Rechtssichere IT- & Cloud-Infrastrukturen als Antwort auf Privacy Shield-Urteil

Der Europäische Gerichtshof (EuGH) hat das Privacy Shield Abkommen mit den USA für ungültig erklärt. Unternehmen müssen nun ihre Cloud-Strategie auf den Prüfstand stellen. Hybrid Cloud-Lösungen aus Deutschland können eine Alternative darstellen.

Das Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 zum Privacy Shield stellt die CIOs in mittelständischen und großen Unternehmen vor große Herausforderungen. Die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes wurde damit für ungültig erklärt. Die Vorteile der Public Cloud in puncto Skalierbarkeit, Kosten und Performance stehen ernsthaften Bedenken und rechtlichen Risiken bezüglich des Datenschutzes gegenüber.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zog daraus am 28. Juli 2020 den Schluss: „Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden.“

Zum Hintergrund

Lassen Sie mich an dieser Stelle etwas weiter ausholen: Das jetzt für ungültig erklärte Privacy Shield war 2016 zwischen der Europäische Kommission mit der amerikanischen Regierung vereinbart worden. Es sollte eine rechtliche Grundlage dafür geben, dass Unternehmen in den USA und in der EU rechtssicher zusammenarbeiten und Daten verarbeiten können.

Cloud-Anbieter unter Datenschutz-Druck

Die großen Cloud Anbieter Amazon Web Services (AWS), Microsoft Azure und Google sind zwar alle in Deutschland präsent, viele Kunden nutzen allerdings bewusst oder unbewusst Cloud-Services aus außereuropäischen Rechenzentren. AWS beispielsweise beruft sich auf die Standard-Vertragsklauseln im AWS-Zusatz zur Datenverarbeitung gemäß Datenschutzgrundverordnung (DSGVO). Es ist aber aktuell umstritten, ob dies im Sinne der Recht von EU-Bürgern – also Ihrer Kunden und Mitarbeiter – ausreichend ist.

Das weiterhin in den USA gültige CLOUD Act Gesetz legt fest, dass die US-Strafverfolgungsbehörden personenbezogene Daten von in den USA ansässigen Technologieunternehmen anfordern können, wenn ein Verdacht auf ein Verbrechen besteht, indem sie Haftbefehle oder Gerichtsbeschlüsse erlassen, unabhängig davon, wo sich die Daten befinden. Dementsprechend muss ein Dienstleistungsanbieter alle Informationen über einen Kunden, die sich im Besitz des Anbieters befinden, offenlegen, „unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder andere Informationen innerhalb oder außerhalb der USA befinden“.

Folglich könnten die US-Behörden in der Lage sein, auf personenbezogene Daten von EU-Bürgern zuzugreifen und diese zu verarbeiten, auch wenn diese Daten in Cloud-Rechenzentren in Europa gespeichert werden

Alternativen dringend gesucht

Wer nun auf der Suche nach Alternativen den Blick nach Westen oder Osten schweifen lässt, wird ebenfalls enttäuscht werden. Zwar bezieht sich das Privacy-Shield-Urteil des EuGH nur auf die USA, aber diese tauschen ihre nachrichtlichen Informationen mit den anderen englischsprachigen Ländern aus, den sogenannten „Five Eyes“. Das sind neben den USA Kanada, Australien, Neuseeland und Großbritannien, das dabei ist, aus der EU auszutreten.

Beim Blick in die andere Richtung sind die Aussichten noch trüber. Die Studie „Microsoft Digital Defense Report“  (September 2020) belegt auf Seite 42 zudem, dass mehr als die Hälfte der festgestellten Hackerattacken aus Russland, ein Viertel aus dem Iran und zwölf Prozent aus China stammen.

Daraus resultieren für europäische Unternehmen und IT-Investitionen viele komplexe Fragestellungen:

• Wie begebe ich mein Unternehmen und seine Datenverarbeitung nicht in ein datenschutzrechtlich unsicheres Fahrwasser?
• Wann wird es für das Thema Privacy Shield Nachfolge-Regelungen geben?
• Wann wird Cloud-Computing rechtssicher geregelt sein?
• Wie gehen Datenschutzbehörden in Deutschland mit ihrem Prüfungsauftrag um?
• Wird es Abmahnungen von Kunden geben, die Unternehmen Datenschutzverstöße vorwerfen?

All diese Fragen kann man sich stellen, muss man aber nicht. Denn es gibt Lösungen, mit denen man die Performance der Public Cloud auch in einer Private oder Hybrid Cloud bekommt. Eine Lösung mit Fokus auf Infrastructure as a Service habe ich heute für Sie im Gepäck und möchte ich Ihnen gerne einmal vorstellen.

Zuhause ist es am schönsten: Axians vPack – Ein Anker in schwerer See

Aus all diesen Gründen und offenen Fragen ist es für viele Unternehmen ratsam, ihre Daten innerhalb der EU oder noch besser ganz in Deutschland zu verarbeiten. Für Deutschland als Datenstandort spricht nicht nur das hohe Datenschutzniveau, sondern auch die Tatsache, dass der Internetknoten DE-CIX in Frankfurt der schnellste und leistungsfähigste der Welt ist. Firmen können von dieser Hochgeschwindigkeit profitieren, wenn sie ein Co-Location-Rechenzentrum mit Direktanbindung an DE-CIX nutzen und Cloud-Infrastruktur-Services an Standorte in Deutschland oder weltweit verteilen wollen.

Eigene Cloud-Infrastruktur-Lösungen erlaubt es Ihnen, schnell, einfach und rechtssicher hybride Cloud-Infrastrukturen in Deutschland einzurichten und betreiben zu lassen. Die Lösung vPack zum Beispiel kombiniert die Vorteile einer Private Cloud mit den Vorteilen einer Public Cloud und wird durch Axians für Sie betrieben. Es ist eine integriert Micro Data Center-Lösung aus Server, Speicher und Netzwerkkomponenten. Dafür können Sie als Standort entweder ihr eigenes Rechenzentrum nutzen oder ein deutsches Co-Location-Rechenzentrum in ihrem eigenen Cage auf Basis der höchsten Security-, Prozess- und Datenschutzstandards. Sie haben immer die volle Kontrolle über Ihre eigenen Daten und profitieren von den ISO 9001 und 27001 Zertifizierungen von Axians.

Wie vPack genau funktioniert, zeige ich Ihnen mit meinem Kollegen Zoran Olujicin folgendem Video:

Hybrid Cloud-as-a-Service – Voll EU-datenschutzkonform

Axians garantiert Unternehmen in den Service Level Agreements (SLAs), dass vPack Ihre Daten jederzeit EU datenschutzkonform und ausschließlich in Deutschland verarbeitet. So wissen Sie jederzeit genau, wo Ihre Daten liegen und haben sie stets unter Kontrolle.

Bei der Private Cloud von vPack wird keine Public Cloud Kapazität zugeschaltet. Die Daten verbleiben ausschließlich auf der vPack Infrastruktur des Anwenderunternehmens. Axians betreibt die Lösungen nach deutschem Datenschutzrecht mit deutschsprachigem Personal. Wenn Sie zu Spitzenlastzeiten zusätzliche Skalierbarkeit benötigen, können dedizierte Public-Cloud-Kapazitäten zuschalten werden. Das ist mit hoher Performance auch für Data-Center Szenarien wie Performance oder Backup as a Service möglich, weil der Cloud Connect nicht über das Internet läuft, sondern der Hyperscaler-Service direkt auf dem Campusnetz des Co-Location Partners verbunden wird. Hierdurch funktioniert die Cloud schneller und ist sicherer.

Rechtssichere und wartungsfreie Managed Private Cloud-Lösung

Viele Referenzkunden nutzen vPack bereits. Beispielsweise setzt Mayer & Cie., Weltmarktführer in der Herstellung von Rundstrickmaschinen, mit Axians vPack auf eine Private Cloud Infrastruktur mit transparenten, planbaren Kosten nach Verbrauch. Die Lösung garantiert hohe Skalierbarkeit, Flexibilität und Betriebssicherheit. Roland Schneider, Head of IT bei Mayer & Cie., fasst die Zusammenarbeit folgendermaßen zusammen: „Wir sind begeistert, wie schnell, zuverlässig und stabil das System läuft. Axians ist immer sofort ansprechbar, falls Fragen auftauchen, und kümmert sich sehr gut um alles. Auch kostentechnisch hat sich das Projekt für uns voll gelohnt.“

Mehr Skalierbarkeit und Kostentransparenz mit vPack nutzen auch die Stadtwerke Schwäbisch Hall. Sie kümmern sich nur noch um die Services und Applikationen, welche sie ihren Kunden zur Verfügung stellen. Axians übernimmt die Administration und Überwachung der dynamischen IT-Infrastruktur. Zunächst verglichen die Stadtwerke verschiedene Angebote, darunter neben reinen Infrastrukturlösungen auch Public-Cloud- und Managed-Private-Cloud-Angebote. Die reine Public Cloud schied schnell aus, weil sie die Komplexität erhöht hätte und in Bezug auf den Datenschutz problematisch war. Zudem war sie auch teurer als eine Managed Private Cloud. Am Ende fiel die Entscheidung auf vPack, weil das Angebot mit seiner hohen Flexibilität punkten konnte und sich in die bestehende IT-Umgebung integrieren ließ.

Fazit

Das Privacy-Shield-Urteil hat für massive Unsicherheit bei Unternehmen gesorgt. Die Gerichte und Datenschutzbeauftragten sind sich zudem noch nicht einig, ob Standardvertragsklauseln zwischen Cloud-Providern und Unternehmen datenschutzkonform sind und das Schutzniveau wirksam regeln. Gerade, wenn es um geschäftskritische und personenbezogene Geschäftsinformationen von ihren Kunden, Partnern, Zulieferern, empfehle ich Ihnen Private und Hybrid Cloud Infrastrukturen ernsthaft zu prüfen. Ich kann gut nachvollziehen, dass viele Unternehmen und IT-Leiter aktuell vor neuen Herausforderungen bezüglich IT-Planungen und -Investitionen stehen und dauerhafte Sicherheit wollen.Sichere Infrastrukturen mit Cloud-Charakteristiken sind hier ein wirklich gute Alternative für Unternehmen, die Digitalisierung und wirksamen Datenschutz vereinbaren wollen.