Safe Harbor Abkommen


// Folgen des EuGH-Urteils

Public Cloud, Safe Harbor und Datenschutz

Anwender wollen gar keine "deutsche Cloud"

Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.

Wo welche Datenschutzregeln gelten

Gerade im Fall Microsoft versus Vereinigte Staaten von Amerika spiegeln sich die unterschiedlichen Auffassungen wider, die derzeit in Bezug auf den Schutz von Daten in Cloud-Umgebungen dies- und jenseits des Atlantiks vorherrschen. Eine amerikanische Richterin vertrat im betreffenden Fall die Ansicht, dass nicht der physische Speicherort von Daten entscheidend sei, sprich Irland, sondern wer die Kontrolle über diese Informationen habe, also Microsoft. Eine US-Firma, die amerikanischem Recht unterliege, sei somit dazu verpflichtet, Daten gegebenenfalls herauszugeben, gleich, wo diese gespeichert sind.

Das widerspricht klar der Auffassung der EU. Sie vertritt das Territorialprinzip: Es gilt die Rechtsprechung desjenigen Landes, in dem Informationen in Cloud-Rechenzentren gespeichert und bearbeitet werden. Eine Annäherung ist derzeit nicht in Sicht. Die EU-Datenschutz-Grundverordnung, die bis Ende 2015 fertiggestellt werden soll, untermauert den Standpunkt der Europäischen Union.

Fast schon grotesk ist, dass sich die Anfrage des New Yorker Gerichts auf einen Fall von Drogenhandel bezieht. Die Ermittlungen und die Suche nach Beweisen sind somit in diesem und ähnlichen Fällen durchaus legitim. Höchst eigenwillig klingt die Argumentation des amerikanischen Gerichts dafür, dass es nicht den üblichen Weg über ein Rechtshilfeverfahren beschritten hat: Es sei gar nicht erforderlich, US-Ermittlern direkten Zugang zum Rechenzentrum von Microsoft in Irland einzuräumen, um an die gewünschten Informationen zu gelangen. Microsoft müsse die Informationen eh herausrücken. Zudem seien Rechtshilfeverfahren langwierig und würden die Ermittlungen gefährden. Das heißt, dem Zugriffsrecht des Staates, besser gesagt von US-Behörden, wird höhere Priorität eingeräumt als den Datenschutzregelungen in anderen Ländern.

Cloud made in Germany

Die Debatte um das Thema "Wer hat Zugriff auf meine Daten" hat dazu geführt, dass Cloud-Service-Provider mit Sitz in Deutschland und der EU damit werben, dass sie als Unternehmen dem deutschen und EU-Datenschutzrecht unterliegen: "Im Vergleich zu anderen Regionen gelten in der Europäischen Union und in Deutschland deutlich strengere Datenschutzregeln. Cloud Service Provider wie Pironet NDH, die in Deutschland ansässig sind, erfüllen diese Vorgaben", sagt beispielsweise Khaled Chaar, Managing Director Business Strategy bei Pironet NDH, einer Tochter des deutschen IT-Systemhauses Cancom. "Bei Anbietern mit Hauptsitz in Ländern außerhalb des EU-Rechtsraums müssen Kunden detailliert prüfen, welchen Regelungen diese Service Provider unterliegen und inwieweit sie die Vorgaben des EU-Datenschutzrechts erfüllen", so Chaar weiter.

Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei Anbietern mit Hauptsitz in Ländern außerhalb des EU-Rechtsraums müssen Kunden detailliert prüfen, welchen Regelungen diese Service Provider unterliegen und inwieweit sie die Vorgaben des EU-Datenschutzrechts erfüllen."
Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei Anbietern mit Hauptsitz in Ländern außerhalb des EU-Rechtsraums müssen Kunden detailliert prüfen, welchen Regelungen diese Service Provider unterliegen und inwieweit sie die Vorgaben des EU-Datenschutzrechts erfüllen."
Foto: Pironet NDH / Cancom

Speziell Unternehmen in Deutschland teilen diese Auffassung. So ergab eine Studie von der Beratungsunternehmen Bitkom Research und KPMG, dass es für zwei Drittel der Unternehmen wichtig ist, dass ein Cloud-Service-Provider seinen Sitz in Deutschland oder der EU hat. An die 75 Prozent der Befragten bevorzugen einen Provider, der zumindest ein Rechenzentrum im EU-Raum unterhält. Diese Vorgaben erfüllen nicht nur Anbieter von Cloud-Services wie Pironet NDH, T-Systems, Host Europe oder 1&1. Alle relevanten amerikanischen Cloud-Service-Provider haben mittlerweile Rechenzentren in Europa und Deutschland aufgebaut.

Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält.
Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält.
Foto: Bitkom Research / KPMG

"Wir sind beispielsweise in Frankfurt am Main präsent und tragen damit dem Wunsch von Kunden Rechnung, die Geschäftsdaten in einem Data Center in Deutschland speichern und bearbeiten möchten", sagt Constantin Gonzalez von AWS. Auch IBM (Softlayer), Salesforce.com und VMware betreiben Rechenzentren in Deutschland, vorzugsweise in Frankfurt. Andere Unternehmen, wie Microsoft und Google, beschränken sich auf Cloud-Data Center in EU-Ländern wie Irland oder Belgien.

Deutsche Cloud? Reines PR-Thema!

Der Hype rund um eine "Deutsche Cloud" hat jedoch auch Kritiker auf den Plan gerufen: "Anwender in Deutschland haben niemals nach einer 'Cloud Made in Germany' verlangt", sagt beispielsweise René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research. "Bei dem Ganzen handelt es sich schlichtweg um eine Idee einiger besonders kreativer Marketingmanager." Buest zufolge sollten sich deutsche Anbieter von Cloud-Diensten besser darauf konzentrieren, konkurrenzfähige Angebote auf den Markt zu bringen, damit sie vor allem mit den Services von amerikanischen Anbietern mithalten können.

Richtig ist jedoch laut Buest, dass ein Großteil der Chief Information Officer deutscher Unternehmen Cloud Service Provider danach bemessen, ob diese über ein Rechenzentrum in Deutschland oder zumindest in einem Mitgliedsland der Europäischen Union verfügen. Dies sei den rechtlichen Vorgaben und Datenschutzregelungen geschuldet. "Unternehmen sollten jedoch nicht den Faktor globale Präsenz eines Service-Providers unterschätzen", so Buest weiter. "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen. Das ist auch der Grund dafür, dass die Strategien in den Bereichen IT und Cloud von Beginn an aufeinander abgestimmt werden müssen."

Zur Startseite