Zwei Jahre ist es her, dass Edward Snowden im Sommer 2013 das Sammeln und Auswerten aller Arten von Daten durch amerikanische und britische Geheimdienste publik machte. Heute sind die Nutzer und Anbieter von Cloud-Computing-Diensten darum bemüht, eine pragmatische Sicht auf das Thema Cloud zu gewinnen. Das spiegelt sich in Marktdaten wider.
So nutzen nach Angaben der deutschen Markforschungsgesellschaft Crisp Research bereits 75 Prozent der Unternehmen in Deutschland Cloud-Services. An die 57 Prozent davon setzen auf eine Hybrid Cloud, also eine Mischung aus einer Private Cloud, die über das eigene Rechenzentrum bereitgestellt wird, und die Nutzung von Public-Cloud-Diensten. Solche öffentlichen Cloud-Services stellen beispielsweise Microsoft über seine Azure-Plattform, Amazon Web Services (AWS), Google, aber auch IBM und Salesforce.com bereit. Hinzu kommt eine große Zahl von Anbieter aus dem deutschen Raum, von T-Systems über Host Europe, 1&1, QSC und Strato bis hin zu Cancom Pironet NDH.
Foto: Synergy Group
"Unternehmen, aber auch öffentliche Einrichten haben erkannt, dass ihnen Public Cloud Services wirtschaftliche Vorteile bringen und sie in die Lage versetzen, sich auf ihr Kerngeschäft zu konzentrieren", sagt Constantin Gonzalez, Solutions Architect bei Amazon Web Services (AWS), dem derzeit mit Abstand größten weltweiten Anbieter von Cloud-Diensten. "Nach einer Phase der Skepsis gegenüber Cloud-Services setzen deutsche Unternehmen nun verstärkt solche Dienste ein." Gonzalez verweist dabei auf Kunden von AWS wie Zalando und den Automobilhersteller Audi.
Finger weg von Kundendaten
Nach wie vor ein kritischer Faktor im Bereich Cloud Computing ist der Schutz der Daten der Nutzer. Geht es um die Herausgabe von Datenbeständen von Kunden, die im Cloud-Rechenzentrum eines Service-Providers lagern, verfolgen inländische wie ausländische Anbieter dieselbe Linie: Entsprechende Anfragen von Behörden werden dem Kunden zur Kenntnis gebracht. Ein automatischer Transfer von Informationen zu Geheimdiensten oder Ermittlungsbehörden findet nach Angaben der Unternehmen nicht statt, schon gar nicht ohne gültigen Beschluss des Landes, in dem die Daten gespeichert sind.
"Sollte eine solche Anfrage bei uns eingehen, prüfen wir diese und informieren anschließend den Kunden", sagt Constantin Gonzalez. Allerdings räumt er ein, dass sich AWS gegen berechtigte Anfragen von Behörden nicht sperren könne. "Solche Anfragen treten jedoch höchst selten auf", so Gonzalez.
Eine vergleichbare Position nimmt der deutsche Software-Anbieter SAP ein. Das Unternehmen hat den Zug der Zeit erkannt und setzt verstärkt auf die Cloud, um seine Lösungen zu vermarkten. "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb - abhängig vom jeweiligen Cloud-Produkt - die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU betreibt", erläutert Hartmut Thomsen, Managing Director der SAP Deutschland. Darüber hinaus bietet SAP laut Thomsen sowohl im Cloud-Bereich als auch bei Supportleistungen für gekaufte Software ein Modell an, bei dem Zugriffe auf das Kundensystem, in dem personenbezogene Daten gespeichert sind, von SAP grundsätzlich nur aus den Mitgliedstaaten der Europäischen Union, des Europäischen Wirtschaftsraumes und der Schweiz erfolgen.
Microsoft als Vorkämpfer
Dennoch ist die Debatte um den Datenschutz in der Cloud in vollem Gange. Microsoft, Google, Amazon und andere Cloud-Service-Provider in den USA wehren sich derzeit gegen den Anspruch amerikanischer Gerichte und Behörden, auf Datenbestände zugreifen zu können, die in Rechenzentren von Cloud-Anbietern mit Hauptsitz in den Vereinigten Staaten lagern. Dieses Zugriffsrecht soll unabhängig davon gelten, in welchem Land und Rechtsraum sich ein solches Data Center befindet - in den USA, Deutschland, Irland oder den Niederlanden.
Mit Spannung erwarten Nutzer von Public-Cloud-Services, Rechtsexperten und die gesamte Anbieterszene von Cloud-Diensten daher den Ausgang eines Verfahrens, das derzeit Microsoft in den USA führt. Es geht um den Durchsuchungsbeschluss eines Bezirksgerichts in New York. Dieses hatte Ende 2013 von Microsoft die Herausgabe von E-Mails eines Kunden von Microsoft verlangt, die dieser in Microsofts Cloud-Data Center in Irland gespeichert hatte. Als sich Microsoft weigerte, wurde das Unternehmen zur Herausgabe der E-Mails des Beschuldigten verurteilt. Microsoft legte gegen die Entscheidung des Gerichts Berufung ein. Das Verfahren läuft gegenwärtig noch.
Es ist nicht verwunderlich, dass rund 30 IT-Firmen aus den USA Microsoft unterstützen, darunter Branchengrößen wie Amazon, Apple, Cisco, HP und Verizon. Denn ein Urteil, dass die Reichweite der amerikanischen Justiz auf Cloud-Rechenzentren von AWS, Microsoft und Co. in Europa ausdehnen würde, wäre schlecht für das Geschäft in dieser Region.
Wo welche Datenschutzregeln gelten
Gerade im Fall Microsoft versus Vereinigte Staaten von Amerika spiegeln sich die unterschiedlichen Auffassungen wider, die derzeit in Bezug auf den Schutz von Daten in Cloud-Umgebungen dies- und jenseits des Atlantiks vorherrschen. Eine amerikanische Richterin vertrat im betreffenden Fall die Ansicht, dass nicht der physische Speicherort von Daten entscheidend sei, sprich Irland, sondern wer die Kontrolle über diese Informationen habe, also Microsoft. Eine US-Firma, die amerikanischem Recht unterliege, sei somit dazu verpflichtet, Daten gegebenenfalls herauszugeben, gleich, wo diese gespeichert sind.
Das widerspricht klar der Auffassung der EU. Sie vertritt das Territorialprinzip: Es gilt die Rechtsprechung desjenigen Landes, in dem Informationen in Cloud-Rechenzentren gespeichert und bearbeitet werden. Eine Annäherung ist derzeit nicht in Sicht. Die EU-Datenschutz-Grundverordnung, die bis Ende 2015 fertiggestellt werden soll, untermauert den Standpunkt der Europäischen Union.
Fast schon grotesk ist, dass sich die Anfrage des New Yorker Gerichts auf einen Fall von Drogenhandel bezieht. Die Ermittlungen und die Suche nach Beweisen sind somit in diesem und ähnlichen Fällen durchaus legitim. Höchst eigenwillig klingt die Argumentation des amerikanischen Gerichts dafür, dass es nicht den üblichen Weg über ein Rechtshilfeverfahren beschritten hat: Es sei gar nicht erforderlich, US-Ermittlern direkten Zugang zum Rechenzentrum von Microsoft in Irland einzuräumen, um an die gewünschten Informationen zu gelangen. Microsoft müsse die Informationen eh herausrücken. Zudem seien Rechtshilfeverfahren langwierig und würden die Ermittlungen gefährden. Das heißt, dem Zugriffsrecht des Staates, besser gesagt von US-Behörden, wird höhere Priorität eingeräumt als den Datenschutzregelungen in anderen Ländern.
Cloud made in Germany
Die Debatte um das Thema "Wer hat Zugriff auf meine Daten" hat dazu geführt, dass Cloud-Service-Provider mit Sitz in Deutschland und der EU damit werben, dass sie als Unternehmen dem deutschen und EU-Datenschutzrecht unterliegen: "Im Vergleich zu anderen Regionen gelten in der Europäischen Union und in Deutschland deutlich strengere Datenschutzregeln. Cloud Service Provider wie Pironet NDH, die in Deutschland ansässig sind, erfüllen diese Vorgaben", sagt beispielsweise Khaled Chaar, Managing Director Business Strategy bei Pironet NDH, einer Tochter des deutschen IT-Systemhauses Cancom. "Bei Anbietern mit Hauptsitz in Ländern außerhalb des EU-Rechtsraums müssen Kunden detailliert prüfen, welchen Regelungen diese Service Provider unterliegen und inwieweit sie die Vorgaben des EU-Datenschutzrechts erfüllen", so Chaar weiter.
Foto: Pironet NDH / Cancom
Speziell Unternehmen in Deutschland teilen diese Auffassung. So ergab eine Studie von der Beratungsunternehmen Bitkom Research und KPMG, dass es für zwei Drittel der Unternehmen wichtig ist, dass ein Cloud-Service-Provider seinen Sitz in Deutschland oder der EU hat. An die 75 Prozent der Befragten bevorzugen einen Provider, der zumindest ein Rechenzentrum im EU-Raum unterhält. Diese Vorgaben erfüllen nicht nur Anbieter von Cloud-Services wie Pironet NDH, T-Systems, Host Europe oder 1&1. Alle relevanten amerikanischen Cloud-Service-Provider haben mittlerweile Rechenzentren in Europa und Deutschland aufgebaut.
Foto: Bitkom Research / KPMG
"Wir sind beispielsweise in Frankfurt am Main präsent und tragen damit dem Wunsch von Kunden Rechnung, die Geschäftsdaten in einem Data Center in Deutschland speichern und bearbeiten möchten", sagt Constantin Gonzalez von AWS. Auch IBM (Softlayer), Salesforce.com und VMware betreiben Rechenzentren in Deutschland, vorzugsweise in Frankfurt. Andere Unternehmen, wie Microsoft und Google, beschränken sich auf Cloud-Data Center in EU-Ländern wie Irland oder Belgien.
Deutsche Cloud? Reines PR-Thema!
Der Hype rund um eine "Deutsche Cloud" hat jedoch auch Kritiker auf den Plan gerufen: "Anwender in Deutschland haben niemals nach einer 'Cloud Made in Germany' verlangt", sagt beispielsweise René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research. "Bei dem Ganzen handelt es sich schlichtweg um eine Idee einiger besonders kreativer Marketingmanager." Buest zufolge sollten sich deutsche Anbieter von Cloud-Diensten besser darauf konzentrieren, konkurrenzfähige Angebote auf den Markt zu bringen, damit sie vor allem mit den Services von amerikanischen Anbietern mithalten können.
Richtig ist jedoch laut Buest, dass ein Großteil der Chief Information Officer deutscher Unternehmen Cloud Service Provider danach bemessen, ob diese über ein Rechenzentrum in Deutschland oder zumindest in einem Mitgliedsland der Europäischen Union verfügen. Dies sei den rechtlichen Vorgaben und Datenschutzregelungen geschuldet. "Unternehmen sollten jedoch nicht den Faktor globale Präsenz eines Service-Providers unterschätzen", so Buest weiter. "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen. Das ist auch der Grund dafür, dass die Strategien in den Bereichen IT und Cloud von Beginn an aufeinander abgestimmt werden müssen."
Bedenkliche Cloud-Services
Bei der Diskussion um die Sicherheit von Daten wurde bislang so gut wie gar nicht auf einen interessanten Aspekt hingewiesen: die Tatsache, dass in vielen Unternehmen in Europa Cloud-Services im Einsatz sind, die nicht den Datenschutzbestimmungen entsprechen. Das hat Skyhigh Networks im Rahmen einer Studie festgestellt. Das Unternehmen ist als "Cloud Access Security Broker" (CASB) tätig. Solche Dienstleister stellen Nutzern von Cloud-Diensten einen sicheren Zugang zu diesen Services zur Verfügung und achten darauf, dass die entsprechenden Datenschutz- und Compliance-Vorgaben eingehalten werden. Zu diesem Zweck analysieren CASB regelmäßig Cloud-Services, Skyhigh beispielsweise mehr als 100 solcher Dienste.
Foto: Crisp Research
Skyhigh zufolge speichern rund 65 Prozent der Cloud-Service-Provider, deren Dienste auch in Europa verfügbar sind, Daten von Kunden nicht in Rechenzentren im EU-Raum oder Staaten mit vergleichbaren Sicherheitsregelungen. Dazu zählten bislang dank des jetzt aber gekippten Safe-Harbor-Abkommens mit der EU übrigens auch die USA. Damit ist die Wahrscheinlichkeit hoch, dass in vielen Unternehmen Cloud-Services im Einsatz sind, die nicht mit den geltenden Datenschutzgesetzen konform sind. Laut Skyhigh werden solche Services oft ohne Wissen der IT-Abteilung genutzt - von einzelnen Mitarbeitern oder ganzen Abteilungen. Bei der Diskussion um das Für und Wider von Public-Cloud-Services sollte auch dieser Aspekt nicht außer Acht bleiben.
Foto: Skyhigh Networks
Neuer Datenschutz
Wie die rechtlichen Rahmenbedingungen für Cloud-Services unter den Aspekten Datenschutz und Compliance künftig aussehen, ist schwer abzuschätzen. So laufen derzeit die Diskussionen über die EU-Datenschutz-Grundverordnung. Sie sieht einen verbesserten Schutz von Daten in Cloud-Umgebungen vor, auch für private Nutzer. Die Beratungen über den Entwurf der Verordnung sind bis Ende 2015 angesetzt. Nach Einschätzung von Rechtsexperten kann es jedoch bis 2018 dauern, bis die Grundverordnung in Kraft tritt.
Zum Video: Anwender wollen gar keine "deutsche Cloud"
Eine neue "Baustelle" hat sich in diesen Tagen mit dem EuGH-Urteil zum Safe-Harbor-Abkommen aufgetan. Es ermöglichte amerikanischen Unternehmen, Daten europäischer Kunden auch in Rechenzentren in den USA zu speichern. Im Gegenzug sicherte das Unternehmen einen angemessenen Datenschutz zu. Exakt diese Regelung hatte Ende September 2015 derGeneralanwalt am Europäischen Gerichtshof in Frage gestellt, knapp eine Woche später folgte der Europäische Gerichtshof (EuGH) seiner Empfehlung und erklärte das Abkommen für ungültig. Der Hintergrund ist die Klage eines österreichischen Nutzers von Facebook gegen den Transfer seiner persönlichen Daten auf Server von Facebook in den USA. Das Gericht argumentiert, solche Daten seien wegen der abweichenden Datenschutzbestimmungen in den USA dort nicht ausreichend geschützt.
Das Ende von Safe Harbor hat Auswirkungen für Anbieter von Cloud-Services aus den USA, die keinerlei Daten von EU-Anwendern mehr über den großen Teich übertragen werden. Es darf natürlich nicht außer Acht geraten, dass die führenden Anbieter von Cloud-Services mittlerweile ihren Kunden ohnehin bereits vertragliche Vereinbarungen auf Grundlage der EU-Standardvertragsklauseln anbieten. Diese stellen ein Mindestmaß an Schutz für Daten sicher, die außerhalb des EU-Rechtsraums bearbeitet werden.
Mahnende Stimmen zum EuGH-Urteil
Jay Heiser, Research Vice President beim Beratungs- und Marktforschungsunternehmen Gartner, geht davon aus, dass von der Entscheidung des EuGH etwa 4.500 amerikanische Anbieter von Cloud- und Online-Services betroffen sind. Dazu zählen alle Größen der Branche, von Amazon über Google, Microsoft und Dropbox bis hin zu Adobe. Denn auch auf Servern von Adobe liegen Nutzerdaten, weil das Unternehmen einen Gutteil seiner Software im Rahmen eines Abonnement-Modells über die Cloud anbietet.
Allerdings erwartet Heiser nicht nur Konflikte zwischen der EU und amerikanischen Cloud-Unternehmen, sondern auch zwischen deren Nutzern und EU-Behörden: "Es ist nicht vorstellbar, dass Internet-User in Europa die digitalen Bande zu den USA durchtrennen und auf die Nutzung von Services amerikanischer Unternehmen verzichten wollen. Zudem ist es unwahrscheinlich, dass eine wie auch immer geartete Vereinbarung zum Schutz der Privatsphäre in der Praxis eine Überwachung durch US-Behörden komplett verhindern kann", kritisiert Heiser.
Auch von SAP kommen mahnende Worte: "SAP verfügt über Cloud-Computing-Ressourcen in Europa, Nordamerika, Asien und anderen Regionen. Dadurch sind wir in der Lage, Services vor Ort anzubieten, die den lokalen Gesetzen und Regulierungsvorgaben entsprechen", sagt Daniel Reinhardt, Global Corporate Affairs bei SAP SE. "Wir sind jedoch der Auffassung, dass sowohl Rechtssicherheit als auch ein freier und sicherer Datenfluss zwischen Europa, den USA und anderen Weltregionen essenziell für datenorientierte Geschäftsmodelle sind." Reinhardt fordert deshalb die Politik auf, eine Lösung zu finden: "Wir hoffen, dass die EU und die Vereinigten Staaten eine neue Version des Safe-harbor-Abkommens erarbeiten, das einen klaren und sicheren Rahmen für den transatlantischen Datenverkehr bildet."
Datentransfer zwischen USA und EU in Gefahr
Seagate, ein Anbieter von Storage-Systemen und Cloud-Speicherlösungen, kritisiert, dass durch das Urteil des Europäischen Gerichtshofs die rechtliche Basis für Cloud-Services in Wanken geraten ist: "Ohne gültige Regelungen ist unklar, für ein Transfer von Daten zwischen der EU und den USA stattfinden soll", so das Unternehmen in einer Stellungnahme. Die Entscheidung des EuGH könne sich einer erheblichen Belastung für die Beziehungen zwischen beiden Regionen entwickeln. Zudem müssten die laufenden Verhandlungen zwischen der EU und den USA über eine neue Version des Safe-Harbor-Abkommens die Entscheidung berücksichtigen.
V?ra Jourová, die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, bestätigte in einer Stellungnahme, dass die Übermittlung von Daten von EU-Mitgliedsstaaten in die USA nicht mehr auf Basis von Safe harbor erfolgen kann. Stattdessen müssten international gültige Verfahren eingesetzt werden, die in der EU-Datenschutzdirektive aufgeführt sind. Dazu zählen laut Jourová verbindliche Regelungen für den Datentransfer innerhalb von Unternehmen oder Vereinbarungen auf Grundlage der EU-Standardvertragsklauseln für Cloud-Services.
Pragmatisch: Verschlüsselung
Bis die Datenschutzbehörden der einzelnen EU-Staaten nun genau klären, in welchen Bereichen und regionalen Räumen welche Datenschutzbestimmungen für Cloud-Services gelten, empfiehlt sich für Unternehmen eine pragmatische Vorgehensweise. So lässt sich vertraglich regeln, in welchem Cloud-Rechenzentrum die Daten eines Anwenders gespeichert werden. Der Nutzer kann beispielsweise vorgeben, dass dies nur in einem Data Center in Deutschland oder der EU erfolgt.
"Wir raten unseren Kunden außerdem dazu, ihre Daten mit entsprechend leistungsstarken Verfahren zu verschlüsseln und ein sichere Verwaltung der Schlüssel zu implementieren", so Constantin Gonzalez. Diese oder ähnliche Aussagen treffen so gut wie alle Anbieter von Cloud-Services zu. Eine solche Verschlüsselung sollte mithilfe "starker" Verfahren wie AES 256 (Advanced Encryption Standard, 256-Bit-Keys) und RSA durchgeführt werden, und war durchgängig, das heißt, auch auf dem Transport der Daten vom und zum Cloud-Rechenzentrum.
Mittlerweile sind Verschlüsselungsverfahren in Arbeit, die auf der Quantentechnologie beruhen. So kündigten Ende September 2015 Acronis und ID Quantique an, eine Verschlüsselungslösung für Cloud-Services auf Basis der Quantentechnik zu entwickeln. Sie soll auch Attacken auf verschlüsselte Daten mithilfe von Supercomputern und Quantenrechnern standhalten. Ausgerechnet die National Security Agency (NSA), die eine unrühmliche Rolle in der Snowden-Affäre spielte, wies vor kurzem Behörden, Forschungseinrichtungen und Unternehmen in den USA darauf hin, dass in Kürze Attacken auf verschlüsselte Daten mittels Quantenrechnern zu erwarten seien.
Verschlüsselung auf die harte Tour
Unternehmen oder öffentliche Einrichtungen, die den Zugriff Dritter auf ihre Daten in einer Public Cloud ausschließen wollen, können auf hardwaregestützte Verschlüsselungssysteme zurückgreifen. Solche Hardware Security Modules für den Einsatz bei Cloud-Service-Providern bieten beispielsweise Gemalto (SafeNet Luna SA) und Utimaco (Utimaco Security Server) an, zudem Thales. Solche Systeme ermöglichen es Nutzern von Cloud-Diensten, die komplette Kontrolle über die Verschlüsselung und vor allem die Verwaltung der Schlüssel zu übernehmen. Die Mitarbeiter des Service-Providers bleiben außen vor, das heißt, sie haben keinen Zugang zu den Verschlüsselungsinformationen des Nutzers. Das bedeutet jedoch umgekehrt, dass die IT-Fachleute des Users besonders sorgfältig mit diesen Informationen umgehen müssen.
Foto: Microsoft
Über HSM-Systeme, die für den Cloud-Einsatz konzipiert sind, kann ein Cloud-Service-Provider eine solche hardwarebasierte Verschlüsselung auch als Dienstleistung anbieten. In diesem Fall teilen sich mehrere Unternehmensabteilungen oder mehrere Firmen eine HSM-Appliance. Allerding sind die Cloud-Versionen dieser Systems so ausgelegt, dass jedem Anwender ein separates Verschlüsselungsmodul zur Verfügung steht. Nach Angaben der Anbieter besteht keine Gefahr, dass ein Nutzer Zugang zum Modul eines anderen Unternehmens erhält.
Die Rolle der Internetverbindung
"Ein Cloud-Rechenzentrum muss nicht unbedingt möglichst nahe beim Kunden angesiedelt sein. Wichtiger ist, welche Qualität die Netzwerkverbindungen zwischen Nutzer und Provider haben", so Paul Heywood, Managing Director EMEA von Dyn. Das Unternehmen hat sich auf Cloud-gestützte Testlösungen spezialisiert, mit denen sich die Qualität von IP- und Internet-Verbindungen ermitteln lässt. Heywood zufolge kann es durchaus sein, dass ein Unternehmen an einem Standort im Ausland nicht unbedingt auf einen Cloud-Service-Provider vor Ort zurückgreifen muss, zumindest nicht aus Gründen der vermeintlich besseren Performance.
Denkbar ist beispielsweise, dass die besagte Niederlassung von einem Cloud-Rechenzentrum mit Sitz in einem EU-Land aus mit IT-Diensten versorgt wird. Dies würde potenzielle Probleme mit Datenschutz- und Compliance-Regeln auf einfache Weise lösen. Denn nach Erfahrungswerten von Dyn ist eine gute Performance von Cloud-Applikationen nicht mit räumlicher Nähe zum Rechenzentrum des Cloud-Service-Providers gleichzusetzen. "Es kommt auf die Internet-Verbindung beziehungsweise die Route an, welche die Daten nehmen", so Paul Heywood.
Zum Video: Anwender wollen gar keine "deutsche Cloud"
Durch die Kombination von Anwendungs-, Netzwerk- und Internet-Analyse können Unternehmen außerdem einen Einblick gewinnen, wie ihre Cloud-Dienste laufen, wo Engpässe vorhanden sind und wie sich die Cloud-Anwendungen aus Sicht der Nutzer präsentieren. Allerdings ist klar, dass es gerade für international aktive Unternehmen wenig Sinn macht, über ein Cloud-Data-Center in Deutschland Niederlassungen in Korea oder China zu versorgen. In diesem Fall ist es besser, auf die Services eines international tätigen Cloud-Service-Providers wie AWS, Google, IBM oder Microsoft zurückzugreifen.
"Freier Datenfluss" in der EU
Ab 2016 will die Europäische Kommission Änderungen der rechtlichen Rahmenbedingungen für Cloud Computing erarbeiten. In einem Strategiepapier zur Schaffung eines digitalen Binnenmarkts vom Mai 2015 regt die Kommission die Schaffung einer europäischen Initiative zum "freien Datenfluss" an. Sie soll sich unter anderem mit "nicht gerechtfertigten Beschränkungen in Bezug auf den Speicher- und Verarbeitungsort der Daten" befassen. Ein Ziel der Initiative: Unternehmen und Service-Providers sollen künftig Daten, auch personenbezogene Informationen, in Rechenzentren ihrer Wahl speichern und bearbeiten können. Die Voraussetzung ist, dass sich diese Data Center in der EU befinden.
Damit sollen in Verbindung mit der EU-Datenschutz-Grundverordnung die Hürden beseitigt werden, die bislang die länderübergreifende Nutzung von Cloud-Services in der EU einschränken. Die Kommission möchte im kommenden Jahr zudem eine europäische Cloud-Initiative vorstellen, in der es unter anderem um die Zertifizierung von Cloud-Diensten, Musterverträge mit Service-Providern, den Wechsel des Cloud-Diensteanbieters und eine Forschungs-Cloud für die Wissenschaft geht. (sh)