Wege aus der US-Cloud-Falle

Ohne die Cloud geht im Mittelstand hierzulande fast nichts mehr. Ob Personal-, Buchhaltungs- und Finanzplanungssoftware, ob Office-Lösungen, E-Mails, Speicher oder Zugang zu Servern und anderen Diensten:

90 Prozent der deutschen Betriebe mit mehr als 20 Mitarbeitern nutzen Cloud-Anwendungen, heißt es beim Bitkom. Ohne solche Dienste würden „fast zwei Drittel aller Unternehmen in Deutschland stillstehen“, sagt Lucy Czachowski, Referentin Cloud und Künstliche Intelligenz beim Digitalverband.

Doch der Trend zur Cloud birgt Risiken. Die entsprechenden IT-Lösungen stammen überwiegend aus den USA. Da die Beziehungen zu den Vereinigten Staaten unkalkulierbarer geworden sind, ist die Verunsicherung im deutschen Mittelstand groß. In der Wirtschaft wächst die Sorge, zu sehr von Cloud-Diensten der führenden „US-Hyperscaler“ Amazon Web Services (AWS), Microsoft Azure und Google Cloud abhängig zu sein. Nach Angaben des Analysehauses Synergy liegt der Marktanteil der drei US-Giganten in Europa zusammen bei rund 70 Prozent. Konkurrenten aus Europa spielen bis dato nur eine untergeordnete Rolle.
 

Trumps Politik der Würgegriffe könnte drastische Folgen haben

Wer als Unternehmen einen Großteil der eigenen Daten in die Cloud legt, vertraut dabei auf Stabilität und Sicherheit. Doch genau das wird zum Problem unter einem erratischen Präsidenten wie Donald Trump. Jedes zweite deutsche Unternehmen sieht sich angesichts der US-Politik „gezwungen, die eigene Cloud-Strategie zu überdenken“, erklärt Bitkom-Expertin Czachowski. Die größte Gefahr: Trump könnte den Zugang zu Cloud-Diensten als Druckmittel einsetzen – und im schlimmsten Fall den „digitalen Stecker“ ziehen. Dann würden Services wie AWS oder Azure, auf die europäische Firmen und Staaten massiv angewiesen sind, gezielt abgeschaltet oder eingeschränkt werden. Zudem ist es denkbar, dass die USA im schwelenden Handelsstreit Zölle auf US-Software oder -Dienste einführen, was deren Preise für deutsche Firmenkunden in die Höhe treiben würde.

Auch ohne solch drastische Maßnahmen ist die Herausforderung für deutsche Firmen groß: Der umstrittene „Cloud Act“ verpflichtet US-Cloud-Firmen schon seit 2018, den eigenen Behörden Zugriff auf gespeicherte Daten zu erlauben – auch wenn diese in europäischen Rechenzentren liegen. Zwar versprechen einige US-Anbieter, dass sie Daten in EU-Rechenzentren speichern, oder sie verpflichten lokale Subunternehmen. Sie bleiben im Zweifel als US-Firmen aber rechtlich dem Cloud Act verpflichtet.
 

Datenschutz droht unter die Räder zu kommen

Zusätzlich versucht die US-Regierung jetzt offenbar, Datenschutzregelungen abzubauen. Kurz nach seinem Amtsantritt entließ Donald Trump mehrere demokratische Mitglieder des Aufsichtsgremiums PCLOB. Dieses gilt damit nicht mehr als unabhängig und beschlussfähig. Dabei soll es eigentlich sicherstellen, dass Gesetze wie der Cloud Act nicht ausgenutzt werden können, etwa von Geheimdiensten. Weitere solcher Schritte könnten folgen. Diese Entwicklung setzt die Europäische Union zunehmend unter Zugzwang – und gefährdet das EU-US Data Privacy Framework von 2023. Davor warnt die Kanzlei Heuking, deren Fokus auf Wirtschaftsrecht liegt. Das Abkommen soll sicherstellen, dass Datenübermittlungen aus der EU in die USA mit der Datenschutz-Grundverordnung (DSGVO) der EU vereinbar sind. „Aktuell sind die wichtigen US-Cloud-Anbieter unter dem EU-US Data Privacy Framework zertifiziert. Und deren Einsatz ist möglich, obwohl die Firmen nicht aus der EU stammen“, erläutert Rechtsanwältin Theresa Bardenhewer.

Sollte jedoch etwa der Europäische Gerichtshof das Data Privacy Framework aufgrund der aktuellen Lage aussetzen, hätte das gravierende Folgen für deutsche Firmen. Diese müssten dann „selbst aufwendig prüfen, ob die Daten in den USA technisch und rechtlich ausreichend vor dem Zugriff der US-Behörden geschützt sind“, erklärt Bardenhewer. Würde ein Cloud-Anbieter weiter genutzt, „obwohl das Schutzniveau in den USA nicht mehr ausreicht“, könne das zu einem Verstoß gegen die DSGVO und in der Folge zu hohen Bußgeldern führen. Ihren Mandanten empfiehlt die Kanzlei darum, sicherheitshalber „eine Exit-Strategie für die eingesetzten US-Clouds vorzuhalten, um kurzfristig auf rechtliche Änderungen reagieren zu können“.
 

Liegt die Zukunft der Cloud jetzt in Europa?

Ob geschäftskritische Anwendungen oder sensible Daten: Unter all diesen Bedingungen hat die Frage nach Datenschutz & Co. bei Cloud-Anwendungen für Unternehmen eine ganz neue Dringlichkeit. Mehr und mehr Firmen haben ein mulmiges Gefühl, wenn sie wichtige Informationen US-Anbietern anvertrauen. Die Folge: Das Interesse an Cloud-Diensten aus „vertrauenswürdigen Herkunftsländern“ wie Deutschland und der übrigen Europäischen Union nimmt zu, stellt Bitkom-Expertin Czachowski fest. Eine „verstärkte Nachfrage aus unterschiedlichen Bereichen“ bestätigt auch Falk Weinreich, DACH-Geschäftsleiter des französischen Cloud-Anbieters OVHcloud. Darunter seien in erster Linie Unternehmen mit hohen Anforderungen an Sicherheit und Souveränität, aber „auch immer wieder mittelständische Firmen, die ein digitales Geschäftsmodell betreiben“.

Zu diesen gehört das Stuttgarter Softwareunternehmen Anydesk mit mehr als 180 Mitarbeitern. Die 2014 gegründete Firma bietet Remote-Desktop- sowie Screen-Sharing-Software an. Damit können Mitarbeiter zu jeder Zeit und von jedem Ort aus schnell auf ihre Endgeräte zugreifen oder sie erhalten Support. Die Firma hat 100.000 Kunden in 120 Ländern, darunter Bosch und McDonalds. Seine Cloud-Infrastruktur hostet das Unternehmen seit Jahren bei OVHcloud – und nutzt unter anderem dessen Server, Public-Cloud-Services und die private Netzwerklösung vRack. Neben leistungsfähigen dezidierten Servern für die wachsende Zahl an Kunden und einem globalen Netzwerk legte Anydesk Wert darauf, dass Screen-Sharing-Daten in einer Weise gehostet werden, die mit der DSGVO konform ist – und entschied sich darum für einen europäischen Anbieter. OVHcloud gehört mit mehr als 40 Rechenzentren und einem Umsatz von rund einer Milliarde Euro zu den großen europäischen Cloud-Anbietern, ist im Vergleich zu den US-Giganten aber klein.
 

Digitale Souveränität und DSGVO: Europäische Anbieter punkten

OVHcloud und andere Cloud-Services aus der EU bieten Kunden einen großen Vorteil: Sie unterliegen den strengen Datenschutzanforderungen der DSGVO, unter anderem was Schutzmaßnahmen und Transparenz angeht. Das führt dazu, dass Rechenzentren in Europa und nach EU-Recht betrieben werden, es keine Abhängigkeiten von außereuropäischer Technologie gibt und Datenflüsse sowie Zugriffsrechte nachvollziehbar sind.

Den Kunden der europäischen Cloud-Anbieter garantiert das digitale Souveränität: Sie behalten die vollständige Kontrolle über ihre Daten, IT-Infrastruktur und digitalen Prozesse. Zwar können die meisten europäischen Cloud-Services kein so großes Portfolio bereitstellen wie die großen Drei aus den USA. „Aktuell sind die Hyperscaler sicherlich vorn, was Marktanteile und Funktionen angeht“, meint Czachowski. Es gebe aber jetzt schon Anbieter, die konkurrenzfähige Services aufbauen könnten – „insbesondere für spezialisierte Anwendungsfälle oder für Unternehmen, die nur bestimmte Cloud-Funktionen benötigen“.