus meiner Sicht schon signifikante Vorteile hinsichtlich der Compliance und der Handhabung besonders schützenswerter Daten“, betont der CEO von Gridscale. Für einige Unternehmen seien dann noch besonders hohe Anforderungen hinsichtlich des Geheimnisschutzes relevant, um ihre Verfahren und Patente vor möglicher Industriespionage zu schützen. „Hier – meine persönliche Sicht – ist der rechtliche Raum innerhalb der europäischen Union doch eindeutig zu bevorzugen gegenüber Datenspeicherung und Verarbeitung außerhalb dieser Rechtsräume.“

Wer auf Nummer sicher gehen will, sollte also darauf achten, dass er sich für einen Cloud-Anbieter entscheidet, der nicht nur seine Server in Europa betreibt, sondern auch seinen Firmensitz in Europa hat. Denn ob USA Patriot Act, Safe Harbor, EU-US Privacy Shield oder CLOUD Act – vor allem die Vereinigten Staaten, in denen die großen Hyperscaler ihren Hauptsitz haben, sorgen mit immer neuen Gesetzen für ordentlich Zündstoff in der Diskussion um Datenschutz und Datensouveränität. So verpflichtet zum Beispiel das jüngste Bundesgesetz zu diesem Thema – der seit 2018 bestehende CLOUD Act (Clarifying Lawful Overseas Use of Data Act) – US-amerikanische Firmen dazu, US-Behörden auch dann Zugriff auf Daten zu ermöglichen, wenn die Daten außerhalb der USA gespeichert sind.

Wenn also ein Anbieter aus den USA etwa einen Server-Standort in Frankfurt anbietet, so ist laut Henrik Hasenkamp davon auszugehen, dass auf entsprechende Anordnung beispielsweise der US-Geheimdienste ein Durchgriff auf die Infrastruktur in Frankfurt erfolgt. „Dieses Durchgriffsrecht lässt sich aus unserer Sicht nicht durch den gewählten Standort vermeiden. Wir blicken daher der Datenverarbeitung sensibler Daten auf Infrastrukturen außerhalb der EU genauso skeptisch entgegen wie der inländischen Verarbeitung auf Infrastrukturen, die zum Beispiel einem US-amerikanischen Unternehmen gehören.“

Doch das Land des Cloud-Anbieters ist nicht immer das entscheidende Kriterium, berichtet Marc Korthaus, Geschäftsführer von Syseleven. Es gehe hauptsächlich darum, für den jeweiligen Zweck den am besten passenden Anbieter zu finden. „Die kleineren Anbieter punkten immer, wenn es um schnellen, guten, persönlichen Service und Verständnis für die besonderen Anforderungen geht. Auch Branchenlösungen und -wissen können hier eine Rolle spielen.“ In die Bewertung des Risikos der Wahl eines Cloud-Providers müsse natürlich auch einfließen, dass DSGVO-Verstöße beträchtliche Strafen nach sich ziehen können. Sein Tipp: „Wer die Kontrolle über seine Daten behalten will, entscheidet sich für Open-Source-basierte Plattformen, die mit den großen Hyperscalern kompatibel und interoperabel sind und einen möglichst reibungslosen Anbieterwechsel ermöglichen.“ Der Vorteil der meisten alternativen Anbieter sei, dass sie auf cloudnative Lösungen wie Kubernetes setzen, mit denen eine Migration zwischen Anbietern einfach möglich sei. „Im Ergebnis sinkt der Lock-in und nicht der Anbieter entscheidet, wie hoch die Rechnung ausfallen wird“, so Korthaus weiter.