Trennung von der Public Cloud

Oracle baut souveräne EU-Cloud

11.07.2022
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Ab 2023 will Oracle eine speziell auf die strengen Datenschutzregularien der Europäischen Union zugeschnittene Cloud-Infrastruktur anbieten. Betrieb und Zugriff sollen auf Personen innerhalb der EU beschränkt werden.
Daten europäischer Kunden sollen sicher in der souveränen EU-Cloud abgelegt und verarbeitet werden können, verspricht Oracle.
Daten europäischer Kunden sollen sicher in der souveränen EU-Cloud abgelegt und verarbeitet werden können, verspricht Oracle.
Foto: Ivan Marc - shutterstock.com

Oracle hat angekündigt, souveräne Cloud-Regionen für Kunden in der Europäischen Union einzuführen. Immer mehr Unternehmen und Behörden würden geschäftskritische Workloads in die Cloud verlagern. Damit steige auch die Nachfrage nach besserem Schutz sensibler Daten, begründet der IT-Anbieter seine Initiative. Gesetze und Regularien in Europa erforderten es, Daten innerhalb bestimmter Grenzen zu halten. Außerdem verlangten die Unternehmen von ihren globalen Cloud-Anbietern mehr Transparenz und Kontrolle darüber, wie und wo ihre Daten gespeichert, verarbeitet und gesichert werden.

Oracle betreibt bereits Cloud-Regionen in Großbritannien und Nordamerika, die laut Anbieter für hochsensible Regierungsanforderungen ausgelegt sind. Außerdem bietet das Unternehmen seinen Kunden die Möglichkeit an, eine "Oracle Cloud Infrastructure (OCI) Dedicated Region" einzurichten. Dabei handelt es sich um eine Cloud-Infrastruktur, die unmittelbar in den Rechenzentren der Kunden implementiert und betrieben wird. Zusätzlich zu diesen Angeboten plant der Anbieter nun, im Jahr 2023 neue souveräne Cloud-Regionen für die EU einzuführen.

Oracle: Daten werden nicht zwischen Cloud-Regionen verschoben

"Sowohl private Unternehmen als auch Organisationen des öffentlichen Sektors in der gesamten EU sollen diese neuen OCI-Sovereign-Cloud-Regionen nutzen können, um Daten und Anwendungen zu hosten, die sensibel, reguliert oder von strategischer regionaler Bedeutung sind", beschreibt Scott Twaddle, Vice President für den Bereich Oracle Cloud Infrastructure Product and Industries, das neue Cloud-Angebot. Grundsätzlich würden bereits heute keine Kundeninhalte aus den Cloud-Regionen heraus verschoben, die Kunden für ihre Workloads auswählen, sagt der Manager. Die Sovereign Cloud erweitere diese Praxis, indem sie den Betrieb und die Zuständigkeit für den Kundensupport auf in der EU ansässige Personen beschränkt.

Die ersten beiden souveränen Cloud-Regionen für die EU will Oracle in Deutschland und Spanien einrichten. Diese Regionen seien dann logisch und physisch von den bestehenden öffentlichen OCI-Regionen in der EU getrennt, verspricht der Anbieter. Derzeit betreibt Oracle sechs öffentliche OCI-Regionen in der EU: Amsterdam, Frankfurt, Paris, Marseille, Mailand und Stockholm.

Privacy Shield reloaded: USA und EU schmieden neuen Datenschutzpakt

In der souveränen EU-Cloud will Oracle sämtliche OCI-Services anbieten, die auch in der bestehenden Public Cloud verfügbar sind, sowie Anwendungsservices, deren Betrieb nach European Union Restricted Access (EURA) geregelt ist. EURA-Kunden, die Oracles Fusion Cloud Applications nutzen, sollen in das neue Cloud-Angebot migriert werden. Preislich soll sich die EU-Cloud nicht von den bestehenden Angeboten unterscheiden, hieß es. Kunden könnten wie in der Public Cloud Oracle Universal Credits nutzen, um Services zu erwerben, und an OCI-Programmen wie Support Rewards teilnehmen.

Framework für Daten- und Betriebssouveränität

Die neuen souveränen Cloud-Regionen werden auf Basis von Richtlinien und Governance operieren, die die bestehenden Fähigkeiten von OCI in Bezug auf Datenresidenz, Sicherheit, Datenschutz und Compliance weiter verbessern, verspricht Oracle-Manager Twaddle. Diese zusätzlichen Richtlinien würden einen Rahmen für die Daten- und Betriebssouveränität schaffen, einschließlich der Art und Weise, wie Kundendaten gespeichert und abgerufen werden und wie staatliche Anfragen nach Daten behandelt werden.

Erste Interessenten für Oracles EU-Cloud scheint es bereits zu geben. "Cloud-Dienste mit Rechenzentren, die sich in der EU befinden und von in der EU ansässigen Personen betrieben, aktualisiert und unterstützt werden, während die Isolierung von Cloud-Regionen außerhalb der EU beibehalten wird, sind ein wichtiger Bestandteil unserer Cloud-Einführung", sagte Jarkko Levasma, Government CIO und Generaldirektor des finnischen Finanzministeriums. "Dies wird der finnischen Regierung die Möglichkeit eröffnen, Infrastruktur, Plattformen und Software als Service zu nutzen."

Auch Microsoft bietet EU-Cloud an

Auch andere Cloud-Anbieter arbeiten daran, ihren Cloud-Betrieb in der EU regelkonform abzusichern. Microsoft hatte im Mai 2021 eine entsprechende Initiative angekündigt. "Wir haben heute ein wichtiges Versprechen für unsere Kunden in Europa gegeben", erklärte vor gut einem Jahr Microsoft President und Chef-Justiziar Brad Smith. "Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern." Das bedeutet, dass Microsoft eine EU-Datengrenze für seine zentralen Cloud-Lösungen einführen will. "Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen", versicherte der Microsoft-Manager.

Microsoft-Manager Brad Smith versprach den europäischen Cloud-Kunden, dass deren sämtliche Daten innerhalb der EU-Grenzen gespeichert und verarbeitet würden.
Microsoft-Manager Brad Smith versprach den europäischen Cloud-Kunden, dass deren sämtliche Daten innerhalb der EU-Grenzen gespeichert und verarbeitet würden.
Foto: G Holland - shutterstock.com

Für Verunsicherung in Europa ist groß. Dafür haben in den vergangenen Jahren vor allem zwei Urteile des Europäischen Gerichtshofs gesorgt. 2015 kippten die Richter auf Betreiben des österreichischen Datenschutzaktivisten Max Schrems die Safe Harbour-Vereinbarung. Im vergangenen Jahr erklärte das Gericht auch die Nachfolgeregelung Privacy Shield für ungültig. Beide Vereinbarungen sollten eigentlich den Datenaustausch zwischen Europa und den USA auf eine sichere Basis stellen. Die Bemühungen der US-Anbieter, mit Zusicherungen zu Data-Center-Standorten und Standardvertragsklauseln für Datenschutz zu sorgen, reichen nach den jüngsten Urteilen nicht aus.

Wer darf auf die Cloud-Daten zugreifen?

Die Verantwortlichen in vielen europäischen Unternehmen befürchten, dass gerade US-Anbieter wie Microsoft durch Gesetze in den Vereinigten Staaten gezwungen sind, in deren Clouds gespeicherte Kundendaten im Bedarfsfall an US-Behörden herauszugeben. Insbesondere der seit März 2018 geltende Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wird mit großem Argwohn betrachtet. Das Gesetz verpflichtet amerikanische Internet- und Cloud-Anbieter sowie IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den USA erfolgt. Das kann massive Auswirkungen auf den Markt und den Wettbewerb haben. Zumal US-Geheimdienste von ihrem Auftrag her verpflichtet sind, die heimische Wirtschaft zu unterstützen.

Ob die Initiativen der Cloud-Anbieter im derzeit herrschenden rechtlichen Vakuum tatsächlich für mehr Datenschutz sorgen können, bleibt fraglich. Datenschützer Schrems hat bereits im vergangenen Jahr Zweifel angemeldet. Microsoft bleibe rechtlich weiter für die Daten in seiner Cloud verantwortlich und unterliege als US-Unternehmen auch der US-Rechtsprechung. "Nachdem Microsoft USA anscheinend weiter Zugriff auf die Daten hat, müssen sie die Daten nach US-Recht weiter herausgeben", sagte Schrems der Deutschen Presse-Agentur. "Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben."