Public Clouds made in Germany

Cloud-Computing ist für einen Großteil der Unternehmen unverzichtbar geworden. Da sind sich die Marktforscher einig. „Cloud-Computing ist als Kernkomponente in den deutschen Unternehmen gesetzt. Die Mehrheit der Unternehmen beschäftigt sich intensiv mit diesem Thema“, sagt beispielsweise Björn Böttcher, Senior Analyst & Data Prac­tice Lead beim Analystenhaus Crisp Research. „Nur bei knapp 15 Prozent der Unternehmen zählt Cloud-Computing noch nicht zum Portfolio ihrer IT-Strategien.“ Zu einer ähnlichen Einschätzung kommt der „Cloud-Monitor 2017“, den das Beratungshaus KPMG in Zusammenarbeit mit Bitkom Research erstellt hat. Danach nutzten 2016 über 80 Prozent der deutschen Unternehmen Cloud-Dienste oder hatten konkrete Pläne, dies zu tun – 11 Prozent mehr als im Vorjahr.

Allerdings haben Firmen in Deutschland klare Vorstellungen, was den Speicherort und den Schutz ihrer Daten in einer Cloud betrifft. Laut Cloud-Monitor bestehen 77 Prozent auf einem Provider mit Hauptsitz im Rechtsgebiet der Europäischen Union. An die 71 Prozent der Cloud-Nutzer halten Rechenzentren in Deutschland für unverzichtbar, 60 Prozent bevorzugen sogar einen Anbieter, dessen Firmensitz in Deutschland liegt. Den Hauptgrund für diese vorsichtige Haltung kennt Olaf Köppe, Partner und Head of IT Compliance bei KPMG: „Die größten Bedenken gegenüber öffentlichen Cloud-Diensten haben deutsche Unternehmen beim Datenschutz. Sie befürchten, dass Cloud-Computing die Einhaltung von Compliance-Anforderungen gefährdet.“

Vor allem die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union veranlasst Unternehmen, ihre Cloud-Strategie zu überprüfen. Die DSGVO muss ab dem 25. Mai 2018 umgesetzt werden. Sie sieht unter anderem vor, dass auch ausländische Cloud-Service-Anbieter die Vorgaben der Grundverordnung beziehungsweise General Data Protection Regulation (GDPR), so der englische Begriff, erfüllen müssen. Wer einen Cloud-Dienst nutzt und damit sensible Daten bearbeitet, etwa Kundeninformationen oder Gesundheitsdaten, muss prüfen, ob sein Provider die Datenschutz- und Datensicherheitsregeln einhält. Hinzu kommen erweiterte Dokumentationspflichten in puncto Datenschutz für den Provider und den Cloud-Service-Nutzer sowie verschärfte Meldepflichten und Strafen bei einem Datenleck. 

Nach Einschätzung von Rechtsanwalt Jens Eckhardt, Vorstand Recht & Compliance bei EuroCloud Deutschland_eco e. V., stellt die DSGVO für Provider aber keine unüberwindbare Barriere dar. Er empfiehlt ihnen, proaktiv auf ihre Auftraggeber zuzugehen und die neuen Vorgaben bereits jetzt in den gemeinsamen Verträgen umzusetzen. „In den meisten Fällen ist es ausreichend, sich auf andere Vertragstexte zu einigen. Eine Änderung an den Service-Prozessen allein wegen der DSGVO wird in den seltensten Fällen notwendig sein“, so der Jurist.

Vor dem Hintergrund der DSGVO haben sich alle führenden Cloud-Service-Anbieter aus den USA dazu verpflichtet, diese Vorgaben einzuhalten. Dazu zählen Amazon Web Services (AWS), Google, IBM, Microsoft und Oracle. Auch dem Wunsch deutscher Unternehmen, Daten ausschließlich in Rechenzen­tren auf dem Boden der Bundesrepublik zu verarbeiten, kommen sie nach. AWS, IBM und Microsoft haben bereits Datacenter in Deutschland eröffnet. Google und Oracle wollen das noch 2017 tun. Allerdings droht von anderer Seite Gefahr: US-Präsident Donald Trump hat angekündigt, dass er die Maßnahmen erweitern wird, die dem Schutz der USA dienen. Darunter fällt auch ein reduzierter Datenschutz für Bürger ausländischer Staaten. Einen entsprechenden Erlass unterzeichnete Trump am 25. Januar dieses Jahres. Er tangiert jedoch (noch) nicht Bürger von EU-Staaten. Vielmehr garantiert das EU-US-Privacy-Shield-Abkommen von 2016 für Daten von EU-Bürger einen vergleichbaren Schutz wie in Europa. Unklar ist derzeit aber, ob diese Vereinbarung Bestand haben wird.