Cloud-Anbieter in Europa – und die Unsicherheit der Datenverarbeitung

Die Datenschutzgrundverordnung und Cloud-Anbieter

Das Thema Datenschutzgrundverordnung hat ja einigen Unternehmen und Personen viel Stress gemacht und wird uns die nächsten Monate (wenigstens bis eine Rechtssicherheit da ist) noch weiter verfolgen. Aber während man auf der einen Seite AV-Verträge mit Microsoft (O365 oder Azure), Amazon (AWS) oder sonst einem internationalen Cloud-Anbieter ausfüllt- und auf der anderen Seite heute z. B. in den Nachrichten von einem großen deutschen Provider liest, der mittlerweile rund 2 Tage einen Teil seiner RZs aufgrund einem technischen Fehler offline hat macht man sich doch schon etwas Gedanken, wie der zukünftige Weg aussieht.

Cloud-Services: Technisch top-of-the-top

Wie an anderer Stelle von mir auch schon geschrieben, bin ich der Meinung, dass die Cloud-Dienste, die von den ganz großen Cloud-Anbietern geboten werden, technisch absolut top-of-the-top sind. Die Möglichkeiten was Features, Skalierbarkeit und Sizing angeht, sind absolut traumhaft. Aber wenn man sich mal den immer strenger werdenden Datenschutz in der Europäischen Union anschaut (der sicherlich zu recht streng ist, ob zu streng wird sich zeigen wie die Akzeptanz aussieht), der mittlerweile auf Unternehmen was die Auswahl externer Anbieter (wie Cloud-Anbieter) einen sehr großen Einfluss hat, muss sich jeder IT-Verantwortliche früher oder später die Frage stellen, ob die bisherige Cloud-Strategie noch der richtige Weg ist.

Datenschutz und Cloud-Anbieter – Wege ins außereuropäische Ausland

Aus Sicht des Datenschutzes kann ein Unternehmen der Europäischen Union momentan ein Cloud-Anbieter aus den USA nur unter den folgenden Umständen überhaupt als Dienstleister in Betracht ziehen:

a) Der Anbieter lässt sich freiwillig über das Privacy Shield zertifizieren und erlaubt somit die Möglichkeit, recht normale AV-Verträge abzuschließen oder

b) Über die EU Standardvertragsklauseln oder über

c) Corporate Binding Rules (auf die ich hier nicht näher eingehen möchte, weil sie eigentlich auf einige wenige Großkonzerne abzielen) oder durch

d) Explizite Zustimmung des Betroffenen bezüglich der Weiterleitung personenbezogener Daten (diese Möglichkeit werde ich hier ebenfalls nicht näher diskutieren, da sie im praktischen Umfeld aus meiner Sicht nicht praktikabel ist).

Weg a) hat in der Vergangenheit schon nicht sauber funktioniert, der Vorgänger vom Privacy Shield, Safe-Harbor, wurde 2015 gekippt, das zeigt schon, dass das ein recht heikles, und vor allem nicht zwingend zukunftsträchtiges, Modell ist. Aktuell häuft sich die Kritik an diesem Modell, z. B. von der Artikel-29 Gruppe oder von https://community.beck.de/2016/04/13/usa-eu-privacy-shield-die-datenschutzbeh-rden-sind-nicht-so-ganz-einverstanden. Auch Peter Schaar hatte sich 2017 schon dazu geäußert. Es kann also durchaus sein, dass dies mittelfristig ebenfalls komplett auffliegen wird. Eine langfristige Planung sieht anders aus.

Die EU Standardvertragsklauseln sind ein funktionierendes Konstrukt, das recht einfach umzusetzen ist. Allerdings besteht trotzdem die Frage nach der nachhaltigen Rechtssicherheit Richtung non-EU-Ländern wie z. B. die USA. Ein entsprechendes politisches Umdenken (das vielleicht mit America First schon begonnen hat) kann hier sicherlich recht schnell Abhilfe in die falsche Richtung schaffen. Es wird die Zeit kommen, da wird die EU von einem Ausschluss aus US-Cloud-Anbietern mehr getroffen sein, als von Automobil-Zöllen.

Die EU benötigt Cloud-Power

Worauf ich eigentlich hinaus möchte ist folgendes: Stand jetzt stellen, wie oben beschrieben, die große Cloud-Anbieter, primär aus den USA, den defacto-Standard dar. Die Frage ist nur: Möchten sich die EU-Unternehmen langfristig so von US-Anbietern abhängig machen lassen? Wenn man sich die o. g. Punkte anschaut, ist auch meiner Sicht die einzige gangbare und langfristig-sichere Variante die Etablierung von qualitativ annähernd “guten” Cloud-Services in der EU. Und zwar ohne eine implizite Übertragung von Daten ins EU-Ausland- aber natürlich mit der Option einer eben solchen, um auch international agierenden Unternehmen Ihre notwendigen Optionen zu lassen. Haben wir aktuell solche Anbieter? Aus meiner Sicht haben wir die diese nicht.

Fazit: Das ist noch ein lange Weg

Was wäre ein denkbarer Weg? Etablierung von Europäischen Cloud-Services durch Europäische Unternehmen, möglicherweise auch durch ein Zusammenschluss mehrerer Unternehmen. Die müssten eine hohe Redundanz bieten, europaweit einheitliche Funktionen, speziell zum Thema Datenschutz zur Verfügung stellen- aber vor allem auch ein vernünftiges und ausreichend großes Feature-Set, um den Unternehmen auch die notwendigen Alternativen bieten zu können. Außerdem sollte eine Abhängigkeit von non-EU-Unternehmen vermieden werden- ansonsten wäre man wieder am selben Punkt wie jetzt.

Gibt es hierzu schon Ansätze? Sicherlich gibt es einige Hoster/Cloud-Anbieter, die hier einen guten Anfang machen- aber en gros gibt es einfach nichts, was annähernd in dieser Liga mitspielen kann. Was bleibt zu tun? In die richtige Richtung denken und die innereuropäische IT stärken. Und bis dahin im Hinterkopf haben, dass der aktuelle Status quo was diese rechtliche Situation angeht, langfristig vielleicht nicht rock-stable ist.

Sind Sie anderer Meinung? Dann lassen Sie es mich wissen!

 

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere