Freitag, November 22, 2024
Speicherort Europa?
Bilder: iStock, T-Systems, Knyrim Trieb, NTT Austria, Accenture/Inmann

Ob hybride Cloud-Konzepte oder einzelne Speicherorte für Daten – ist es für Unternehmen lediglich eine Frage des Geschmacks, welchem IT-Infrastrukturpartner Daten und Applikationen überantwortet werden? Ein Publikumsgespräch des Report nahm rechtliche und technische Herausforderungen für die Speicherung von Daten in den Fokus.

Nach welchen Kriterien werden heute Cloud-Provider idealerweise ausgesucht? Und wie sieht es in der Praxis tatsächlich dazu aus? Die Initiativen Gaia-X und Ö-Cloud adressieren Datenschutzthemen und stehen für die Emanzipation des europäischen IT-Wirtschaftsstandorts gegenüber den dominierenden Anbietern AWS, Google und Co. Wie ein europäischer Weg in der IT aussehen könnte und welche Hürden dazu noch bewältigt werden müssen, wurde am 22. Juni in einem Online-Publikumsgespräch des Report Verlags heiß diskutiert.

Kurzvideo mit Statements aus dem Gespräch (Link)

Mit Martin Szelgrad, Report Verlag, sprachen Alexander Bruckner, Public Cloud Sales Expert T-Systems Austria, Rainer Knyrim, Gründer und Partner Knyrim Trieb Rechtsanwälte, Roman Oberauer, Vice President Go to Market & Innovation NTT Ltd. Österreich, und Michael Zettel, Country Managing Director Accenture Österreich. Partner des #reporttalk waren Accenture, NTT und T-Systems.



Alexander Bruckner, Public Cloud Sales Expert bei T-Systems Austria


»Wir sehen uns als hersteller­unabhängigen Digitalisierungsdienstleister, haben strategische Partnerschaften mit den großen Cloud-Anbietern und dementsprechend viel Erfahrung, wie Kund*innen sich auf das Thema Cloudmigration strategisch vorbereiten. Unserer Erfahrung nach sind die Ansätze sehr unterschiedlich, je nachdem, welche Motivation hinter der Idee steht, Cloudservices zu nutzen. Die erste Frage, die sich Unternehmen dafür stellen sollten: Wo wollen wir hin? Daraus wird dann die Roadmap abgeleitet. Wirtschaftliche und rechtliche Rahmenbedingungen im Unternehmen sowie Compliance-Themen sind dabei ebenfalls wichtige Faktoren. Wir haben dazu ein Framework in Form eines modularen Systems für unsere Kund*innen aufgebaut. Es geht dabei auch darum, eine Bestandsaufnahme zu machen: Ist meine IT-Infrastruktur überhaupt ›cloud ready‹? Und wie müssen die Services eines Unternehmens für die Cloud neu konzipiert werden? Kund*innen, die ihre Daten in unserem Rechenzentrum speichern, wissen jederzeit, wo ihre Daten liegen. Damit gibt es für sie ein hohes Maß an Sicherheit.

Die Cloud ist aber nicht nur ein technologisches Thema, es bedarf parallel dazu auch einer entsprechenden Neuorganisation im Unternehmen. Der IT-Betrieb in der Cloud bedarf anderer Prozesse und Tools sowie eines anderen Mindsets. Wir merken, dass es immer mehr die Business-Abteilungen in Unternehmen sind, die als Treiber für Cloudservices fungieren. Denn sie erkennen, dass Projekte in der Cloud sehr einfach, schnell und kostengünstig umgesetzt werden können. Welcher Cloud-Dienstleister letztendlich am besten geeignet ist, hängt auch davon ab, welche Skills es innerhalb des Unternehmens bereits gibt. Zudem spielen hier meist auch Partner eine Rolle, mit denen man bereits gut zusammenarbeitet – oder  aber auch rechtliche Vorgaben.

Stichwort Gaia-X: Das Ziel hierbei ist nicht, eine neue Public-Cloud-Rechenzentrumsstruktur in Konkurrenz zu Hyperscalern wie Amazon, Google oder Microsoft aufzubauen, sondern in Europa bessere Rahmenbedingungen für IT-Services zu schaffen – sodass deren Nutzung nach EU-Datenschutzrecht sicher ist. Das Vernetzen bestehender Infrastrukturen soll auch die technologische Resilienz des Standortes Europa stärken. Doch kann es nur ein Miteinander geben – kein Gegeneinander. Europa hinkt bei der weltweiten Marktentwicklung von Cloud-Infrastrukturen gut zehn Jahre hinterher und eine Investition in eine global komplett neue Cloudarchitektur wäre nicht finanzierbar. Deshalb wird auch Europa Partnerschaften mit kompetenten Anbietern eingehen müssen.«



Rainer Knyrim, Datenschutzexperte & Gründer und Partner bei Knyrim Trieb Rechtsanwälte

»Die datenschutzrechtliche Problematik von Datentransfers in Drittländer ist nicht erst seit der Cloud ein Thema. Ich arbeite bereits seit 20 Jahren in diesem Bereich und gerade seit der letzten Entscheidung des Europäischen Gerichtshofes im Sommer 2020 ist die Thematik wieder besonders aktuell. Damals wurde das sogenannte Privacy Shield Agreement mit sofortiger Wirkung aufgehoben. Laut diesem Übereinkommen zwischen der EU und den USA konnten sich US-Unternehmen per Selbsterklärung dem europäischen Datenschutz unterwerfen und Daten europäischer Nutzer*innen sehr einfach an diese in die USA transferiert werden. Laut EuGH ist dies nun nicht rechtens. Der Grund: EU-Bürger*innen haben in den USA per se keine Rechte, um einen möglichen Zugriff der US-Geheimdienste auf ihre personenbezogenen Daten zu bekämpfen. Auch die lange Zeit übliche Standard-Datenschutzklauseln in Verträgen mit US-Unternehmen sind aus demselben Grund nicht mehr ausreichend. Aus rechtlicher und technischer Sicht müssen bessere Vorkehrungen getroffen werden, sodass US-Behörden nicht einfach auf Daten europäischer Nutzer*innen zugreifen können, wenn diese von Cloud-Anbietern verarbeitet werden. Der Standort der Datenspeicherung – ob USA oder Europa – macht hier keinen allzu großen Unterschied. Das rein physische Verlagern der Daten nach Europa löst das Problem des Datenschutzes nicht, wenn von den USA aus weiterhin auf die Daten zugegriffen werden kann. Wir empfehlen hier auf jeden Fall eine Verschlüsselungslösung, die den diese Woche publizierten Richtlinien des Europäischen Datenschutzausschusses entspricht.

Regionale Lösungen, etwa Treuhandlösungen, haben sich aber bisher aufgrund des höheren Preises in der Praxis leider noch nicht durchgesetzt. Unternehmens-Kund*innen waren früher nicht bereit, höhere Preise für Datenschutz zu bezahlen. Dies könnte sich nun ändern, denn sich mit den Herausforderungen des Datenschutzes zu beschäftigen, bedeutet ebenso einen enormen Aufwand. Ein Problem der Anbieter könnte trotzdem auch das Thema Verschlüsselung sein. Laut einer Musterentscheidung aus Frankreich und den Richtlinien des Europäischen Datenschutzausschusses muss der Schlüssel für die Verschlüsselung in der eigenen Verfügungsgewalt des Kunden sein. Auf Providerseite scheint mir das technisch und organisatorisch oft noch nicht ausreichend gut gelöst zu sein.

Zudem müssen wir unsere Kritik und Vorsicht auch nicht immer nur nach Übersee richten. Unternehmen können auch rechtlich Zugriffen der eigenen Behörden und Geheimdienste ausgeliefert sein. Darüber spricht man nicht gerne.«



Roman Oberauer, Vice President Go to Market & Innovation NTT Ltd. Österreich

»Cloudthemen sind in unserem Portfolio ein wesentlicher Bestandteil. Wir können mit unseren Services Unternehmens-Kund*Innen jeweils mit ihrem Bedarf abholen, inklusive Arbeiten an Datenverknüpfungen und Systemarchitekturen. NTT ist einer der größten Rechenzentrumsanbieter weltweit. Basis jeden Projekts ist eine Analyse des Unternehmens, daraus leiten wir die Klassifizierung von Daten und von digitalen Abläufen ab. Um die unterschiedlichen Cloudservices und notwendigen Speicherorte zu differenzieren, erheben wir die Risiken für die einzelnen Datenklassen und können so Angebote bedarfsorientiert kalkulieren.

Wenn wir gemeinsam mit Kund*innen in die Cloud gehen, gehen wir auch Partnerschaften mit Spezialist*innen wie etwa externen Rechtsfachleuten ein. Sie können dann einem Unternehmen mit bestimmten Compliance-Anforderungen Sicherheit verbriefen. Dies ist ein Riesenthema, wie wir aus der Praxis wissen: 95 % der IT-Entscheider ringen am Weg in die Cloud mit den internen Compliance-Regelungen ihres Unternehmens.

Was sich deutlich bei Kund*innen zeigt, ist ein steigender Bedarf an privaten Clouds. »On premises« IT zu installieren, verliert an Wichtigkeit. Andererseits macht es mitunter wenig Sinn, in die Cloud zu gehen, wenn die Dinge vor Ort ohnehin noch gut laufen. Insgesamt bedeutet die Private-Cloud eine exklusiv bereitgestellte Infrastruktur in einem Rechenzentrum. Das kann ein erster Schritt für Unternehmen sein, sich mit dem Cloudthema anzufreunden und eine Organisation schrittweise daran anzupassen.

In letzter Instanz geht es bei der Entscheidung für den einen oder anderen Dienst oft um den Preis, was aus meiner Sicht etwas zu kurz gegriffen ist – Stichwort Sicherheit. Man fragt oft, wo die Daten gespeichert werden, aber seltener, wie sie gespeichert werden. Unser Thema ist daher Verschlüsselung, Stichwort ›bring your own key‹, also die Schlüsselverwaltung außerhalb der Cloud im eigenen Unternehmen. Das kann die gesamte Daten-Wertschöpfungskette absichern, auch wenn immer ein Restrisiko bleibt. Unternehmen sollten in Sachen Verschlüsselung danach streben, hier immer am neuesten Stand zu bleiben und dafür auch die richtigen Partner*innen bei der Hand zu haben. Es braucht globale Zusammenarbeit, um Cyberattacken so früh wie möglich zu erkennen und ihnen entgegenzuwirken.«



Michael Zettel, Country Managing Director Accenture Österreich

»Unternehmen müssen definitiv in die Cloud, da sich die Geschwindigkeit des Geschäfts signifikant erhöht hat. Es ist heutzutage nur mehr mittels Cloud möglich, neue Produkte innerhalb weniger Tage und Wochen anstatt Monaten auf den Markt zu bringen. Dazu kommen die Vorteile von Cloud-Infrastrukturen wie Flexibilität, Skalierung und geringere Kosten. Ich halte es für eine imminente Überlebensfrage für Unternehmen, ob sie in der Lage sind, mit der Cloud umzugehen. Schaffen sie das in den nächsten fünf bis zehn Jahren nicht, werden sie verlieren.

Das Bestreben nach hohem Datenschutz ist vom Grundanspruch völlig richtig. Wir haben damit in Europa aber nur Rechtsunsicherheit geschaffen. Durch ausufernden Konsumentenschutz und unsere strengen Regulierungen wird der technologische Fortschritt und damit das Wirtschaftswachstum nur beschränkt. Das könnte uns in Europa eine weitere Dekade zurückwerfen.

In Zusammenhang mit der Cloud ist das Problem technisch und rechtlich durch adäquate Verschlüsselung bereits gelöst, die Diskussion über den Speicherort der Daten ist also rein emotional. Welche technischen Möglichkeiten ausländische Behörden haben, wissen wir nicht. Wir wissen nur, was derzeit theoretisch möglich ist und können entsprechend bestmöglich vorsorgen. Eine hundertprozentige Sicherheit gibt es da nicht.

Dass die Deutschland-Cloud damals nicht funktioniert hat, lag auch an der Funktionalitäts-Reduktion. Als Kontinent können wir den Vorsprung, den etwa die USA auf der Infrastrukturebene haben, nicht mehr einholen. Wir haben, wenn man so will, die Cloud 1.0 verpasst. Also sollte die Cloud, so wie sie da ist, genützt werden. Nur so wird Europa mithalten und die nächste Technologieebene in Richtung einer vernetzten Industrie schaffen, und dafür ist Gaia-X der richtige Ansatz. Ich sehe die Diskussion um den Speicherort vor allem als Chance generell für Cloudlösungen. Denn es ist lächerlich zu glauben, dass ein lokales Rechenzentrum oder ein KMU seine Daten so gut absichern kann wie die großen Cloudprovider, die zusammengenommen weltweit eine Milliarde Dollar in ihre Infrastrukturen investieren – und das jeden Monat.

Mit der digitalen Transformation im B2B-Bereich kann auch Österreich noch auf den Zug eine künftigen Plattformökonomie aufspringen. Ich bin optimistisch, dass wir damit den technologischen Fortschritt schaffen. Mein Plädoyer ist: ab in die Cloud und zwar mit Verstand in Sachen Sicherheit und Datenschutz und diese neue Funktionalitäten so einsetzen, dass sie Wettbewerbsvorteile bringen.«

Log in or Sign up