Cloud goes Germany – ein Sieg für den Datenschutz?

Großer Ankündigungsherbst in der der Cloud-Branche: Alle großen US-Provider wollen Rechenzentren in Deutschland eröffnen, es vergeht gerade keine Woche ohne neue Pressemitteilung. Kommt einer, kommen alle:

  • Salesforce kündigt die CRM as a Service-Produktion in T-Systems Rechenzentren an [1]
  • Microsoft plant deutsche Mittelstands-Cloud zusammen mit einem Partner [2]
  • Cisco will die „Intercloud“ von T-Systems betreiben und vermarkten lassen  [3]
  • VMware will neues Rechenzentrum für europäischen Markt in Deutschland bauen [4]
  • Oracle plant, Cloud Services in Frankfurt und München mit seinen  Colocation-Partnern Interxion und Equinix zu produzieren [5]

Nicht offiziell angekündigt waren Amazons Pläne für ein deutsches Rechenzentrum, seit 23. Oktober ist nun Amazon Web Services mit Datacentern in Frankfurt am Start [6]. Die offiziellen Verlautbarungen ähneln sich: Man wolle „die immer größer werdende Nachfrage“ nach Cloud Services bedienen und dem Kundenwunsch entsprechen, dass gespeicherte Daten innerhalb von Deutschland verbleiben. Deutsche und europäische Datenschutzbestimmungen gemäß EU-Standardvertragsklauseln (EU Model Clauses) und Bundesdatenschutzgesetz würden eingehalten, ein Vertrag zur Auftragsdatenverarbeitung wird abgeschlossen. Dazu ein ordentlicher Zertifizierungsgrad, Amazon bietet beispielsweise  ISO 27001, SOC 1 oder PCI DSS Level 1.

Ist das nun der rote Teppich in die Cloud für den deutschen Mittelstand, der sich hinsichtlich Datenschutz aus internationaler Sicht nicht erst seit der NSA-Affäre etwas sperrig und störrisch verhalten hat?

lock-409497_1920

Technisch sind die Sicherheitskonzepte der Anbieter sicherlich auf gutem Niveau. Lokale Rechenzentren sind im Vorteil, wenn es um Latenzzeiten geht. Gleichzeitig sind lokale Rechenzentren aber auch das Eingeständnis, dass die Cloud-Umsätze der US-Companies in Deutschland wegen Datenschutzbedenken einheimischer Unternehmen bislang weit hinter den Erwartungen zurückgeblieben sind.

Lokal produzierte Services werden -in Verbindung mit Kampfpreisen- für mehr Bewegung am Cloud-Markt sorgen, doch ob es gelingt, das fehlende Vertrauen des deutschen Mittelstandes zurückzuerorbern ist mehr als fraglich. Denn was in Pressemitteilungen (und den vielen IT-Newsstickern, die Pressemitteilungen oft direkt und unreflektiert übernehmen) gerne vornehm verschwiegen wird: US-Patriot Act sticht EU-Datenschutzbestimmungen, US-Unternehmen in Europa sind immer noch US-Unternehmen die sich im Zweifelsfall an US-Gesetze zu halten haben.

Terrorabwehr und Spionagebekämpfung als primäre Ziele des Patriot Acts sind nachvollziehbar [7] . Auch in Deutschland sind ITK-Anbieter gegenüber Strafverfolgungsbehörden auskunftspflichtig. Nach 9/11 wurden jedoch in den USA die Befugnisse von Geheimdiensten und Ermittlungsbehörden stark erweitert. Provider können seither mit oder ohne Gerichtsbeschluß zur Herausgabe von Kundendaten verpflichtet werden. In der Praxis wird von US-Regierungsbehörden wie dem FBI ein National Security Letter (NSL) erlassen, der den jeweiligen Provider zur Datenübermittlung zwingt, ohne das der betroffenen Inhaber der Daten hiervon zu informieren wäre.

Damit beginnt die Bredouille für die US-Anbieter, die ihren Kunden die Einhaltung von EU-Recht vertraglich garantieren. Microsoft, Amazon, Google und Co. müssen sich theoretisch bei jeder einzelnen Datenanforderung vor US-Gerichten gegen den Zugriff durch US-Behörden zur Wehr setzen, die Datenweitergabe aus einem EU-Rechenzentrum an US-Behörden verletzt schließlich EU-Recht. Wie realistisch das ist, mag sich jeder selbst ausmalen. Einen Eindruck davon, wie US-Behörden und Konzerne in den vergangenen Jahren zusammenarbeiteten, konnte sich die Welt beim PRISM-Skandal machen [8]. Die von Edward Snowden geleakten Dokumente legen es nahe, dass Geheimdienste direkten Zugriff auf die Kundendaten gängiger Public Cloud-Angebote erhalten und die Daten noch vor deren Verschlüsselung mittels direkten Schnittstellen abgreifen können. Die aktuelle öffentliche Gegenwehr von Microsoft gegen die Herausgabe von im Rechenzentrum Dublin gespeicherter Daten eines europäischen Kunden ist zwar absolut richtig, wirkt aber angesichts PRISM wie eine PR-Maßnahme, um weiteren Vertrauensverlust zu vermeiden [9].

Jetzt mag sich der grundsolide, des Terrors unverdächtige Mittelständler denken: Vertrag passt, Preis passt, Compliance passt (zumindest auf dem Papier) – so what, ich gehe jetzt in die deutsche Cloud eines US-Providers. Es ist richtig, dass die allermeisten Unternehmen  unter der Wahrnehmungsschwelle von US-Behörden bleiben, jedoch mangelt es an Transparenz, Rechtssicherheit, Rechtsverbindlichkeit und langfristiger Verlässlichkeit, die Auslegung des Patriot Acts ist maximal dehnbar. Wenn es um nationalen Interessen der USA geht, kann auf einmal auch der solide Mittelständler im Fokus stehen, der innovative Patente hält oder in den Nahen Osten exportiert.

So interessant es auch scheint, dass man ab demnächst die Clouds der großen US-Anbieter auch „Made in Germany“ buchen kann – Unternehmen, die Wert auf eine garantierte Einhaltung von EU-Datenschutzrecht und Bundesdatenschutzgesetz legen, sollten ihre personenbezogenen oder unternehmenskritischen Daten einem Cloud-Provider aus Deutschland bzw. Europa anvertrauen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.