Gaia-X
Auf dem Weg zur Europa-Cloud
Das Projekt Gaia-X muss Kritik von verschiedenen Seiten einstecken. Doch jetzt hat die Diskussion, weshalb amerikanische Anbieter trotz unzureichender Datenschutzbedingungen den Cloud-Markt derart beherrschen, neues Futter bekommen.
Oft wird den deutschen Unternehmen Skepsis in Bezug auf die Cloud vorgeworfen, zu zögerlich seien manche bei der Adaption dieser Technologie. Auf die Frage, was denn gegen Cloud-Computing spreche, landet eine Antwort immer unter den meistgenannten: Bedenken hinsichtlich Datenschutz und Datensicherheit. Das heißt, IT-Entscheider machen sich sehr wohl Gedanken darüber, ob ihre Daten in der Cloud sicher aufgehoben sind. Dennoch und obwohl die Rechtslage nach wie vor verwirrend bis schwierig ist, vertrauen viele Unternehmen ihre Daten amerikanischen Cloud-Dienstleistern wie Amazon, Google und Microsoft an.
Mit ihrer paneuropäischen Cloud, auch bekannt unter dem bedeutungsvollen Projektnamen „Gaia-X“, will die Bundesregierung eine Alternative bieten. Die Bundesministerien für Wirtschaft und Energie sowie für Bildung und Forschung wollen nach eigenen Worten „eine vernetzte Dateninfrastruktur als Wiege eines vitalen, europäischen Ökosystems“ erschaffen. Gemeinsam mit Frankreich will die Bundesregierung in die Forschung in diesem Bereich investieren und die Voraussetzungen für eine KI-taugliche, industrielle Cloud-Plattform schaffen. Dabei wird sie nicht selbst als Provider oder Betreiber auftreten, sondern sich Partner mit entsprechender Cloud-Expertise ins Boot holen. Die ersten Testläufe soll es bereits Mitte nächsten Jahres geben, der Start des Live-Betriebs ist für Ende 2020 geplant. Mit an Bord sind nicht nur Branchenriesen wie die Deutsche Telekom und SAP: Gaia-X ist offen für alle, gerade auch kleine und mittelständische Provider sollen zentraler Bestandteil des Netzwerkes werden.
Nach wie vor unbefriedigend: die Rechtslage
Die Europa-Cloud soll den Ansprüchen an Europäische Datenschutzvorgaben genügen, Datensouveränität sicherstellen und zugleich durch standardisierte Schnittstellen höchst interoperabel sein. Was die Bundesregierung damit meint, erklärt sie in ihrer Veröffentlichung „Das Projekt Gaia-X“ und gibt erste Einblicke in die geplante Infrastruktur. So soll beispielsweise jeder Knoten eine eigenständige Einheit bilden, die eindeutig identifizierbar und erreichbar ist. Daran soll eine Selbstbeschreibung geknüpft werden, die Spezifikationen über den Speicherort und die Verarbeitung der Daten sowie die verwendeten Technologien und Leistungsparameter enthält. Zertifizierte Schutzgrade sollen die Datensouveränität sicherstellen, insbesondere dann, wenn die Europäische Datenschutzgrundverordnung (EU-DSGVO) greift.
Aus der Sicht deutscher und europäischer Unternehmen gehen diese Überlegungen in die richtige Richtung. Denn die internationale Rechtslage ist nach wie vor nicht ganz einfach zu durchschauen. Unklare Parameter aber sorgen dafür, dass Unternehmen entweder gar nicht auf Cloud-Technologien setzen wollen oder dieses Kriterium bei der Wahl ihres Dienstleisters außer Acht lassen. Dabei sind, mit europäischen Augen betrachtet, insbesondere die US-amerikanischen Datenschutzregelungen bedenklich. Zwar gibt es sehr wohl Vorgaben, diese sind jedoch eher branchenspezifisch definiert und beruhen größtenteils auf der Selbstverpflichtung der Unternehmen. Auch drohen ihnen Sanktionen, wenn sie das selbst auferlegte Sicherheitsniveau nicht einhalten – die Aufsicht und Prüfung unterliegt der Federal Trade Commission (FTC), der in der Wirtschaft verankerten und entsprechend agierenden Bundeshandelsgesellschaft. Ebenso problematisch sind die umfangreichen Befugnisse der US-Sicherheitsbehörden, die vergleichsweise problemlos die Herausgabe auch personenbezogener Daten fordern dürfen. Der 2018 unterzeichnete Cloud Act (Clarifying Lawful Overseas Use of Data Act) erweitert diese sogar noch: US-Cloud-Dienstleister können auch dann zur Herausgabe von Daten gezwungen werden, wenn sie diese auf Servern in Europa speichern.
In Europa sind seit Mai 2018 die Regelungen der EU-DSGVO für die Mitgliedsstaaten verbindlich. Strengere Regeln für die Erhebung und Verarbeitung personenbezogener Daten sollen die Grundrechte und Grundfreiheiten jeder natürlichen Person schützen. Ergänzend dazu konkretisiert das neue Bundesdatenschutzgesetz (BDSG-neu) einige Öffnungsklauseln der DSGVO, nämlich solche, die nationale Spezifizierungen ermöglichen. Die DSGVO ist ein übergreifendes Recht und gilt für staatliche Stellen ebenso wie für alle Unternehmen. Bezogen auf das Cloud-Computing bedeutet das, dass Cloud Provider mit Sitz in Europa entsprechende Maßnahmen ergreifen müssen, um der DSGVO zu genügen. Aber: Sie übernehmen dabei nicht volle Verantwortung für ihre Auftraggeber. Diese müssen im Zweifel selbst beweisen, dass sie bei der Wahl des Providers entsprechend darauf geachtet haben.Mit den Anforderungen an das Cloud-Computing im Speziellen befasst sich der C5-Anforderungskatalog (Cloud Computing Compliance Controls Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er schafft keinen neuen Standard, sondern fasst bestehende zusammen, darunter ISO 27001, die Cloud Controls Matrix der Non-Profit-Organisation der Cloud Security Alliance und der BSI IT-Grundschutz. In 17 Themenbereichen werden Mindestanforderungen definiert, die professionelle Cloud Provider erfüllen sollten,
darunter zahlreiche Datenschutz- und Datensicherheitsvorgaben. Der C5-Katalog eignet sich hervorragend als Checkliste bei der Wahl des passenden Providers.
- Auf dem Weg zur Europa-Cloud
- Die Alternative gibt es bereits
