Cloud-Infrastruktur: Warum nur europäische Anbieter angemessenen Datensouveränität und Datenschutz bieten können


Die Daten von Kunden und Unternehmen sind in der digitalisierten Ökonomie das wertvollste Gut. Um sie auch in der Cloud angemessen zu schützen, gibt es derzeit nur eine sichere Strategie: mit einem Cloud-Infrastruktur-Partner (IaaS) in mehrheitlich europäischem Besitz zu arbeiten.

Es ist kein Zufall, dass der Begriff «Datensouveränität» in den vergangenen Jahren eine immer wichtigere Bedeutung bei Entscheidungen zur IT-Infrastruktur in Unternehmen bekommt. Datensouveränität beschreibt die grösstmögliche Kontrolle über die eigenen Daten oder die Daten der Kunden. Dies umfasst nicht nur die Wahrung des Datenschutzes und der Privatsphäre, was in Europa etwa durch die DSGVO geregelt wird, sondern auch die Freiheit, jederzeit über die Speicherung, Verarbeitung, den Zugriff und die Nutzung von Daten frei entscheiden zu können. Um dies zu gewährleisten, braucht es nicht nur vertrauenswürdige IT-Partner, sondern auch Rechtssicherheit für eine vernetzte Wirtschaft, die auf der Cloud und digitalen Plattformen basiert. 

Was bedeutet es für europäische Unternehmen, wenn sie auf US-amerikanischen Cloud-Provider setzten? Seit dem Cloud Act, einem amerikanischen Gesetz von 2018, und dem so genannten «Schrems II»-Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020 gibt es keine Rechtssicherheit mehr. Mit «Schrems II» wurde der – von Anfang an umstrittene – EU-US-Privacy-Shield-Beschluss gekippt, eine Absprache zur Regelung des Schutzes personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Für europäische Unternehmen, die bereits Daten in US-amerikanischen Cloud verarbeiten oder lagern, bedeutet dies zusätzliche Risiken. So können sie etwa ihren Kunden nicht mehr garantieren, dass der Umgang mit den Daten der europäischen Datenschutz-Grundverordnung (DSGVO) entspricht.

Cloud-IaaS made in USA: Datenschutzniveau ist tiefer, Datensouveränität nicht garantiert

Das EuGH -Urteil aus dem Sommer 2020 bedeutet nicht nur, dass nach Ansicht der europäischen Höchstrichter in den USA grundsätzlich kein Datenschutzniveau wie in der EU herrscht, sondern bestätigt darüber hinaus auch, dass US-amerikanische Cloud-Services keine Datensouveränität für europäische Unternehmen und deren Kunden garantieren können. 

Warum? Selbst wenn Kunden sich für die europäischen Rechenzentren von US-Providern entscheiden, sind sie nach Auffassung der Datenschutzbehörden nicht auf der sicheren Seite. Laut amerikanischem Recht dürfen US-Behörden seit 2018 im Zuge des Cloud Acts auch dann auf die Daten von EU-Bürgern zugreifen. Gleichzeitig können sie als europäische Unternehmen ihre Rechtsansprüche nicht so einfach in den USA vor Ort durchsetzen – dies ist US-amerikanischen Unternehmen vorbehalten.

Die Reaktion US-amerikanische Anbieter von Cloud-Services zeigt sich am Beispiel Microsoft. Das Unternehmen sichert seinen Kunden zu: Sollte eine US-Behörde auf die Daten von europäischen Microsoft-Nutzern zugreifen wollen, will Microsoft dies anfechten und die Betroffenen informieren, so die offizielle Ankündigung. Und sollten US-Behörden dennoch darauf zugreifen, werden Kunden gegebenenfalls finanziell entschädigt. 

Das klingt gut, ist aber vor allem Marketing. Denn wie diese Entschädigung in der Praxis aussieht, ist derzeit noch nicht definiert, und im Falle des Falles bleibt der Kunde wohl trotzdem auf seinen Problemen sitzen. 

Standardvertragsklauseln schützen nicht vor Zugriff durch US-Behörden

Ein Vorstoss wie der von Microsoft ist nichts anders als eine Anpassung der Standardvertragsklauseln. Die Datenschutzbeauftragten des deutschen Bundeslandes Baden-Württemberg haben bereits festgestellt, dass dies nicht ausreicht, denn «eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.» (Quelle).

Die Phase der Rechtsunsicherheit geht damit für Kunden US-amerikanischer Cloud-Provider einmal mehr die Verlängerung. Gerade in Branchen, die bei Datenschutz- und Datensouveränitäts-Fragen besonders sensibel vorgehen müssen, wie etwa Banken und Gesundheitsorganisationen, hat niemand Interesse daran, dass Daten unbemerkt in die USA wandern oder gar unbemerkt von US-Behörden abgegriffen werden. Da US-Provider nicht garantieren können, dass dies unterbunden wird, ist es der sicherste Weg, auf europäische Provider in europäischem Besitz zu setzen.Und davon gibt es genug: Unternehmen wie etwa City Cloud aus Schweden, OVH mit Sitz im französischen Robaix, die Open Telekom Cloud der deutschen Telekom, die Angebote von United Internet (ebenfalls in Deutschland), die italienische Aruba CloudUpcloud aus Finnland und natürlich auch die Safe Swiss Cloud bieten nicht nur innovative Services und Knowhow, sondern tragen in ihrer DNA, was europäische Unternehmen dringend benötigen: Datenschutz und Datensouveränität.

Europäisch, sicher, compliant

Wie wir bei Safe Swiss Cloud die Datensicherheit und Datensouveränität für unsere Kunden sicherstellen.

Schreiben Sie einen Kommentar

vier × eins =

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Hinweis:
Sie können beim Kommentieren folgende HTML Tags und Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>