Die Cloud und der Datenschutz
Dass Cloud-Service-Provider aus den USA verstärkt Rechenzentren in EU-Ländern und in Deutschland aufbauen, hat nur bedingt mit der größeren Nähe zum Kunden zu tun. Damit und mit freiwilligen Selbstverpflichtungserklärungen - siehe Microsoft - wollen sie Bedenken von Cloud-Nutzern ausräumen. Dass gerade Themen wie die Kontrolle über die eigenen Daten, der Standort des Rechenzentrums eines CSP und dessen Firmensitz eine Rolle bei der Auswahl des Anbieters spielen, belegen zahlreiche Studien.
Eine Untersuchung von Bitkom Research und KPMG ergab beispielsweise, dass 75 Prozent der deutschen Unternehmen, die Cloud-Dienste einsetzen oder dies tun wollen, von ihrem Provider erwarten, dass er die Services ausschließlich über Datacenter im EU-Raum bereitstellt. Und 73 Prozent verlangen, dass der CSP seinen Hauptsitz im Rechtsgebiet der EU hat. Cloud-Service-Provider aus Deutschland oder EU-Staaten stellen den auch diesen Punkt gerne heraus und werben damit, dass sie alle EU- und deutschen Datenschutzvorschriften penibel einhalten und deutschem beziehungsweise EU-Recht unterliegen.
Das heißt nicht, dass Amazon, Microsoft, Google, Oracle oder Salesforce.com per se solche gesetzlichen Regelungen unterlaufen, nur weil sie US-Firmen sind. Tatsache ist aber, dass sie als Unternehmen mit Hauptsitz in den USA amerikanischem Recht unterliegen. Und das bedeutet wiederum, dass sie gemäß Regelungen wie dem Patriot Act verpflichtet sind, auf Anfrage von US-Behörden Daten von Kunden herauszugeben, egal, in welchem Rechenzentrum diese lagern. Daran ändern auch Data Center in Dublin, Frankfurt am Main oder München nichts.
Microsoft: Kampf gegen übergriffige Gerichte
Ein Beispiel für die rigorose Sichtweise amerikanischer Behörden: Im Sommer 2014 verurteilte ein Gericht in New York Microsoft dazu, E-Mails eines Kunden herauszugeben, die im Microsoft-Rechenzentrum in Dublin lagerten. Gegen diese "Cloud-Hausdurchsuchung" hat Microsoft Rechtsmittel eingelegt. Unterstützung erhält das Unternehmen dabei von anderen IT-Firmen, etwa Google, Apple, AT&T, Cisco und Verizon. Sie alle fürchten, dass ein derartiges Durchgriffsrecht amerikanischer Behörden Anwender im Ausland abschreckt.
Und das zu Recht, denn mittlerweile kristallisiert sich speziell in Deutschland heraus, dass Unternehmen, aber auch öffentliche Einrichtungen, auf CSPs mit Sitz in Deutschland oder zumindest der EU zurückgreifen beziehungsweise dies tun müssen. Vor diesem Hintergrund ist nachvollziehbar, dass sich derzeit in vielen Unternehmen eine Arbeitsteilung herauskristallisiert: Unternehmenskritische Daten werden im eigenen Rechenzentrum oder einer Private Cloud gespeichert und bearbeitet, weniger kritische Services, etwa Office oder Storage-Kapazitäten für - verschlüsselte - Archivdaten ordert ein Anwender bei einem Service-Provider.
Allerdings gilt es bei der Debatte über die Sicherheit von Geschäftsdaten bei einem (ausländischen) Cloud-Anbieter folgenden Punkt zu bedenken: Die meisten Rechenzentren von Unternehmen, speziell von Mittelständlern, weisen meist nicht dieselben hohen IT-Security-Standards auf wie Cloud-Rechenzentren. Dass Unternehmensdaten durch illoyale oder fahrlässige eigene Mitarbeiter oder eine Attacke von Cyber-Kriminellen auf das Firmenrechenzentrum abhanden kommen, ist somit wahrscheinlicher als "Data Breaches" bei einem Cloud-Service-Provider.