Bieten deutsche Clouds wirklich mehr Schutz?

Der Cloud-Markt Deutschland soll vielen Voraussagen zufolge weiter rasant wachsen. Laut einer aktuellen Pro­gnose des Marktforschungsunternehmen Experton wird sich der Umsatz mit Cloud-Lösungen 2015 auf 8,8 Milliarden Euro belaufen, das wären 39 Prozent mehr als im vergangenen Jahr. Und zumindest bis 2018 soll es in ähnlichem Tempo weitergehen. Der deutsche Cloud-Markt wäre dann fast 20 Milliarden Euro schwer.

Manche Branchenkenner sehen diese Zahlen allerdings kritisch: „Ich glaube derzeit keiner quantitativen Studie“, so Andreas Weiss, Direktor des Verbandes EuroCloud Deutschland_eco, der unter anderem den Dialog zwischen Anbietern und Anwendern von Cloud-Services fördern will. Auch Frank Türling, Vorsitzender von  Cloud Ecosystem, ist skeptisch: „Ich vermute, dass in viele dieser Analysen nicht nur Aufwendungen für Cloud-Services, sondern auch Investitionen in neue Rechenzentren einfließen.“ Tatsächlich weist die genannte Studie auch Hardware-Umsätze von 2,2 Milliarden Euro für das vergangene Jahr aus, immerhin der zweitgrößte Posten nach den Cloud-Dienstleistungen.

Diese Zahlen reflektieren den enormen Boom in der Cloud-Branche. Vor allem amerikanische Unternehmen investieren in Deutschland kräftig, darunter Amazon Web Services, VMware, Oracle und Salesforce. Sie haben zahlreiche Rechenzentren eröffnet oder planen dies zumindest. „Amerikanische Anbieter versuchen mit Rechenzentren in Deutschland ihren Kunden Datenschutz nach deutschen Gesetzen zu suggerieren“, sagt Andreas Gauger, Geschäftsführer des deutschen Hosters Profit Bricks.

Tatsächlich tragen die US-Anbieter mit ihrem lokalen Engagement vor allem der Wachstumsbremse Nummer eins im deutschen Cloud-Markt Rechnung: der mangelnden Akzeptanz bei den Unternehmen. Seit dem NSA-Skandal ist das Vertrauen in Cloud-Angebote massiv gesunken, wie der Cloud Monitor 2014 deutlich zeigt, den Bitkom Research im Auftrag der Wirtschaftsprüfungsgesellschaft KPMG erstellt hat. Danach haben 61 Prozent der über 400 Befragten seit der Bespitzelungsaffäre weniger Vertrauen in ihre Cloud-Anbieter, 49 Prozent sagen, dass die NSA-Enthüllungen ihre Einstellung zum Public-Cloud-Computing negativ beeinflusst haben, und 25 Prozent befürworten eine nationale Cloud, auch wenn dies mit Mehrkosten verbunden wäre.

Neben dem Aufbau eigener Rechenzentren versuchen US-Anbieter, durch weitere vertrauensbildende Maßnahmen Kunden in ihre Clouds zu ziehen oder dort zu halten. So können sich US-Firmen schon seit 2000 den sogenannten Safe Harbor Principles unterwerfen. Diese freiwillige Verpflichtung soll einen Datenschutz auf EU-Niveau garantieren. Amerikanische Hoster dürfen dann personenbezogene Daten von EU-Bürgern in den USA lagern, was ansonsten gemäß § 25 der Europäischen Datenschutzrichtlinie unzulässig wäre.

Die Safe-Harbor-Unterzeichner versprechen unter anderem, Betroffene über die Datenverarbeitung zu informieren und ihnen die Gelegenheit zu geben, Einwand dagegen zu erheben. Safe Harbor ist jedoch weitgehend eine Mogel­packung, wie das Unabhängige Landeszentrum für Datenschutz (ULD) bereits 2010 mit Bezug auf eine australische Studie feststellte: Von den 2170 US-Unternehmen, die von sich behaupteten, Safe Harbor zu respektieren, machten 940 keine Angaben darüber, wie sie die garantierten Einspruchsmöglichkeiten umgesetzt hatten, 314 Unternehmen verlangten für die Bearbeitung von Beschwerden 2000 bis 4000 Dollar Gebühren. „Aus Datenschutzsicht könnte es nur eine Konsequenz aus den bisherigen Erfahrungen geben – Safe Harbor sofort zu kündigen“, so ULD-Leiter Thilo Weichert.

Bis 2013 hatte sich die Situation nicht wesentlich verbessert, wie wiederum eine australische Studie offenlegte. Die Untersuchungen der Beratungsfirma Galexia ergaben ein verheerendes Bild:

Die EU und auch die deutschen Datenschutzbehörden zogen jedoch keine Konsequenzen, sondern gaben den schwarzen Peter an die deutschen Auftraggeber zurück: „Die obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich weisen darauf hin, dass sich datenexportierende Unternehmen bei Übermittlungen an Stellen in die USA nicht allein auf die Behauptung einer Safe-Harbor-Zertifizierung des Datenimporteurs verlassen können.

Vielmehr muss sich das datenexportierende Unternehmen nachweisen lassen, dass die Safe-Harbor-Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden“, ließ der Düsseldorfer Kreis, ein Zusammenschluss deutscher Datenaufseher, verlauten. Das Risiko liegt also komplett beim deutschen Auftraggeber, der US-Hoster ist fein raus: „Es hat keine rechtlichen Konsequenzen für diese Unternehmen, wenn sie den deutschen Datenschutz nicht einhalten“, sagt Profit-Bricks-Manager Gauger.

Einigen amerikanischen Anbietern ist der schlechte Ruf von Safe Harbor wohlbewusst und sie unterwerfen sich deshalb freiwillig strengeren innereuropäischen Regeln. „Microsoft hat die in der ganzen EU akzeptierten Regelungen zum Datenschutz in seine Standardverträge aufgenommen und stellt sicher, dass die Inhaltsdaten seiner europäischen Kunden auch in Europa bleiben“, so Swantje Richters, Justiziarin bei Microsoft Deutschland. Microsoft sei das einzige Unternehmen mit einer Bestätigung der Artikel-29-Datenschutzgruppe, einem Abstimmungsgremium aller 28 nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, so Richters weiter. Diese bescheinigt dem Vertragswerk des Herstellers eine ordnungsgemäße Umsetzung der EU-Standardvertragsklauseln (EU Model Clauses) und ermöglicht es laut Richters den Kunden, EU-Datenschutzrichtlinien auch bei der Übermittlung personenbezogener Daten in sogenannte Drittstaaten außerhalb der EU zu entsprechen.

So gut der Datenschutz bei Microsoft und Co auch sein mag, er schützt nicht vor einem weiteren erheblichen Risiko: dem Patriot Act. Dieser ermöglicht es US-Behörden, die Herausgabe von Daten zu erwirken. Dabei muss nicht einmal ein Gerichtsbeschluss vorliegen. Das FBI kann mit einem sogenannten National Security Letter (NSL) die Datenübermittlung selbstständig durchsetzen.

Rechenzentren mit Standorten innerhalb der EU schützen US-Firmen nicht davor, diesen Begehren nachgeben zu müssen, wie Google und Microsoft schon 2011 bekannt gaben. „Der Fall eines US-Gerichts, das Microsoft zur Herausgabe von Daten auf ihren europäischen Office-365-Servern drängte, ist rechtlich sehr delikat“, meint Stefan Ried, der viele Jahre als Analyst bei Forrester Research den Cloud-Markt beobachtete und heute als CTO für die technische Infrastruktur des deutsch-amerikanischen Unternehmens Unify verantwortlich ist.

Den amerikanischen Groß­konzernen ist klar, welchen Flurschaden solche Meldungen hinsichtlich ihres Europageschäfts anrichten. Nicht umsonst hat Microsoft ein Anfechtungsverfahren gegen die von einem New Yorker Gericht angeordnete He­rausgabe von Daten initiiert, die in der EU gespeichert sind. Das Urteil wurde zwar in der zweiten Instanz bestätigt, sodass der Hersteller eigentlich zur Übermittlung der Daten verpflichtet gewesen wäre. Allerdings wurde Microsoft ein Aufschub gewährt. Das Unternehmen hat angekündigt, sämtliche Rechtsmittel auszuschöpfen. „Wir informieren sehr transparent, wie viele Anfragen von Ermittlungsbehörden wir erhalten, und veröffentlichen halbjährlich Zahlen dazu in Bezug auf die unterschiedlichen Länder“, sagt Justiziarin Richters. Im Übrigen habe man auch noch nie Daten deutscher Unternehmenskunden an die NSA herausgeben müssen.

International tätige Cloud-Anbieter argumentieren auch gern damit, dass die Daten bei ihnen Ende-zu-Ende-verschlüsselt werden und nur der Kunde die Möglichkeit der Entschlüsselung habe. Das löst das Problem allerdings nur scheinbar. „Verschlüsselung hat mit den gesetzlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG) rein gar nichts zu tun“, sagt Frank Roth, Vorstand der AppSphere AG und Initiator der Initiative Cloud Services Made in Germany. Eine US-Behörde werde sich ohnehin nicht mit verschlüsselten Daten zufriedengeben. Dieser Ansicht ist auch Timo Wasmer, Product Manager bei der Claranet GmbH: „Es ist davon auszugehen, dass viele US-Provider über entsprechende Hintertürchen verfügen, mit denen sie die Verschlüsselung aufheben können, wenn US-Behörden dies fordern.“

Trotzdem hält Wasmer Verschlüsselung für sinnvoll und wichtig: „Eine moderne Verschlüsselungstechnologie erschwert einen Datenmissbrauch erheblich.“ Für eine robuste Verschlüsselung gibt es weitere gute Gründe, zumal die NSA oder der britische Geheimdienst GCHQ auch vor Operationen innerhalb Deutschlands nicht zurückschrecken. Bei der Anbindung von Auslandsniederlassungen oder beim Datenaustausch zwischen Providern ist zudem nicht gewährleistet, dass die Datenströme nicht doch durch nicht europäische Länder fließen. „Aktuell sind die Router so konfiguriert, dass sie sich den schnellsten Weg zum Ziel suchen, der dann auch mal über die Grenzen der EU hinaus führen kann“, sagt Wasmer. Aus diesem Grund arbeiten die Deutsche Telekom und andere Netzbetreiber an einem innerdeutschen oder EU-weiten Internet (Schengen-Routing), das zumindest besonders sensible Daten in einem rechtssicheren Raum halten will. „Die Speicherung von Daten in Deutschland bringt nur dann einen wirklichen Vorteil, wenn das Unternehmen, das so eine Cloud anbietet, diese Cloud auch so weit wie möglich von Rechenzentren in anderen Ländern isoliert“, sagt Unify-CTO Stefan Ried.

Angesichts dieser Rechtsunsicherheiten verwundert es nicht, dass deutsche Unternehmen Angebote lokaler Cloud-Provider bevorzugen, sind die rechtlichen Risiken dadurch doch deutlich geringer. „Deutschland hat derzeit eines der strengsten Datenschutzgesetze der Welt“, sagt Claranet-Manager Wasmer.

Zwar bleibt der Auftraggeber immer für die Einhaltung der Datenschutzvorschriften verantwortlich, wenn er im Rahmen einer Auftragsdatenverarbeitung seine Daten von einem Cloud-Provider speichern oder bearbeiten lässt. Handelt es sich um personenbezogene Daten von Kunden, Mitarbeitern oder Lieferanten, greift das BDSG. Wenn aber auch die Auftragnehmer an nationales oder zumindest europäisches Recht gebunden sind, ist ein eklatanter Verstoß gegen hiesige Datenschutzgrundsätze deutlich unwahrscheinlicher.

Neben rechtlichen gibt es auch technische Vorteile bei der Nutzung lokaler Angebote, so Wasmer weiter: „Ein Kunde im Claranet-Rechenzentrum in Frankfurt hat niedrigere Latenzen im Vergleich zu einem Service, der zum Beispiel in Irland oder den USA gehostet wird.“

Noch müssen sich Unternehmen, die Wert auf einen deutschen Service legen, mit einem eingeschränkten Angebot zufrieden geben, aber die Vielfalt nimmt stetig zu. Allein 200 deutsche Cloud-Anbieter listet etwa das Marktforschungsunternehmen Metisfiles in seiner German Cloud­scape.

---

Diverse Verbände, Initiativen und kommerzielle Anbieter haben es sich zur Aufgabe gemacht, Struktur und Transparenz in diese Vielfalt zu bringen. Zu nennen wäre beispielsweise die Deutsche Wolke, Cloud Services Made in Germany, die German Businesscloud, die German Cloud, cloud.de oder auch die Open Cloud Alliance (OCA), die auf Basis quell­offener Systeme eine anbieterübergreifende Alternative zu Amazon Web Services, Google und Microsoft Azure bieten will.

Die Definitionen der einzelnen Verbände für eine deutsche Cloud sind sehr ähnlich, wenn auch nicht deckungsgleich. Als Beispiel seien die Kriterien genannt, die Frank Roth von AppSphere für Cloud Services Made in Germany aufzählt:

Nicht ganz so streng sind die Anforderungen, die Frank Türling, Mitbegründer von German Businesscloud, für eine Aufnahme in seine Übersicht nennt: „Unsere Initiative zielt darauf ab, dass deutsche Unternehmen auf dem deutschen Markt passende Angebote finden. Das können auch internationale Lösungen sein. Salesforce oder Office 365 sind beispielsweise uneingeschränkt deutschen Unternehmen zu empfehlen.“ Es gehe ihm mehr darum, Transparenz im Markt zu schaffen: „In unserem Katalog finden Entscheider Informationen darüber, wer der Anbieter ist und wo die Datenhaltung stattfindet.“

Mehrere Initiativen versuchen, durch Zertifizierungen, Audits und Prüfsiegel Rechtssicherheit und Vertrauen in die Dienstleistungen der Cloud-Anbieter zu schaffen. Zu nennen wären etwa das EuroCloud Star Audit (ECSA) von EuroCloud Europe (ECE), einem Verband, zu dem auch EuroCloud Deutschland_eco gehört, das Siegel Certified Cloud Services des TÜV Rheinland, die Zertifizierung nach ISO/IEC 27001 oder auch das Zertifikat German Cloud von Cloud Ecosystem.

---

Diese Prüfzeichen umfassen ein umfangreiches und nicht ganz billiges Audit durch unabhängige Prüfer. Einfacher und kostengünstiger für die Anbieter, aber natürlich auch weniger aussagekräftig für den Kunden, sind Siegel, die auf sogenannten Self Assessments beruhen, also einer Selbstauskunft des Anbieters. So bietet die ECE das ECSA-Siegel auch in einer Self-Assessment-Variante an, bei Cloud Ecosystem nennt sich diese Variante Trust in Cloud.

Auch das Bundesministerium für Wirtschaft und Energie (BMWi) hat sich des Themas sichere Cloud angenommen und dazu die Initiative Trusted Cloud ins Leben gerufen. „Mit dem Technologieprogramm Trusted Cloud wollen wir die großen Innovations- und Marktpotenziale von Cloud-Computing gerade für den Mittelstand weiter erschließen“, so Bundeswirtschaftsminister Sigmar Gabriel.

Im September 2010 als Wettbewerb gestartet, soll das Programm Kriterien für eine einheitliche Bewertung von Cloud-Diensten schaffen, um so das Angebot besser vergleichbar zu machen. Im Mittelpunkt steht dabei die Entwicklung und Erprobung innovativer, sicherer und rechtskonformer Cloud-Computing-Lösungen für den Mittelstand.

Die Vielzahl der Siegel macht es allerdings schwer, einen Überblick zu gewinnen. Prinzipiell lässt sich aber sagen, dass man mit der Wahl eines auditierten Unternehmens wenig falsch machen kann. Bei den durch Selbstauskunft erlangten Zertifikaten sollte der Kunde genauer hinschauen und sich die Einhaltung aller relevanten Vorschriften im Vertrag garantieren lassen.

Liegen gar keine Zertifizierungen oder Siegel vor, lässt dies nicht zwingend auf mangelhafte Dienstleistung oder Datensicherung schließen. Es bedeutet allerdings, dass der Auftraggeber sehr genau prüfen muss, ob alle rechtlichen Rahmenbedingungen eingehalten werden. Das ist eine Aufgabe, die vor allem kleinere Unternehmen nicht allein stemmen können. Sie sollten sich auf jeden Fall Hilfe bei einem fachkundigen Systemhaus suchen.

Nicht alle von com! professional befragten Marktexperten finden übrigens das Konzept Deutschland-Cloud sinnvoll. „Einer Cloud Grenzen zu setzen ist ziemlich unproduktiv, das will keiner“, sagt Frank Türling vom Cloud Ecosystem. Die Diskussion um das Thema Cloud und Datensicherheit werde in Deutschland ziemlich emotional geführt, so Türling weiter: „Ich habe durchaus auch Zutrauen zu amerikanischen Anbietern, sofern die Sicherheitskriterien erfüllt sind.“ Dem pflichtet Microsoft-Justiziarin Richters bei: „Die Deutschland-Cloud ist grundsätzlich nicht anders zu bewerten als die Cloud mit Rechenzentren in anderen Ländern. Hält sich ein Anbieter auf physikalischer und virtueller Ebene an seine Zusagen zur Informationssicherheit, ist der Standort unerheblich.“

Auch Stefan Ried von Unify hält nicht viel von lokalen Cloud-Konzepten: „Eine Cloud lebt von einer globalen Innovationskraft und Skalen-Effekten. Ein Hersteller, der seine Cloud nur in Deutschland anbietet, ist nicht über­lebensfähig.“ Besonders hart geht Andreas Weiss vom Verband EuroCloud Deutschland_eco mit dem Konzept ins Gericht: „Wir verbauen uns mit solchen nationalen Sichtweisen die Potenziale für Deutschland als Export­nation.“

Wer seine Daten dennoch lieber einer Deutschland-Cloud anvertraut, muss zumindest kaum Nachteile befürchten, das versprechen wenigstens die Anbieter. So gebe es etwa bei den Kosten kaum Unterschiede, meint Andreas Palm, CEO Mass Hosting bei Host Europe: „Die Preise von US-Angeboten sind nicht grundsätzlich niedriger, in beiden Märkten gibt es sowohl niedrig- als auch hochpreisige Angebote.“ Nur bei den Abrechnungsmodellen seien die Amerikaner schon einen Schritt weiter: „Auf dem US-Markt haben sich Angebote nach dem Pay-as-you-use-Prinzip schon weiter verbreitet.“ Letztlich hänge die Preisbetrachtung stark von den Anforderungen des Kunden ab, so Claranet-Manager Wasmer: „Es gibt bestimmte Work­loads, etwa die Verarbeitung großer, nicht vertraulicher Datenmengen, bei denen ein Public-Cloud-Angebot, zum Beispiel von Amazon, eine günstige Alternative oder Ergänzung sein kann.“

---

Sorgen um die Skalierbarkeit der deutschen Angebote seien ebenfalls unbegründet, so die befragten Provider. „Die Möglichkeit, neben horizontal auch vertikal zu skalieren, wie wir dies anbieten, gibt es zur Zeit bei keinem der amerikanischen Anbieter“, sagt Profit-Bricks-Manager Gauger. Und Product Manager Wasmer erklärt: „Claranet verfügt über eine Cloud-Plattform auf der Basis von Nutanix, die sehr skalierbar ist und enorm hohe Zugriffsraten ermöglicht.“ Allerdings räumt er ein, dass nur wenige deutsche Anbieter über eine weltweite Infrastruktur wie die von Amazon, Google oder Microsoft verfügen.

Nationale oder regionale Cloud-Anbieter seien aufgrund ihrer Größe und Marktmacht stärker von Insolvenzen oder Übernahmen bedroht, so ein weiterer Einwand der Deutschland-Cloud-Kritiker. Frank Türling vom Cloud Ecosystem hält dies für nicht berechtigt: „Regionale Rechenzen­tren haben in Deutschland eine lange Tradition und sind erstaunlich robust, da ist bisher noch keines umgefallen.“ Dennoch sieht Türling in einer Insolvenz oder der Abkündigung eines Services eine reale Bedrohung für das Geschäft der betroffenen Kunden, dann nämlich, wenn sie in so einem Fall nicht mehr an ihre Daten kommen: „Der Nutzer sollte deshalb immer darauf achten, dass er seine Daten anbieterunabhängig sichern und notfalls migrieren kann.“

Die deutsche Gesetzgebung steht bei vielen Experten in der Kritik: „Im Moment behindert die Politik die Branche erheblich und befriedigt hauptsächlich die Bedenken der ICT-Lobby anstatt die Innovation zu stimulieren“, so Unify-CTO Stefan Ried. Ihm ist nicht nur der antiquierte Datenschutz, sondern auch die fehlende Zusicherung einer Netzneutralität ein Dorn im Auge: „Wir leben stets in der Ungewissheit, dass ein Carrier unsere Pakete aufhält und dafür eigene Video-Kollaborationsdienste bevorzugt.“

Was den Datenschutz angeht, so arbeitet die Europäische Kommission schon seit 2012 an einer einheitlichen EU-Lösung, der Datenschutzgrundverordnung (EU-DSGVO). Diese soll die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie) ersetzen. „Für die meisten Länder gilt dann ein strengerer Datenschutz als bisher, Deutschland scheint sich mit seinen Positionen gut durchzusetzen“, sagt Ralf Rieken, Geschäftsführer der Uniscon GmbH.

Ein geheimes Positionspapier, dessen Inhalt vor Kurzem bekannt wurde, lässt allerdings befürchten, dass sich in letzter Minute doch noch die Gegner strenger Regeln durchsetzen könnten.

Dazu kommen weitere Vorstöße in der EU, die einen echten Datenschutz aushöhlen: „Die Diskussion über die Vorratsdatenspeicherung und jüngst die Überlegung von David Cameron, verschlüsselte Chats zu verbieten, steht in krassem Gegensatz zu dem, was Unternehmen von einer Deutschland-Cloud erwarten“, so Ried. Auf die Deutschland-Cloud hätte eine Vereinheitlichung gravierende Auswirkungen: „Wenn in Europa ein einheitliches Datenschutzrecht gilt, dann ist das deutsche Recht als möglicher Standortfaktor natürlich obsolet“, meint Michael Littger, Geschäftsführer der Initiative Deutschland sicher im Netz (DsiN).

Gravierende Auswirkungen auf den Schutz personenbezogener oder geschäftsrelevanter Daten könnten auch die Freihandelsabkommen TTIP (Transatlantic Trade and Investment Partnership) und TISA (Trade in Services Agreement) haben. Nach einem TISA-Vertragsentwurf, den die Associated Whistleblowing Press veröffentlicht hat, soll damit ein ungehinderter Datenabfluss in die USA ermöglicht werden.

Kein Land hätte mehr das Recht oder die Möglichkeit, die Daten der eigenen Bürger und Unternehmen zu schützen. Andreas Gauger von Profit Bricks glaubt allerdings nicht, dass es so weit kommen wird: „Dank der Snowden-Veröffentlichungen ist die ganze Welt sehr sensibilisiert für das Problem. Es ist nicht wahrscheinlich, dass in diesem Klima jemand in der deutschen Regierung auf die Idee kommt, den Datenschutz aufzuweichen, um einen geheimen Zugriff zu erleichtern.“ Host-Europe-CEO Andreas Palm sieht das ähnlich: „Wir gehen davon aus, dass Datenschutz hierzulande seinen Stellenwert auch künftig in gleichem Maß behalten wird.“

Eines der Kernkennzeichen von Cloud-Services ist deren transparente Bereitstellung. Der Kunde bekommt eine IT-Dienstleistung seiner Wahl in der vereinbarten Qualität. Welche Infrastruktur zugrunde liegt und wo sich diese befindet, ist unerheblich. Dieses Merkmal hat zum einen wesentlich zum Siegeszug von Cloud-Computing beigetragen, ist aber auf der anderen Seite auch einer der Hauptgründe für die Skepsis vieler, vor allem professioneller Anwender. Kein Wunder also, dass sich Cloud-Services aus Deutschland steigender Beliebtheit erfreuen.

Ein Angebot „made in Germany“ schafft allerdings nur auf den ersten Blick Abhilfe. Es bedeutet nämlich noch lange nicht, dass alle Daten in der internen Infrastruktur des Anbieters bleiben. Dennoch kann es für Unternehmen sinnvoll sein, den Standort und das Geschäftsmodell eines Dienstleisters zu durchleuchten und in die Kaufentscheidung miteinzubeziehen. Schließlich sind ein Datenschutz nach deutschem Recht, deutsche Service Level Agreements, deutscher Support und ein Ansprechpartner vor Ort Leistungsmerkmale, die nicht zu verachten sind.

Das strenge deutsche Bundesdatenschutzgesetz gilt für alle Cloud-Dienste, die ein deutsches Unternehmen nutzt – selbst für solche, die im EU-Ausland, den USA oder in Indien angesiedelt sind. Es ist un­erheblich, wo auf der Welt die physikalische Datenverarbeitung stattfindet. Aus rechtlicher Sicht ist es am einfachsten, einen Dienstleister zu wählen, der sich im Europäischen Wirtschaftsraum (EWR) befindet und der seine Server ebenfalls dort betreibt. Derzeit kann Unternehmen, die US-Cloud-Dienste nutzen (wollen), nicht garantiert werden, dass dies in der jetzigen Form zukünftig weiter durchgeführt werden kann.

Neben den rechtlichen Aspekten einer Cloud-Nutzung mit personenbezogenen Daten müssen auch Anforderungen an die IT-Sicherheit und den technischen Datenschutz zwingend eingehalten werden. Diese technischen und organisatorischen Maßnahmen werden in § 9 Bundesdatenschutzgesetz samt Anlage beschrieben. Sie regeln Themen wie Rechenzentrumssicherheit, Authentifizierung und Autorisierung und fordern explizit den Einsatz von Verschlüsselungsverfahren nach dem Stand der Technik.

Die Gewährleistung der IT-Sicherheit hängt vom jeweiligen Cloud-Anbieter ab und setzt deutsche Cloud-Anbieter einem harten Wettbewerb mit internationalen Konkurrenten aus. Aus Datenschutzsicht müssen neben den „klassischen“ IT-Sicherheitsthemen auch Aspekte wie Protokollierung (wer hat wann auf die in der Cloud gespeicherten Daten zugegriffen), Mandantenfähigkeit und Nicht-Verkettbarkeit (Cloud-Daten dürfen nicht mit anderen Daten verknüpft werden können) gewährleistet werden. Diese Themenfelder, gepaart mit rechtlich begrenzteren Zugriffen von Seiten deutscher Behörden, können ein Wettbewerbsvorteil für deutsche Cloud-Anbieter sein, sofern die Produkte zusätzlich innovativ und zeitgemäß sind.

Da die Anforderungen sehr hoch und die Umsetzungen anspruchsvoll sind, ist der Wunsch nach einem Datenschutzsiegel einer Cloud-Anwendung durch eine Zertifizierung nachvollziehbar. Eine pauschale Anerkennung eines solchen Zertifikats sieht der Gesetzgeber aber (noch) nicht vor. Grundsätzlich gilt jedoch, dass Zertifizierungen eine sinnvolle Maßnahme sein können, den Weg in die Cloud zu begleiten. Eine Blankovollmacht für das Erreichen von Datenschutzanforderungen sind sie aber nicht.