Seit Einführung der DSGVO wird in der EU diskutiert, ob US-amerikanische Cloud-Anbieter den strengen Vorgaben zu Datenschutz und -verwaltung entsprechen können. Ein neues Abkommen soll die Compliance gewährleisten – oder ist doch eine europäische Cloud die bessere Lösung? [...]
Mitte Dezember hat die EU-Kommission nach fast eineinhalb Jahren an Verhandlungen mit den USA einen neuen Vorschlag präsentiert, wie sich personenbezogene Daten DSGVO-konform verarbeiten lassen. Eine zentrale Rolle spielt dabei das sogenannte EU-US-Data Privacy Framework. Die EU-Kommission will das Verfahren in den kommenden Monaten abschließen. Doch ob der Versuch eines rechtssicheren „Privacy Shield“-Nachfolgers dieses Mal erfolgreich sein wird, ist noch offen.
Vor dem Hintergrund dieser Diskussion gibt es immer wieder Stimmen, die sich für die Idee einer europäischen Cloud einsetzen. Das Ziel von Projekten wie Gaia-X ist aber bislang unerreicht: das gesamte Potenzial der Cloud innerhalb europäischer oder gar nationaler Grenzen zu nutzen.
Zweifelsohne ist das Streben nach Datenhoheit legitim. Unternehmen müssen aus Security- und Compliance-Gründen den Ort, an dem ihre Daten gespeichert sind, und den Akteur, der sie verwaltet, kennen. Aber das bedeutet nicht unbedingt, dass alle Prozesse in der EU oder gar im eigenen Land bleiben müssen. Denn neben der Datenhoheit sind auch Fragen zu Innovation, Data Governance sowie Mitarbeiter- und Kundenbedürfnisse zu berücksichtigen.
Die aktuelle Lage
Nach einer aktuellen Studie des Capgemini Research Institute haben viele Organisationen Bedenken, Public Clouds für ihre digitale Transformation zu nutzen. 69 Prozent befürchten, extraterritorialen Gesetzen zu unterliegen. Dieser Punkt könnte durch das EU-US-Data Privacy Framework entfallen, doch für die Rechtssicherheit ist vermutlich erheblicher Aufwand zu leisten. 68 Prozent sind besorgt über fehlende Transparenz und Kontrolle, was mit ihren Daten in der Cloud geschieht.
So zögern sie mit der Cloud-Migration ihrer Daten, wenn deren Wiederherstellung und Rückholbarkeit sowie die Preisgestaltung unsicher sind. Entsprechend ziehen es viele Unternehmen vor, ihre kritischen und vertraulichen Daten lokal zu speichern. Dabei investieren sie oft in Private Clouds, um von der automatisierten Bereitstellung von Anwendungen, Infrastrukturen und Plattformen zu profitieren.
Mehr als nur Datenhoheit
In der Praxis haben viele Unternehmen jedoch festgestellt, dass in Eigenregie installierte und verwaltete Private Clouds nicht die optimale Lösung sind. Einerseits erfordern sie einen erheblichen Zeit-, Ressourcen- und Kostenaufwand. Andererseits bieten die US-Hyperscaler oft eine deutlich höhere Benutzerfreundlichkeit sowie mehr aktuelle Funktionen. Mit Hilfe ihrer großen Partnersysteme können sie schneller neue Dienste anbieten. Allerdings kann ihre Marktmacht auch den Wettbewerb zur Entwicklung neuer Dienste behindern.
Zudem müssen sich Unternehmen um weitere Punkte kümmern: Erstens wollen sie weiterhin innovativ sein, ohne die Kostenkontrolle zu verlieren. Die Modernisierung der Anwendungen, die betriebliche Effizienz und die Performance sind dabei wichtige Themen. Dafür bietet die Public Cloud optimale Flexibilität.
Zweitens wünschen sich Unternehmen Unabhängigkeit gegenüber einzelnen Providern und die Möglichkeit zur Auswahl des jeweils besten Anbieters. Entsprechend gilt laut einer aktuellen Umfrage von Nutanix für 81 Prozent der Unternehmen die hybride Multi-Cloud als ideales IT-Betriebsmodell. So soll sich die Nutzung der Multi-Cloud in Deutschland zwischen 2022 und 2024 von 26 auf 55 Prozent mehr als verdoppeln.
Wenn Daten vor Ort und in mehreren Clouds gehostet werden, steigt jedoch das Risiko der unkontrollierten Verbreitung und der Intransparenz von vertraulichen und sensiblen Informationen, die oft redundant vorliegen. Dieses Risiko kann sich kein Unternehmen in der EU leisten, aufgrund der immer strengeren Vorschriften und höheren Strafen für Verstöße.
Die unterschätzte Data Governance
Daher ist es verwunderlich, dass das Thema Datenverwaltung und -sicherheit oder Data Governance nicht stärker in den Vordergrund rückt. Und dass, obwohl einige Anbieter durchaus über sichere Rechenzentren verfügen, die als digitale Tresore fungieren und genau dem Bedarf entsprechen.
Vielleicht ist es eine Frage der Verantwortung. Denn viele Cloud-Anbieter waren zuvor Website-Hosts. Diese lassen aber oft die Gerichte entscheiden, welche Maßnahmen bezüglich der auf ihren Servern gehosteten Informationen nötig sind. Oder sie mögen die detaillierte Datenverwaltung nicht, weil sie es vorziehen, alle Daten eines Kunden in einem Schwung zu bearbeiten.
Die gesetzliche Verpflichtung, bestimmte Daten zu finden, zu löschen oder zu anonymisieren, erfordert es jedoch, diese Haltung zu überdenken. Denn Unternehmen und öffentliche Institutionen benötigen Unterstützung bei der Umsetzung einer verantwortungsvollen Data Governance. Dabei können künstliche Intelligenz, Machine Learning und Experten helfen. Aber das Thema bleibt oft unberührt, obwohl es geeignete Technologien gibt, um Daten automatisch zu indexieren, zurückzuverfolgen, zu lokalisieren, zu anonymisieren oder zu löschen. Dies geschieht gemäß den Richtlinien, die den Lebenszyklus der Daten verwalten, oder im Einzelfall auch manuell.
Hier scheinen große, multinationale Hyperscaler basierend auf den Informationen, die sie zu den Aktivitäten rund um das Thema Data Governance veröffentlichen, ebenfalls einen Vorsprung zu haben. Dazu gehört die Festlegung interner Standards für die Art und Weise, wie sie Daten erheben, speichern, verarbeiten und löschen. Weitere Bereiche sind die Definition von Zugriffsrechten auf die verschiedenen Datentypen und die Einhaltung externer Standards, die von Branchenverbänden, Verwaltungsbehörden und anderen Beteiligten festgelegt werden.
Fazit
Das neue EU-US-Data Privacy Framework wird die multinationale Data Governance verbessern. Spätestens dann müssen Unternehmen neu bewerten, an welchem Ort sie ihre Daten speichern und von wem sie diese verwalten lassen. Dabei sind Punkte wie Innovation, Compliance, Bedienbarkeit, Funktionsreichtum und Kundenbedürfnisse zu berücksichtigen. Die Gesamtbewertung kann durchaus dazu führen, dass sich immer weniger Organisationen eine europäische Cloud wünschen.
*Der Autor Wolfgang Huber ist Chef der DACH-Region beim Datenmanagement- & Security-Anbieter Cohesity.
Be the first to comment