Security und Support - externer Zugriff weiter vorgesehen
Eine 100-prozentige Abschottung der EU-Cloud scheint allerdings nach wie vor nicht gegeben. Microsoft verweist an dieser Stelle auf Security-Anforderungen. Mehr als 8000 Spezialisten weltweit würden ständig über die Sicherheit der Cloud wachen, potenzielle Bedrohungen analysieren und Angriffe abwehren. Dafür sind offenbar Daten-Transfers aus der EU heraus notwendig. Diese Security-relevanten Vorgänge würden jedoch dokumentiert und seien auch allein auf sicherheitskritische Funktionen beschränkt, erläutert Brill.
Auch auf Support-Seite scheint die EU-Datengrenze derzeit nach wie vor durchlässig zu sein. Doch an dieser Stelle will Microsoft die Grenzen ebenfalls weiter dicht machen. In einer nächsten Phase der EU Data Boundary, die später im Jahr 2024 eingeläutet werden soll, würden auch Support-Daten innerhalb der EU-Grenzen gehalten und verarbeitet, hieß es. Sollte ein Zugriff von außerhalb Europas erforderlich sein, würde dieser im Rahmen einer Virtual Desktop Infrastructure auf das Notwendigste beschränkt. Microsoft will darüber hinaus auch eine rein EU-interne Support-Option anbieten - diese müssten Kunden allerdings kostenpflichtig extra dazubuchen.
Microsoft ist nicht der einzige Anbieter, der an speziellen entsprechend abgesicherten EU-Clouds arbeitet:
Oracle verspricht seinen Kunden mit der EU Sovereign Cloud eine DSGVO-konforme Cloud. Die Infrastruktur sei von Oracles Public Cloud getrennt und werde von einer separaten Firma in der EU betrieben. Der US-Konzern arbeitet außerdem eng mit dem BSI zusammen. Die Sicherheitsbehörde soll die Möglichkeit bekommen, alle Produkte und Services genau auf ihre IT-Sicherheit abzuklopfen. Damit will Oracle sein Behördengeschäft hierzulande ankurbeln.
AWS hat im Herbst 2023 seine European Sovereign Cloud angekündigt. Die entsprechende Infrastruktur befinde sich in Europa und werde auch dort betrieben, hieß es. Die Cloud laufe darüber hinaus physisch und logisch von der übrigen Public Cloud von AWS getrennt.
Anfang Oktober 2023 hat Google die Eröffnung seines ersten selbst betrieben Cloud-Rechenzentrum in Deutschland bekannt gegeben. Daniel Holz, Vice President EMEA North bei Google Cloud, bezeichnete die Anlage in Hanau als einen Meilenstein. Damit könne man deutschen Kunden künftig mehr Servicequalität bieten. Holz verwies außerdem auf Aspekte wie Datensicherheit und Datensouveränität.
Salesforce will mit einer eigens eingerichteten EU-Cloud, der Hyperforce EU Operating Zone, Datenschutzbedenken seiner Kunden aus dem Weg räumen. Damit ließen sich alle Regeln der DSGVO einhalten, verspricht der Anbieter.
Nach wie vor herrscht viel Unsicherheit darüber, inwieweit Unternehmen und Behörden Daten DSGVO-konform in den Clouds der großen US-Anbieter ablegen und verarbeiten dürfen. Zwar bemühen sich seit vielen Jahren die politischen Institutionen, einen verlässlichen Rechtsrahmen zu schaffen. Bislang allerdings ohne durchschlagenden Erfolg. 2015 kippten die Richter am Europäischen Gerichtshof (EuGH) auf Betreiben des österreichischen Datenschutzaktivisten Max Schrems die Safe Harbour-Vereinbarung. 2021 erklärte das Gericht auch die Nachfolgeregelung Privacy Shield für ungültig. Auch das im vergangenen Jahr ausgehandelte Data Privacy Framework dürfte über kurz oder lang vor dem EuGH landen.
Alles eine Frage des Zugriffs
Die Befürchtungen, dass US-amerikanische Cloud-Anbieter wie AWS, Google, Microsoft und Oracle durch Gesetze in den Vereinigten Staaten gezwungen sind, in deren Clouds gespeicherte Kundendaten im Bedarfsfall an US-Behörden herauszugeben, bleiben weiter bestehen. Insbesondere der seit März 2018 geltende Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wird mit großem Argwohn betrachtet. Das Gesetz verpflichtet amerikanische Internet- und Cloud-Anbieter sowie IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den USA erfolgt.
Datenschutzabkommen mit den USA: EU billigt Data Privacy Framework
Ob die Initiativen der Cloud-Anbieter tatsächlich für mehr Datenschutz sorgen können, bleibt fraglich. Datenschützer melden immer wieder Zweifel an. Die US-Anbieter blieben rechtlich weiter für die Daten in ihren Clouds verantwortlich und unterlägen als US-Unternehmen auch der US-Rechtsprechung. "Der Ort der Speicherung bringt leider nichts, solange Zugriff aus den USA möglich ist", argumentiert Schrems seit Jahren. Eine rechtlich stabile Lösung bräuchte eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben.