Europäische Hyperscaler Gibt es einen sicheren Weg zur datenschutzkonformen Cloud-Nutzung?

Autor / Redakteur: Andreas Falkner / Peter Schmitz

Daten mit gutem Gewissen in einer Public Cloud speichern und verarbeiten? Auch wenn es sich um sensible Informationen oder personenbezogene Daten handelt? Europäische Hyperscaler bieten dafür eine rechtssichere und datenschutzkonforme Lösung.

Firmen zum Thema

Haben Sie einen sicheren Weg in die Cloud gewählt? Besonders Mittelständlern fehlt häufig der notwendige juristische Rückhalt.
Haben Sie einen sicheren Weg in die Cloud gewählt? Besonders Mittelständlern fehlt häufig der notwendige juristische Rückhalt.
(© natali_mis - stock.adobe.com)

Rund 65 Prozent der weltweiten Marktanteile für Cloud-Services liegen bei Amazon, Microsoft und Google. Auch deutsche Unternehmen setzen verstärkt auf US-Hyperscaler. Immer mehr Daten wandern über den Atlantik. Handelt es sich um personenbezogene Daten kann das problematisch sein: Selbst wenn die Daten auf den Servern verschlüsselt vorliegen, bewegen sich Unternehmen damit auf dünnem Eis. Da das Privacy Shield im Juli 2020 vom EuGH gekippt wurde, gibt es momentan keine rechtsverbindliche Grundlage hinsichtlich der Datenübermittlung in die USA, wie das Centrum für Europäische Politik ermittelte. Auslöser für das EuGH-Urteil war die wiederholte Klage des Österreichers Max Schrems gegen Facebook – bekannt als Rechtssache Schrems II.

Mittelstand hat es besonders schwer

Das EuGH-Urteil unterstreicht einmal mehr, dass Unternehmen, die Public-Cloud-Services bereits nutzen oder es planen, die rechtliche Situation nicht aus den Augen verlieren dürfen. Der Umgang mit personenbezogenen Daten und die Einhaltung der Datenschutzgrundverordnung (DSGVO) sollte stets auf ihrer Agenda stehen. Dabei prüfen neben den Datenschutzbeauftragten insbesondere in größeren Unternehmen die Rechtsabteilungen – und damit zumeist Volljuristen –, mit welcher Cloud-Lösung sich sensible und personenbezogene Informationen rechtssicher verarbeiten lassen.

Anders hingegen sieht es bei Mittelständlern aus: Sie besitzen häufig keine eigenen Rechtsabteilungen. Zwar sind diese i.d.R laut DSGVO dazu verpflichtet einen Datenschutzbeauftragten zu stellen, dieser deckt das benötigte Know-How aber nicht immer ab. Jurisitsche Expertise in puncto Datenschutz müsste somit teuer eingekauft werden. Die Folge: Gerade mittelständischen Entscheidern fällt es schwer herauszufinden, wie sich die Vorteile der Public Cloud – sprich flexibel skalierbare Services – datenschutzkonform und rechtssicher nutzen lassen.

Volle Datensouveränität behalten

Möchten Unternehmen grundsätzlich vermeiden, dass personenbezogene Daten in Drittländer gelangen, lohnt sich die Nutzung europäischer Public-Cloud-Lösungen. Diese sind naturgemäß Schrems-II-konform und bleiben unbeeinflusst von der künftigen Nachfolgeregelung des Privacy Shield. Unternehmen müssen daher weder Zeit noch Geld aufwenden, um sich mit den rechtlichen Fallstricken zu beschäftigen, die eine Datenverarbeitung in Staaten außerhalb der EU mit sich bringen würde.

Ein Pluspunkt auch für die europäische Cloud-Umgebung GAIA-X, die dank sicherer und vertrauenswürdiger Infrastruktur volle Datensouveränität ermöglicht. GAIA-X definiert die Regeln und Standards, nach denen Daten ausgetauscht und verarbeitet werden können – auf der Grundlage europäischen Rechts. Auf diese Weise lässt sich sicherstellen, dass die Besitzer von Daten die Hoheit über diese behalten und jederzeit entscheiden können, wer darauf zugreifen darf – und wer nicht.

Alles Argumente, die besonders für Branchen von Bedeutung sind, deren Geschäftsmodelle größtenteils auf sensiblen Daten basieren. Nach den Erfahrungen von T-Systems evaluieren derzeit vor allem Banken und Versicherungen, aber auch Institutionen aus dem Public-Bereich, wie sich Cloud-Ressourcen für ihre Zwecke nutzen lassen. Häufig dafür betrachtet werden europäische Angebote, wie beispielsweise die Open Telekom Cloud.

Wichtige Auswahlkriterien für die Public Cloud

Unabhängig von Branche und Betriebsgröße gilt: Um beim Datenschutz auf der sicheren Seite zu sein, sollten die Verantwortlichen bei der Auswahl ihrer Public-Cloud-Services einige Punkte beachten. Hier bieten Zertifizierungen eine gute Orientierung, da diese von Experten aus objektiver Perspektive ausgestellt werden. Außerdem ist es von Vorteil, wenn die Infrastruktur auf offenen Architekturen und Standards basiert, sodass sich ein Vendor Lock-in vermeiden lässt. Die Kunden sind weder in proprietären Ökosystemen von Cloud-Providern gefangen, noch müssen sie beim Wechsel zu einem anderen Anbieter große Hürden überwinden und mehrere Monate für die Migration Ihrer Cloud-Landschaft einplanen. Darüber hinaus entwickelt eine breite Community – bestehend aus IT-Anbietern, Kunden und Entwicklern – die Open-Source-Lösungen kontinuierlich weiter. Da quelloffene Software per se für jeden einsehbar ist, lässt sich nachvollziehen, wie sich der Code verändert. Wichtiges Anliegen aller Beteiligten: die Lösungen stets rechtssicher zu gestalten.

Ein weiterer Knackpunkt betrifft den Speicherort der Daten. So befinden sich bei der Open Telekom Cloud alle Kundendaten in hochsicheren Twin-Core-Rechenzentren in Deutschland oder den Niederlanden – und verbleiben damit im europäischen Rechtsraum. Das Twin-Core-Prinzip bedeutet, dass die Rechenzentren exakt gleich aufgebaut sind. Fällt ein Standort aus, sichert der andere den reibungslosen Betrieb. In diesem Zusammenhang sollten Unternehmen auf eine hochverfügbare Architektur Ihrer Cloud-Infrastruktur achten und sich bei Bedarf diesbezüglich beraten lassen.

Um Ausfälle zu vermeiden spielt auch die Cyber- und physische Sicherheit eine große Rolle. Ist das Rechenzentrum ausreichend vor Naturgewalten wie Hochwasser oder Sturm geschützt? Ebenfalls wichtig sind eine kontinuierliche Stromversorgung sowie professioneller Brandschutz. Bei letzterem sorgen Brandfrüherkennung mit Ansaugrauchmeldern, ausgefeilte Raumkonzepte mit autarken Brandschutzzellen und moderne Löschanlagen für einen sicheren Betrieb und die ständige Verfügbarkeit der Daten.

Unternehmen, die ihr Digitalisierungsvorhaben zusätzlich nachhaltig gestalten möchten, können einen Blick auf den Energieverbrauch der Rechenzentren und die Nutzung erneuerbarer Energien werfen. So kann beiläufig auch die Umwelt profitieren.

Über den Autor: Andreas Falkner besitzt langjährige Erfahrung in der Leitung großer internationaler Telco- und IT-Projekte. Seit 2016 verantwortet er den Bereich Open Telekom Cloud in der T-Systems International GmbH (TSI). In der Zeit davor war er bei der TSI unter anderem als Vice President im Konzerngeschäftsfeld Energie tätig.

(ID:47733673)