21.03.2014 | Datenübermittlung

Deutsche Cloud-Anbieter werben mit Datenschutz

Bei uns sind Ihre Daten sicher - meinen deutsche Cloud-Anbieter.
Bild: Haufe Online Redaktion

Firmenkunden sind angesichts der NSA-Überwachungsaktivitäten unsicher, ob sie ihre Daten einem internationalen Cloud-Anbieter anvertrauen können. IT-Anbieter mit Rechenzentren in Deutschland werben deshalb mit dem Argument Datenschutz. Doch Rechtsexperten warnen: Die Sicherheit deutscher Server kann ein Trugschluss sein.

Liest die NSA mit? Die Frage beschäftigt deutsche Unternehmen spätestens seit Bekanntwerden der  Internetüberwachung durch den US-Geheimdienst im Sommer 2013. Und noch immer kommen fast täglich neue NSA-Aktivitäten ans Tageslicht. Die Skepsis ist groß, wenn es darum geht, sensible Daten und zentrale Software beim Cloud Computing auf fremde Server auszulagern.

„Ich kann aus Gesprächen mit Firmen ganz klar bestätigten, dass deutsche Anbieter gewonnen haben“, sagt Steffen Zimmermann, als Geschäftsführer beim Maschinenbauer-Verband (VDMA) für geistiges Eigentum zuständig ist. „Gerade dem Mittelstand ist es wichtig, dass seine Daten immer auf deutschem Boden lagern“, sagt auch Max Schulze, Analyst bei der Beratungsfirma Techconsult.

Der Ordner-Anbieter Leitz will sich das ebenfalls zunutze machen. „Wir profitieren von unserer Marke und der Sorge, was mit den Daten bei einem US-Anbieter passiert“, sagt Frank Lutz von Esselte Leitz. Die für ihre Aktenordner bekannte Firma bietet seit vergangenem Jahr eine Art digitale Ablage für Unternehmen an. Die NSA-Affäre habe dem ganzen Markt nicht geholfen, sondern eher für Skepsis gesorgt, räumt Lutz ein. Aber sie hat nach seiner Ansicht das Verschlüsselungsthema beflügelt.

Kunden durch NSA-Skandal sensibilisiert

Die Kunden seien durch die Diskussion um die NSA-Affäre sensibler für das Thema Datenschutz geworden, findet auch Michael Guschlbauer, Geschäftsführer beim IT-Anbieter Bechtle aus Neckarsulm. Ein wesentlicher Einfluss auf das Geschäft sei zwar bislang nicht sichtbar. „Bei dem einen oder anderen Projekt gibt der deutsche Standort unseres Rechenzentrums den Ausschlag“, sagt Guschlbauer. Bechtle betreibt seine Server in Friedrichshafen.

Die Telekom-Tochter T-Systems will sich als Mittelsmann zwischen amerikanischen Cloud-Anbietern und den misstrauischen deutschen Unternehmen etablieren. Die Idee: T-Systems bietet für Dienste der US-Riesen Speicher in Europa, auf die die NSA nicht zugreifen kann.

Das Antiterrorgesetz ("Patriot Act") der USA erlaubte es US-Behörden schon früher, auf die Server ihrer IT-Anbieter zuzugreifen. Ein Rechenzentrum in Europa mag außer Reichweite der NSA sein - aber auch EU-Staaten erlauben ihren Ermittlern den Zugriff auf Firmenserver.

Rechtsexperte: Europäische Cloud ist nicht zwangsläufig besser

IT-Anwalt Fabian Niemann von der Frankfurter Kanzlei Bird & Bird meint, dass deutsche Anbieter hauptsächlich einen psychologischen Vorteil haben. Der Datenschutz sei aber kein rechtliches Argument für ein deutsches Rechenzentrum. „Microsoft ist im Zweifel besser in der Lage, europäisches Datenschutzrecht zu erfüllen als ein kleiner europäischer Cloud-Anbieter.“ Wichtig seien die Bedingungen, die in sogenannten Standardvertragsklauseln der EU festgelegt werden.

Auch personenbezogene Daten könnten - unter Einhaltung der normalen datenschutzrechtlichen Bedingungen für Auslagerungen außerhalb der EU - in globalen Clouds gelagert werden, sagt Niemann. Steuerrechtlich relevante Daten wie Handelsbücher müssten zwar für die deutschen Behörden verfügbar sein. Das heiße aber nicht, dass sie in einem deutschen Rechenzentrum lagern müssen.

Skepsis wächst eher

Studien zeigen, dass die Skepsis im ohnehin sensiblen Mittelstand eher zugenommen hat. In einer aktuellen Umfrage von TecChannel will gut die Hälfte der befragten Mittelständler den Einsatz in der Cloud weniger groß fahren als bislang geplant. Nach Einschätzung von Matthias Zacher, Berater beim Marktforscher IDC, wird es noch dauern, bis sich in Heller und Pfennig zählen lässt, wie sich der Skandal für die deutschen IT-Firmen auszahlt. «Das ist noch zu früh. Die Firmen treffen IT-Entscheidungen nicht von heute auf morgen», sagt er.

Regeln für die Übermittlung personenbezogener Daten ins Ausland

Wenn Daten von Firmen gespeichert oder verarbeitet werden, gibt es verschiedene rechtliche Grundlagen.

  • Die Europäische Union hat sogenannte Standardvertragsklauseln (Model Clauses) festgelegt. Sie werden angewandt, wenn personenbezogene Daten außerhalb der EU verarbeitet werden sollen.
  • Mit den USA hat die EU das sogenannte Safe-Harbor-Abkommen geschlossen. Das Abkommen erlaubt es Unternehmen, personenbezogene Daten von EU-Bürgern legal in die USA zu übermitteln - obwohl die USA kein dem EU-Datenschutz vergleichbares Niveau haben. Safe Harbor beruht auf dem Prinzip der Selbstregulierung. US-Firmen können sich beim Handelsministerium registrieren lassen und müssen sich verpflichten, bestimmte Prinzipien beim Datenschutz einzuhalten. Zu den teilnehmenden Unternehmen gehören z. B. Facebook, Microsoft und Google.
  • Die IT-Anbieter legen ihre Bedingungen dazu in sogenannten Service Level Agreements (SLA) fest. Beim Cloud Computing wird dabei meist geregelt, wie lange die Server ausfallen dürfen und wie lange Daten verfügbar sein müssen. Kann der Anbieter diese Bedingungen nicht einhalten, werden entsprechende Gebühren ausgehandelt.

Umfassende Informationen zu Cloud Computing und Datenübermittlung ins Ausland (inkl. EU-Standardvertragsklauseln) bietet Haufe Datenschutz-Management.

Schlagworte zum Thema:  Cloud Computing, Datenübermittlung

Aktuell

Meistgelesen