Adel Al-Saleh: Durch die enge Zusammenarbeit wissen wir, dass die amerikanischen Cloud-Größen schon sehr viel für die Datensicherheit tun. Unsere Partnerschaften mit den großen Drei kommen nicht von ungefähr. Immer mehr Kunden fragen nach deren Cloud-Services. Aber als amerikanische Unternehmen unterliegen sie eben auch "nur" der amerikanischen Rechtsprechung.

Ihre Antwort war jetzt eher allgemein, welche Auswirkungen hat denn der US Cloud Act für die Nutzer der Hyperscaler? Schließlich soll er den US-Behörden den Zugriff auf Daten im Ausland gewährleisten.

Al-Saleh: Hier sind erst einmal die Hyperscaler selbst gefordert. Natürlich wollen wir weiter mit ihnen zusammenarbeiten, aber besonders im Sinne unserer Kunden brauchen wir hier Lösungen. Eine Möglichkeit wäre, eine zusätzliche Sicherheitsebene einzuziehen, zum Beispiel indem wir Daten verschlüsseln, verfremden und den Zugriff genau managen. Das ist dann ein echter Mehrwert für die Anwender. Zumal viele Unternehmen ja nicht nur eine Cloud in Betrieb haben, sondern ganze Multi-Cloud-Landschaften. GAIA-X könnte ein Ansatz sein, um dies zu lösen.

"Hier geht es auch um europäische Werte"

Wie kann dann ein Hyperscaler Cloud-Act-konform sein und gleichzeitig die DSGVO einhalten?

Al-Saleh: Das ist ein Dilemma, an dessen Lösung zurzeit viele Experten arbeiten - auf juristischer, auf technischer und letztlich auch auf politischer Ebene. GAIA-X könnte so ein Lösungsansatz sein. Auch viele Anbieter, die nicht aus Europa kommen, wollen mitmachen. Wenn diese dann die Anforderungen nach Transparenz und Offenheit erfüllen, wie sie für GAIA-X definiert werden, haben wir viel gewonnen. Hier geht es nicht nur um technologische Expertise, sondern um europäische Werte.

Gilt das für alle Server/Rechenzentren der Hyperscaler in Europa?

Al-Saleh: Ja. Wer bei GAIA-X mitmachen will, verpflichtet sich auch dem ideellen und juristischen Rahmenwerk. Da kann man sich nicht einfach die Rosinen herauspicken. Unsere europäischen Werte gelten unabhängig vom Standort einzelner Rechenzentren.

Und wie verhält es sich, wenn ein Hyperscaler seine Cloud-Services im Rechenzentrum eines deutschen Betreibers hostet?

Al-Saleh: Entscheidend sind Kontext und Zweck: Wer möchte auf die Daten zugreifen - und warum? Das Hosting auf deutschen Servern hilft nur, wenn dort die Zugriffe der Hyperscaler wirklich gesperrt werden können, zum Beispiel zu administrativen Zwecken oder zur Wartung im Notfall.

Welches Recht gilt dann?

Al-Saleh: Es gilt immer das Recht der verantwortlichen Stelle. Das ist dann meistens der Auftraggeber des Service Providers. Eine "Rechtsflucht" ist damit nicht möglich, die Daten ins Ausland zu verlegen keine Option. Umgekehrt darf auch keine Partei ihren Anspruch in andere Rechtssysteme hinein ausweiten, um die jeweilige staatliche Souveränität nicht zu verletzen.

"Hier ist der Staat gefragt"

Wer haftet im Falle eines Verstoßes gegen einen DSGVO-konformen Datenschutz - der Hyperscaler oder der Anwender?

Al-Saleh: Grundsätzlich haftet der Auftraggeber oder Kunde für die ihm anvertrauten Daten. Doch dieser kann in bestimmten Fällen den verantwortlichen Hyperscaler in Regress nehmen - nämlich dann, wenn dieser sich seinerseits nicht an die Datenschutzvereinbarungen gehalten hat.

Die Cloud lebt von Agilität und dynamischem Load Balancing, um skalierbar auf unterschiedliche Rechenanforderungen/lasten zu reagieren. Wie steht es um den Datenschutz, wenn der Hyperscaler im Zuge des Balancing die Daten in anderes Data Center verschiebt?

Al-Saleh: Das Load Balancing spielt für Datenschutz-Fragen keine Rolle. Diese richten sich immer nach den zu verarbeitenden persönlichen Daten und dem Sitz des Unternehmens, das mit seinen Kunden letztendlich interagiert. Auch hier ist egal, wo die entsprechenden Server tatsächlich stehen.

Führt vor diesem Hintergrund GAIA-X nicht in eine Sackgasse und löst die Datenschutz-/Datensouveränitäts-Frage nicht, wenn die US-Hyperscaler mit im Boot sind?

Al-Saleh: Das sehe ich anders. GAIA-X definiert die Regeln und Standards, nach denen Daten ausgetauscht und verarbeitet werden können - und das auf der Grundlage europäischen Rechts. Wenn die Hyperscaler diese Standards erfüllen, ist viel gewonnen. Denn GAIA-X stellt sicher, dass die Besitzer der Daten die Hoheit über eben diese behalten und jederzeit entscheiden können, wer darauf zugreifen darf - und wer nicht. Entscheidend ist, dass die europäischen Unternehmen neue, datengetriebene Geschäftsmodelle entwickeln und dabei die Datensouveränität behalten.

Kunden, die besonders hohe Ansprüche an Datenschutz und -sicherheit stellen, können schon heute rein europäische Public Clouds nutzen. Dazu gehören etwa die öffentliche Hand, Forschung oder Kunden aus dem Gesundheitswesen. Für den Erfolg von GAIA-X ist daher gar nicht so entscheidend, ob die Hyperscaler an Bord sind - vielmehr zählt, dass das Projekt jetzt schnell skaliert. Dafür braucht es Behörden und öffentliche Verwaltung als gesicherte Nachfrager. Hier ist der Staat gefragt. Die amerikanischen Anbieter sind auch durch genau diese Unterstützung in ihrem Heimatmarkt so schnell gewachsen.

Apropos GAIA-X, besteht nicht die Gefahr, dass die Hyperscaler versuchen werden, die Datenschutzregeln aufzuweichen, wenn sie an den Spezifikationen mitarbeiten dürfen?

Al-Saleh: Dem ist über die organisatorische Struktur bereits ein Riegel vorgeschoben. Das Board of Directors (AISBL) trifft alle Beschlüsse der Trägerstiftung von GAIA-X - ohne Ausnahme. Und dieses Board ist ausschließlich mit Europäern besetzt. Es mandatiert die Mitglieder des Policy & Rules Committee, die die Standards entwickeln. Das Komitee steht daher nicht jedem offen. Und, besonders wichtig: Wir streben mit GAIA-X ein größeres, verteiltes System an.

Ein System, in dem Rechenzentren nach Ort, Leistung, Qualität und Preis frei wählbar und untereinander austauschbar sind. So erhalten die Nutzer wieder Souveränität über ihre Daten. Das unterstützen wir als Deutsche Telekom. Das ist natürlich ein anderer Ansatz als der der potenziell monopolistisch denkenden Hyperscaler. Aber das wissen diese auch. Ich bin mir sicher: Pragmatische Lösungen sind auch in ihrem Interesse. Und daher befürworten wir eben auch die Zusammenarbeit.

Die Deutschland-Cloud war nicht agil genug

Sie beziehungsweise T-Systems hat ja versucht, gemeinsam mit Microsoft eine Deutschland-Cloud aufzubauen, die aber am mangelnden Kundeninteresse gescheitert ist. Hört bei den Anwendern das Interesse am Datenschutz auf, wenn es um die Kosten geht?

Al-Saleh: Als abgeschottete Cloud war das Projekt einfach nicht so agil und funktional, wie es mit einem offenen Ansatz hätte sein können. Und natürlich spielen Kosten für Unternehmen immer eine Rolle. Aber Datenschutz und Kosten gegeneinander zu rechnen, ist für mich zu kurz gedacht. Wir brauchen die digitale Souveränität in Europa. Unsere Stärken sind Erfindergeist, Innovation und industrielle Fähigkeiten. Wir schaffen vertrauenswürdige Geschäftsmodelle für die Gesellschaft. Und damit nimmt unser europäischer Ansatz die Grundwerte der Europäischen Union ernst - zu denen eben auch Datenschutz und Sicherheit gehören.

Europa braucht eine europäische Industriepolitik, um diese Werte zu fördern. Industrieförderung ist für mich keine Frage nationaler Befindlichkeiten, sondern setzt einen einheitlichen digitalen Markt und eine kontinentale Ausrichtung voraus, etwa bei Fusionen, im Kartellrecht und bei der Regulierung. Dieser sollte sich nicht abschotten gegen andere, sondern offen sein - immer unter der Maßgabe, dass unsere europäischen Werte gewahrt bleiben.

Zum Datenschutz gehört auch die Haftungsfrage - wie uns etwa der Brand bei OVH verdeutlichte. Auf welcher Rechtslage haften die Hyperscaler? Nach US-, EU- oder deutschem Recht?

Das ist eine Frage an die amerikanischen Anbieter - aber eben auch eine, die wir für uns grundsätzlich und verbindlich klären müssen. Denn die OVH-Katastrophe ist natürlich ein absolutes Worst-Case-Beispiel, das vorher kaum jemand für möglich gehalten hätte, das wir fortan aber noch konsequenter mitdenken müssen. 10.000 betroffene Server, über drei Millionen Websites und eine halbe Million Domains - so etwas müssen wir unter allen Umständen verhindern.

Ganz konkret etwa wie mit unserer Zero-Outage-Strategie bei T-Systems: Die umfasst nicht nur Brandschutzsysteme wie Rauchmelder, Argon-Flutung und separierte Brandschutzzonen, sondern auch starke lokale Redundanz. Die meisten unserer Rechenzentren sind als Twin Cores konzipiert. Diese Zwillinge sind räumlich getrennt und spiegeln einander regelmäßig, wie etwa im Fall von Biere und Magdeburg. Sollte dann wirklich ein Rechenzentrum ausfallen, sind Daten und Anwendungen unserer Kunden noch im Zwilling vorhanden, so dass alle Systeme ohne Ausfälle weiterarbeiten können.