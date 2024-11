Die Unsicherheit ist zurück. Mit dem Wahlsieg von Donald Trump in den USA überschlagen sich derzeit die Prognosen, was Europa und insbesondere Deutschland von der Neuauflage der Präsidentschaft des „MAGA“-Chefs zu erwarten haben. Dies gilt natürlich auch für die Frage nach digitaler Souveränität und Datenschutz beim Cloud Computing. Doch es gibt noch zwei weitere Gründe, sich wieder stärker nach Cloud Services Made in Germany umzusehen.

Grund 1: CLOUD Act vs. DSGVO: Da war doch was?

Schneller als von vielen Marktbeobachtern erwartet – und trotz aller Bitten und Warnungen – hatte Donald Trump in seiner ersten Amtszeit bereits Ende März 2018, also noch vor Inkrafttreten der DSGVO, der Clarifying Lawful Overseas Use of Data (CLOUD) Act unterzeichnet. Nach dem Gesetz sind amerikanische Internet-Unternehmen, also auch Cloud Service Provider aus den USA, dazu verpflichtet, amerikanischen Sicherheitsbehörden Zugriff auf Nutzerdaten zu ermöglichen, auch wenn diese außerhalb der USA gespeichert sind.

Im Gegenzug erhalten ausländische Sicherheitsbehörden die Möglichkeit, ihrerseits auf Nutzerdaten in den USA zuzugreifen. Dafür müssen die jeweiligen Regierungen allerdings bilaterale Abkommen mit den USA schließen.

Rechtsexperten sahen bereits bei Inkrafttreten der neuen Regelung eine klare Konfrontation zu der erst ab Mai 2018 EU-weit gültigen EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese räumt dem Schutz personenbezogener Daten von EU-Bürgern höchste Priorität ein und untersagt genau den im CLOUD Act geregelten Zugriff auf Nutzerdaten, ohne dass der Nutzer informiert wird. Darüber hinaus hat der Betroffene nicht die Möglichkeit, sich gegen den Zugriff zu wehren. Ein Einspruchsrecht liegt lediglich beim amerikanischen Cloud Service Provider.

Es ist davon auszugehen, dass die neue amerikanische Regierung auch und gerade den CLOUD Act als Rechtsgrundlage nutzen wird, wenn es darum geht, sich gegen die „Feinde der USA“ zur Wehr zu setzen. Und damit sind nicht nur Staaten, sondern auch ausländische Unternehmen, wie z.B. die deutschen Autobauer gemeint.

Grund 2: Abhängigkeit wird zum Problem

Womit wir beim zweiten Grund wären, sich wieder etwas konkreter mit Cloud Services Made in Germany zu beschäftigen. Die Marktmacht der großen amerikanischen Cloud-Giganten ist auch in Deutschland erdrückend. Selbst staatliche Stellen befinden sich in einer großen Abhängigkeit der US-Anbieter. So zahlte beispielsweise der Bund im Jahr 2023 für Software-Lizenzen und IT-Leistungen an Microsoft insgesamt rund 198 Millionen Euro. Knapp die Hälfte davon, rund 98,5 Millionen Euro, entfielen auf unbefristete Lizenzen. Im Jahr 2017, also nur fünf Jahre zuvor, lagen die Ausgaben noch bei 74 Millionen Euro. Eine ähnliche Abhängigkeit besteht bei deutschen Unternehmen, allen voran der derzeit strauchelnden deutschen Automobilbranche. Der zukünftige Präsident macht auch zu Beginn seiner zweiten Amtszeit keinen Hehl daraus, dass er die BMWs, VWs, Daimlers und Porsches immer noch nicht mag. Die Autos schon, aber nicht die Firmen.

Er droht bereits wieder, den deutschen Autobauern das Leben so schwer wie möglich zu machen: Stichwort Strafzölle. Sollte es mit den Strafzöllen – aus welchen Gründen auch immer – nicht klappen, wäre es doch ein leichtes, mal bei AWS (BMW betreibt auf Grundlage deren Technologie einen Daten-Lake) oder Microsoft (die betreiben die VW Automotive Cloud) nachzufragen, was da so an Daten herumliegt. Die gesetzliche Handhabe hat er wie eingangs beschrieben dank CLOUD Act, selbst wenn diese Daten in Europa gespeichert sind.

Digitale Souveränität deutscher und europäischer Cloud-Nutzer: Ein zahnloser Papiertiger (?)

Womit wir beim dritten Grund wären, sich wieder mehr mit Cloud Services Made in Germany zu beschäftigen. Seit Jahren bemühen sich Politik und Wirtschaft hierzulande, das Thema digitale Souveränität im Zusammenhang mit dem Einsatz von Cloud Services festzuzurren und haben dazu sogar eine eigene Initiative gegründet: GAIA-X. Auch wenn heute von den Organisatoren niemand mehr etwas davon wissen möchte, wurde GAIA-X bei seinem Start 2019 klar als Gegengewicht zum Angebot der US-Anbieter positioniert mit dem Ziel, die Abhängigkeit zu verringern. Inwieweit dieses Ziel überhaupt zu erreichen gewesen wäre, steht auf einem anderen Blatt. Und so wurde GAIA-X in der Folgezeit auch für nicht-europäische Cloud Service Provider zugänglich gemacht. Mittlerweile sind auch Amazon Web Services (AWS), Microsoft, und Google GAIA-X- Mitglied. Ebenfalls dort vertreten: die Firma Palantir. Deren Chef, der Deutsch-Amerikaner Peter Thiel, ist durch seine engen Beziehungen zum zukünftigen Vizepräsidenten gerade wieder in den Fokus der Öffentlichkeit gerückt. Wichtigste Auftraggeber von Palantir: Die amerikanische Regierung und die US-Geheimdienste. Auch die chinesischen Cloud Service Provider Huawei und Alibaba sind Mitglied bei GAIA-X und beschäftigen sich dort mit der Frage, wie digitale Souveränität für europäische Cloud-Nutzer am besten erreicht werden kann. Eigentlich schwer vorstellbar und nicht mehr vereinbar mit den ursprünglichen GAIA-X Zielen Gegengewicht und weniger Abhängigkeit.

Doch auch abseits von der Lobby-Arbeit bei Initiativen wie GAIA-X kennen die amerikanischen Cloud Provider mittlerweile natürlich die „German Angst“ ihrer deutschen Kunden beim Thema Datenschutz. Aus diesem Grund bieten sie diesen Kunden lokale Cloud Regionen (Deutschland, EU) an mit dem Versprechen, dass deren Daten diese Region(en) nicht verlassen und damit geschützt sind. Wer bisher aufmerksam mitgelesen hat, wird schnell erkennen, dass dieses Versprechen vor dem Hintergrund des Cloud Act wenig Relevanz für die Praxis hat. Wenn US-Regierungsstellen oder Geheimdienste auf Daten zugreifen möchten, ohne dass der Nutzer davon informiert wird, können sie das tun und sind dabei durch den CLOUD Act sogar rechtlich abgesichert.

Cloud Services Made in Germany rücken (wieder) in den Fokus

Ein Ausweg für deutsche Unternehmen besteht darin, sich bei der Auswahl zukünftiger Cloud Service Provider auf Dienstleister zu verlassen, die mit dem Cloud Act überhaupt nichts zu tun haben, z.B. weil es sich bei den Anbietern auf Nicht-US-Firmen handelt. Und damit rücken auch wieder deutsche Cloud Service Provider in den Fokus, die ihre Cloud Computing-Lösungen selbst und unabhängig von US-amerikanischen Cloud-Anbietern betreiben, z.B. IONOS oder StackIT.

Darüber hinaus haben sich in der bereits 2010 ins Leben gerufenen Initiative Cloud Services Made in Germany aus Deutschland stammende Anbieter von Cloud Computing-Lösungen versammelt mit dem Ziel, für mehr Rechtssicherheit beim Einsatz von Cloud Computing-Lösungen zu sorgen. Weitere Informationen zur Initiative stehen im Internet unter https://www.cloud-services-made-in-germany.de zur Verfügung.

