Public Cloud First Mit europäischer Cloud auf der rechtssicheren Seite

Autor / Redakteur: Sven Kullmann* / Elke Witmer-Goßner

Die eigene Cloud-Strategie will wohl durchdacht sein, insbesondere um hinsichtlich Compliance und Datenschutz rechtssicher unterwegs zu sein. Worauf Unternehmen bei der Auswahl ihres Cloud-Providers achten sollten und welche Chancen europäische Clouds bieten.

Firmen zum Thema

Die meisten Unternehmen verfolgen eine Cloud-First-Strategie und wollen laut Bitkom bis 2025 im Durchschnitt die Hälfte ihrer produktiven Anwendungen aus der Cloud betreiben.
Die meisten Unternehmen verfolgen eine Cloud-First-Strategie und wollen laut Bitkom bis 2025 im Durchschnitt die Hälfte ihrer produktiven Anwendungen aus der Cloud betreiben.
(Bild: © Benjamin Haas - stock.adobe.com)

Europas Unternehmen digital stärken: Mit dem im Frühjahr veröffentlichten digitalen Kompass will die Europäische Kommission bis 2030 den technologischen Wandel in der EU verstärkt vorantreiben. Erklärtes Ziel: in einer offenen, vernetzten Welt digital souverän zu sein. Zentrale Punkte sind dabei der digitale Umbau von Unternehmen und die herausragende Rolle von Cloud-Computing. Denn bis 2030 sollen drei von vier Betrieben Cloud-Dienste nutzen.

„Cloud First“ ist also gesetzt. Doch wie können Unternehmen das volle Potenzial der Cloud am besten nutzen? Vor allem die Public Cloud verspricht fast unbegrenzt skalierbare IT-Ressourcen, die kurzfristig bereitstehen und sich nutzungsabhängig abrechnen lassen. So können Unternehmen schnell auf neue Anforderungen reagieren und Innovationen agil umsetzen.

Wie wichtig die Public Cloud für die IT-Strategie von Unternehmen mittlerweile ist, unterstreicht der Cloud-Monitor von Bitkom Research. Demnach nutzten im Jahr 2020 bereits knapp 46 Prozent (2019: 31 Prozent) der Befragten eine Public-Cloud-Lösung. Die wichtigsten Vorteile: Cloud-Lösungen beschleunigen die Digitalisierung, sorgen für die Entwicklung neuer Vertriebs- und Servicekanäle sowie für eine engere und bessere Zusammenarbeit zwischen Fachbereichen und IT-Abteilung.

Datenschutz und Sicherheit im Blick behalten

Um die für ihre Zwecke beste Cloud-Lösung zu finden, sollten Unternehmen bestimmte Auswahlkriterien beachten. Für die Erfüllung klassischer Kundenanforderungen kommen große US-Provider – wie Amazon, Microsoft und Google – und OpenStack-Anbieter gleichermaßen in Frage. Die Angebote sind hinsichtlich Funktionalität, Performance und Preismodell nahezu auf einem Niveau. Unterschiede gibt es jedoch, wenn es darum geht, geschäftskritische oder personenbezogene Daten in der Public Cloud zu speichern oder zu verarbeiten. Hier sollten Unternehmen stets den Schutzbedarf ihrer Daten im Blick behalten und klären, inwieweit der Provider die geforderten Compliance-Richtlinien und die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) umsetzen kann.

Eine nicht immer einfache Aufgabe, wie der Bitkom-Cloud-Report zeigt. So war für 35 Prozent der Unternehmen schon 2019 die Rechtslage beim Cloud-Einsatz unklar. Das im Sommer 2020 vom Europäischen Gerichtshof (EuGH) gefällte Schrems-II-Urteil und damit das Ende des Privacy Shield, der bis dato die Datenübermittlung in die USA regelte, machen die Sache noch komplexer.

Darum geht’s: Der Schutz von personenbezogenen Informationen und der Privatsphäre gehört zu den europäischen Grundrechten. Diese Rechte müssen auch dann gelten, wenn schützenswerte Daten in Drittstaaten übermittelt werden. In der Vergangenheit war dies nicht immer der Fall. Dies zeigen die vielen Klagen, die der österreichische Jurist Max Schrems gegen das US-amerikanische Unternehmen Facebook einreichte. Seine Kritik: US-amerikanische Behörden wie NSA oder FBI hätten einen umfassenden Zugriff auf die in der Cloud gespeicherten Daten. Unter dem Titel „Rechtssache Schrems II“ gewann der Jurist im Juli 2020 nicht nur einen weiteren Prozess, sondern brachte auch den Privacy Shield zu Fall. Denn der EuGH legte fest, dass der Schutzschild für die Übermittlung von personenbezogenen Daten in die USA nicht mehr mit dem europäischen Datenschutzniveau vereinbar sei.

Große Chancen für europäische Clouds

Mit Blick auf die EuGH-Entscheidung lohnt es sich, die Nutzung europäischer Public-Cloud-Lösungen in Betracht zu ziehen. Diese verarbeiten Daten ausschließlich innerhalb der EU-Grenzen und ersparen Unternehmen somit die rechtliche Prüfung hinsichtlich einer Datenübertragung in Drittländer. Das heißt, sie sind naturgemäß Schrems-II-konform und bleiben auch von einer möglichen Nachfolgeregelung des Privacy Shield unbeeinflusst.

So garantiert die Teilnahme eines Cloud-Providers am Gaia-X-Projekt den Kunden beispielsweise Datensouveränität. An der europäischen Initiative beteiligen sich momentan mehr als 300 IT-Anbieter und Forschungseinrichtungen. Zentrales Ziel: Firmen jeglicher Größe sollen die Flexibilität und Innovationskraft des kompletten Cloud-Stacks nutzen können und dabei gleichzeitig die Sicherheit haben, dass sie stets Herr ihrer Daten bleiben. Das gilt nicht nur für personenbezogene Daten, sondern auch für kritische Informationen wie Betriebs- oder Berufsgeheimnisse.

Geheimhaltung als oberste Pflicht

Apropos Berufsgeheimnis: Ärzte, Juristen, Wirtschaftsprüfer und viele weitere Berufsgruppen zählen zu den sogenannten Berufsgeheimnisträgern. Sie unterliegen der Schweigepflicht und dürfen ihnen anvertraute Geheimnisse nicht an Dritte weitergeben; Verstöße dagegen können mit Geld- oder Freiheitsstrafen geahndet werden. Aus diesem Grund ließen sich Cloud-Lösungen in diesem Umfeld bisher nicht ohne Weiteres nutzen.

Inzwischen hat sich die Lage geändert. Zunächst regelte der Gesetzgeber den § 203 StGB im Jahr 2017 neu und ermöglichte es Berufsgeheimnisträgern, einfacher externe IT-Dienstleistungen wie Cloud-Services zu nutzen. Völlig ohne Bedenken ist dies jedoch erst möglich, wenn der Cloud-Anbieter eine zusätzliche Vereinbarung zum Geheimnisschutz nach § 203 StGB unterzeichnet.

Die Deutsche Telekom ermöglicht das seit Anfang 2021 mit der Open Telekom Cloud. Der Zugriff auf die geschützten Daten seitens des Cloud-Providers ist auf das für die Inanspruchnahme der Dienstleistung Notwendigste beschränkt. Die Verpflichtung zur Geheimhaltung gilt ebenso für die an der Leistungserbringung beteiligten Subunternehmer. Außerdem lassen sich die Daten verschlüsseln, sodass Berufsgeheimnisträger ihre kritischen Informationen sicher in der Public Cloud ablegen und bearbeiten können.

Klarer Vorteil für Open-Source

Sven Kullmann, T-Systems International GmbH.
Sven Kullmann, T-Systems International GmbH.
(Bild: Norbert Ittermann)

Neben solchen Sicherheitsaspekten punkten europäische Cloud-Konzepte wie die Open Telekom Cloud oder Initiativen wie Gaia-X mit ihren Open-Source-Architekturen. Anders als proprietäre Technologien versprechen quelloffene Systeme mehr Freiheiten für die Kunden. Der Wechsel auf eine andere Open-Source-Cloud gelingt unkompliziert und schnell. Außerdem erhöht sich die Sicherheit in der Cloud. Denn aufgrund offener Quellcodes können die Verantwortlichen jederzeit nachvollziehen, ob sich der Code verändert hat und sich jemand unbefugt Zugriff darauf verschafft hat.

*Der Autor: Sven Kullmann verantwortet als Vice President den Vertrieb der Open Telekom Cloud im Telekom-Konzern. Er ist seit über 20 Jahren in unterschiedlichen Managementpositionen für internationale Unternehmen der IT-Branche wie Fujitsu, EDS und Memorex tätig.

(ID:47702299)