Carsten Graf, Senior Director Sales EMEA bei Cloudian, ist der Meinung, dass die Sorge um die Datensouveränität neue Geschäftschancen für die in Europa ansässigen Managed Service Provider (MSP) schaffen wird.
Laut dem amerikanischen Marktforschungsinstitut IDC werden 2022 fast alle Unternehmen (90 %) weltweit eine Multi-Cloud-Lösung implementiert haben. Angesichts dieser zunehmenden Cloud-Nutzung ist es keine Überraschung, dass das Thema Datensouveränität weiterhin für Schlagzeilen sorgt.
Laienhaft ausgedrückt handelt es sich bei Data Sovereignty um ein Rechtsprinzip, das besagt, dass digitale Daten den Gesetzen des Landes unterliegen, in dem sie verarbeitet werden. Für Unternehmen, die führende Public-Cloud-Lösungen nutzen, ist dies ein wichtiger Aspekt, da sich die Datenzentren dieser Cloud-Anbieter überall auf der Welt befinden können.
Wenn Unternehmen Anwendungen, Arbeitsprozesse und Daten in die Public Cloud verlagern, geben sie unweigerlich ein gewisses Maß an Kontrolle und Transparenz darüber auf, wo sich ihre Daten befinden, da es vielen großen Public-Cloud-Anbietern weiterhin an Transparenz mangelt.
Die Frage, wo die Unternehmensdaten gespeichert werden und wo die Cloud-Anbieter ihren Sitz haben, ist Gegenstand vieler Rechtsstreits. Werfen wir also einen Blick auf die aktuelle Rechtslage rund um die Datensouveränität und darauf, warum die anhaltenden Datenschutzbedenken ein Segen für MSPs sein könnten.
Wie steht es um die aktuelle Rechtslage?
Ein Hauptanliegen für Unternehmen ist das CLOUD-Gesetz, offiziell bekannt als US Clarifying Lawful Overseas Use of Data Act. Dieses Gesetz verlangt von US-Cloud-Anbietern, dass sie Daten an US-Behörden herausgeben, wenn sie darum gebeten werden – selbst wenn die Daten innerhalb der Grenzen eines anderen Landes gespeichert sind.
Hier ist es wichtig zu betonen, dass das CLOUD-Gesetz keinesfalls ein obskures, selten angewandtes Gesetz ist. Allein Microsoft hat zwischen Januar und Juni 2021 101 Durchsuchungsbeschlüsse von US-Strafverfolgungsbehörden erhalten, die nach außerhalb der Vereinigten Staaten gespeicherten Consumer Content Data suchen. Bei einer Anhörung des Justizausschusses des US-Senats im Jahr 2021 argumentierte das Unternehmen, dass viele der geheimen Datenanfragen, die es von US-Behörden erhält, rechtlich nicht gerechtfertigt sind.
Das CLOUD-Gesetz steht in klarem Widerspruch zur europäischen Datenschutz-Grundverordnung (GDPR), die besagt, dass Cloud-Anbieter sich verpflichten müssen, personenbezogene Daten nur auf der Grundlage rechtlicher Anfragen nach EU-Recht offenzulegen. Doch, obwohl ein Anbieter seinen Kunden versichern kann, dass ihre Daten innerhalb der von ihnen gewählten nationalen Grenzen gespeichert werden, garantiert dies keinen vollständigen Schutz vor US-Strafverfolgungsbehörden.
Besorgniserregend ist auch das Urteil in der Rechtssache Schrems II, durch das das „Privacy Shield“ (EU-US-Datenschutzschild) zwischen den USA und der EU für ungültig erklärt wurde. Im Rahmen dieses Abkommens durften US-Unternehmen personenbezogene Daten aus der EU erhalten, wenn sie sich an die EU-Standards für Datenschutz und Privatsphäre hielten. Am 16. Juli 2020 erklärte der Gerichtshof der Europäischen Union (EuGH) dieses Abkommen in einem bahnbrechenden Urteil, genannt Schrems II, für ungültig.
Der Fall Schrems II wurde von Max Schrems, einem prominenten österreichischen Rechtsanwalt und Verfechter des Datenschutzes, angestrengt. Er folgte auf eine frühere Beschwerde aus dem Jahr 2013, in der Schrems den irischen Datenschutzbeauftragten aufforderte, Datenübertragungen vom Facebook-Hauptsitz in der EU an seine US-Server zu untersuchen – aufgrund von Bedenken über die Datenerhebungs- und Überwachungspraktiken der US National Security Agency.
Infolge von Schrems I entschied der EuGH, dass der bestehende Safe-Harbour-Mechanismus ungültig sei. Er entwarf daraufhin einen neuen Mechanismus für die Datenübermittlung, der ihn ersetzen sollte – das EU-US Privacy Shield.
Nach dem Urteil in der Rechtssache Schrems I reichte Schrems seine Beschwerde erneut ein und begründete dies damit, dass Facebook weiterhin personenbezogene Daten von seinem europäischen Hauptsitz in Irland in die USA übermittelt habe. Facebook berief sich dabei auf so genannte Standardvertragsklauseln – Musterdatenschutzvertragsklauseln, die von der Europäischen Kommission vorab genehmigt wurden -, selbst wenn diese Klauseln dem ursprünglichen Urteil zu widersprechen schienen.
In seinem Urteil in der Rechtssache Schrems II befand der Gerichtshof das neue EU-US Privacy Shield aus zwei wesentlichen Gründen für unzureichend. Erstens bietet das US-Rechtssystem keinen angemessenen Schutz für personenbezogene Daten, insbesondere nicht vor US-Regierungs- und Strafverfolgungsbehörden. Und zweitens haben die betroffenen Personen in der EU keine wirksamen Möglichkeiten, Rechtsmittel gegen die US-Regierung einzulegen.
Insgesamt ist klar, dass Unternehmen mit Sitz außerhalb der USA es sich zweimal überlegen sollten, bevor sie einen US-amerikanischen Cloud-Anbieter beauftragen – selbst wenn der betreffende Anbieter ein zentrum im Land hat.
Liegt hier eine Chance für europäische MSPs?
Es ist nicht überraschend, dass viele Unternehmen nach alternativen Datenspeicherlösungen suchen. In Europa ansässige MSPs sind perfekt aufgestellt, um diese Nachfrage zu decken.
Glücklicherweise gibt es dank der ausgereiften Datenverarbeitungs-, Speicher- und Verwaltungsinfrastruktur eine Reihe hervorragender Optionen. Die heutige Cloud-ähnliche Speicherinfrastruktur ermöglicht es Anbietern, Dienste bereitzustellen, die denen der globalen Anbieter entsprechen, wobei die Datensouveränität innerhalb einer bestimmten Region strikt gewahrt bleibt. Da die Infrastruktur vollständig unter der Kontrolle des Dienstanbieters steht, steht es außer Frage, dass der Schutz der Daten gewährleistet ist.
Es besteht kein Zweifel, dass das Thema Datensouveränität auf der Agenda der IT-Spezialisten von Unternehmen weiter nach oben rücken wird. Während sie die richtige Cloud-Lösung für ihre individuellen Bedürfnisse auswählen, haben MSPs die Möglichkeit, diesen Speicherbedarf mit lokal ansässigen Diensten zu decken.