EU-Clouds für besseren Datenschutz?

Salesforce ist nicht der einzige Anbieter, der versucht mit einer dediziert europäischen Cloud-Plattform Datenschutzbedenken seiner Kundschaft zu zerstreuen. Oracle hatte im vergangenen Jahr angekündigt, ab 2023 souveräne, speziell auf die strengen Datenschutzregularien der EU zugeschnittene Cloud-Regionen für Kunden in der Europäischen Union einzuführen. Betrieb und Zugriff sollen auf Personen innerhalb der EU beschränkt werden. Die ersten beiden souveränen EU-Cloud-Regionen will Oracle in Deutschland und Spanien einrichten. Diese seien dann logisch und physisch von den bestehenden öffentlichen Oracle Cloud Infrastructure (OCI) in der EU getrennt, verspricht der Anbieter.

Microsoft hatte im Mai 2021 eine vergleichbare Initiative angekündigt. "Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern", erklärte damals Microsoft President und Chef-Justiziar Brad Smith. Das bedeute, dass Microsoft eine EU-Datengrenze für seine zentralen Cloud-Lösungen einführen will. "Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen", versicherte der Microsoft-Manager.

EU-Daten im Visier der US-Geheimdienste

Microsofts Bemühungen sind ein Beleg dafür, dass die Verunsicherung auf Seiten der Anwender nach wie vor groß ist. Viele europäische Unternehmen befürchten, dass große US-Anbieter durch Gesetze in den Vereinigten Staaten gezwungen sein könnten, Kundendaten in einem - wie auch immer definierten - Bedarfsfall an US-Behörden herauszugeben.

Insbesondere der seit März 2018 geltende Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wird mit viel Argwohn betrachtet. Das Gesetz verpflichtet amerikanische Internet- und Cloud-Anbieter sowie IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den USA erfolgt. Das schürt das Misstrauen, zumal US-Geheimdienste von ihrem Auftrag her verpflichtet sind, die heimische Wirtschaft zu unterstützten.

Noch kein Datenabkommen mit den USA in Sicht

Dazu kommt, dass es derzeit kein gültiges Abkommen für den transatlantischen Datenverkehr gibt. 2015 hatten die Richter am Europäischen Gerichtshof (EuGH) auf Betreiben des österreichischen Datenschutzaktivisten Max Schrems die Safe Harbour-Vereinbarung gekippt. 2020 erklärte das Gericht auch die Nachfolgeregelung Privacy Shield für ungültig. Beide Vereinbarungen sollten eigentlich den Datenaustausch zwischen Europa und den USA auf eine sichere Basis stellen.

Auch das neue geplante Data Privacy Framework, das US-Präsident Joe Biden und EU-Kommissionpräsidentin Ursula von der Leyen vor einem Jahr auf den Weg gebracht hatten, steht auf der Kippe. Ein Ausschuss des EU-Parlaments hatte empfohlen, den vorliegenden Entwurf abzulehnen, da das Schutzniveau für Daten europäischer Bürgerinnen und Bürger nicht ausreiche.