Public Cloud, Safe Harbor und Datenschutz

Anwender wollen gar keine "deutsche Cloud"

31.01.2016
Von 
Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.
Ob Unternehmensdaten in der Cloud "sicher" sind, hängt davon ab, welchen Datenschutzregeln der jeweilige Anbieter verpflichtet ist. Häufig geht hier es um Europa vs. USA. Nachdem der EuGH das Safe-Harbor-Abkommen gekippt hat, schwirren wieder deutlich mehr Fragen als Antworten durch die IT-Welt.
  • Geht es um die Herausgabe von Datenbeständen von Kunden, die im Cloud-Rechenzentrum eines Service-Providers lagern, verfolgen inländische wie ausländische Anbieter dieselbe Linie: Sie informieren ihre Kunden über entsprechende Anfragen von Behörden.
  • Die Forderungen nach einer rein "deutschen Cloud" kommen nicht etwa von den Anwendern, sondern sind das Gedankengebilde kreativer Marketingmanager. Einzig innerhalb der EU sollten die Daten nach dem Willen der Anwender dann schon gespeichert sein.
  • Weil Safe Harbor nun gekippt wurde, sollten Unternehmen zumindest vorerst bis zur endgültigen Rechtssicherheit pragmatisch vorgehen: Vertraglich den bestmöglichen Schutz regeln, zusätzlich die Daten selbst vor dem Weg in die Cloud verschlüsseln.

Zwei Jahre ist es her, dass Edward Snowden im Sommer 2013 das Sammeln und Auswerten aller Arten von Daten durch amerikanische und britische Geheimdienste publik machte. Heute sind die Nutzer und Anbieter von Cloud-Computing-Diensten darum bemüht, eine pragmatische Sicht auf das Thema Cloud zu gewinnen. Das spiegelt sich in Marktdaten wider.

So nutzen nach Angaben der deutschen Markforschungsgesellschaft Crisp Research bereits 75 Prozent der Unternehmen in Deutschland Cloud-Services. An die 57 Prozent davon setzen auf eine Hybrid Cloud, also eine Mischung aus einer Private Cloud, die über das eigene Rechenzentrum bereitgestellt wird, und die Nutzung von Public-Cloud-Diensten. Solche öffentlichen Cloud-Services stellen beispielsweise Microsoft über seine Azure-Plattform, Amazon Web Services (AWS), Google, aber auch IBM und Salesforce.com bereit. Hinzu kommt eine große Zahl von Anbieter aus dem deutschen Raum, von T-Systems über Host Europe, 1&1, QSC und Strato bis hin zu Cancom Pironet NDH.

Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum.
Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum.
Foto: Synergy Group

"Unternehmen, aber auch öffentliche Einrichten haben erkannt, dass ihnen Public Cloud Services wirtschaftliche Vorteile bringen und sie in die Lage versetzen, sich auf ihr Kerngeschäft zu konzentrieren", sagt Constantin Gonzalez, Solutions Architect bei Amazon Web Services (AWS), dem derzeit mit Abstand größten weltweiten Anbieter von Cloud-Diensten. "Nach einer Phase der Skepsis gegenüber Cloud-Services setzen deutsche Unternehmen nun verstärkt solche Dienste ein." Gonzalez verweist dabei auf Kunden von AWS wie Zalando und den Automobilhersteller Audi.

Finger weg von Kundendaten

Nach wie vor ein kritischer Faktor im Bereich Cloud Computing ist der Schutz der Daten der Nutzer. Geht es um die Herausgabe von Datenbeständen von Kunden, die im Cloud-Rechenzentrum eines Service-Providers lagern, verfolgen inländische wie ausländische Anbieter dieselbe Linie: Entsprechende Anfragen von Behörden werden dem Kunden zur Kenntnis gebracht. Ein automatischer Transfer von Informationen zu Geheimdiensten oder Ermittlungsbehörden findet nach Angaben der Unternehmen nicht statt, schon gar nicht ohne gültigen Beschluss des Landes, in dem die Daten gespeichert sind.

"Sollte eine solche Anfrage bei uns eingehen, prüfen wir diese und informieren anschließend den Kunden", sagt Constantin Gonzalez. Allerdings räumt er ein, dass sich AWS gegen berechtigte Anfragen von Behörden nicht sperren könne. "Solche Anfragen treten jedoch höchst selten auf", so Gonzalez.

Eine vergleichbare Position nimmt der deutsche Software-Anbieter SAP ein. Das Unternehmen hat den Zug der Zeit erkannt und setzt verstärkt auf die Cloud, um seine Lösungen zu vermarkten. "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb - abhängig vom jeweiligen Cloud-Produkt - die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU betreibt", erläutert Hartmut Thomsen, Managing Director der SAP Deutschland. Darüber hinaus bietet SAP laut Thomsen sowohl im Cloud-Bereich als auch bei Supportleistungen für gekaufte Software ein Modell an, bei dem Zugriffe auf das Kundensystem, in dem personenbezogene Daten gespeichert sind, von SAP grundsätzlich nur aus den Mitgliedstaaten der Europäischen Union, des Europäischen Wirtschaftsraumes und der Schweiz erfolgen.

Microsoft als Vorkämpfer

Dennoch ist die Debatte um den Datenschutz in der Cloud in vollem Gange. Microsoft, Google, Amazon und andere Cloud-Service-Provider in den USA wehren sich derzeit gegen den Anspruch amerikanischer Gerichte und Behörden, auf Datenbestände zugreifen zu können, die in Rechenzentren von Cloud-Anbietern mit Hauptsitz in den Vereinigten Staaten lagern. Dieses Zugriffsrecht soll unabhängig davon gelten, in welchem Land und Rechtsraum sich ein solches Data Center befindet - in den USA, Deutschland, Irland oder den Niederlanden.

Mit Spannung erwarten Nutzer von Public-Cloud-Services, Rechtsexperten und die gesamte Anbieterszene von Cloud-Diensten daher den Ausgang eines Verfahrens, das derzeit Microsoft in den USA führt. Es geht um den Durchsuchungsbeschluss eines Bezirksgerichts in New York. Dieses hatte Ende 2013 von Microsoft die Herausgabe von E-Mails eines Kunden von Microsoft verlangt, die dieser in Microsofts Cloud-Data Center in Irland gespeichert hatte. Als sich Microsoft weigerte, wurde das Unternehmen zur Herausgabe der E-Mails des Beschuldigten verurteilt. Microsoft legte gegen die Entscheidung des Gerichts Berufung ein. Das Verfahren läuft gegenwärtig noch.

Microsoft wehrt sich gerichtlich gegen die US-Behörden.
Microsoft wehrt sich gerichtlich gegen die US-Behörden.

Es ist nicht verwunderlich, dass rund 30 IT-Firmen aus den USA Microsoft unterstützen, darunter Branchengrößen wie Amazon, Apple, Cisco, HP und Verizon. Denn ein Urteil, dass die Reichweite der amerikanischen Justiz auf Cloud-Rechenzentren von AWS, Microsoft und Co. in Europa ausdehnen würde, wäre schlecht für das Geschäft in dieser Region.