Interview: Was beim Thema Cloud-Standort nicht vergessen werden sollte

Welche Bedeutung spielt der Cloud-Standort, wenn sich Unternehmen aus
Deutschland mit Public Cloud-Services befassen?
Felix Grundmann: Zu dieser Fragestellung haben wir Ende 2021 gemeinsam mit techconsult eine Befragung unter IT-Entscheidern in Deutschland durchgeführt. Das Ergebnis: Der Serverstandort Deutschland ist enorm vertrauensbildend. 56 Prozent der Befragten haben angegeben, dass sie hochsensible Daten – persönliche wie auch geschäftliche – in Deutschland speichern möchten. Geht es um sämtliche Unternehmensdaten, möchten immerhin noch 44 Prozent sie in der Bundesrepublik vorhalten.

Sind sich die Unternehmen als Public Cloud-Nutzer dieser Bedeutung schon
bewusst genug? Oder bedarf es weiterer Aufklärung?
Die meisten Unternehmen sind sich unserer Erfahrung nach durchaus darüber bewusst, dass deutsche Serverstandorte wichtig sind, um Compliancevorgaben einzuhalten. Insbesondere die Diskussion um die DSGVO hat hier viel dazu beigetragen. Weniger bekannt dagegen ist, dass auch der Sitz des Cloud-Providers oder seiner Muttergesellschaft selbst relevant ist, um nicht unter die Rechtsprechung eines Drittstaates, zum Beispiel des US CLOUD Acts, zu fallen.

Ein Serverstandort Deutschland reicht nicht, wenn der Provider aus den USA stammt. Die Tragweite dieses Aspekt wird meiner Erfahrung nach noch unterschätzt. Hier bedarf es einerseits weiterer Aufklärung, dass dies zu Rechtsunsicherheiten führt. Andererseits sehen wir, dass Unternehmen, die sich dessen eigentlich bewusst sind, regelmäßig eine Rückbestätigung benötigen – sei es von uns als Provider oder von einer dritten Stelle.

Der Standort des Rechenzentrums, das die Public Cloud-Dienste erbringt, reicht ja alleine nicht für Cloud aus der EU. Was ist noch dafür notwendig? Spielen auch Serverhardware und Betriebssysteme eine Rolle?
Ob Infrastruktur, Cloud-Plattform oder Anwendungen: Entscheidend ist immer der Hauptsitz des Cloud-Anbieters. Ist dieser zum Beispiel in den USA, fällt er unter den US CLOUD Act. Einzelne Ländergesellschaften können sich dem übrigens nicht entziehen. Das bedeutet, dass US-Behörden teils ohne richterlichen Erlass auf Daten zugreifen können, selbst wenn diese in Rechenzentren in Deutschland gespeichert sind. Das wiederum widerspricht der DSGVO und birgt für europäische Unternehmen Rechtsunsicherheit.

Public Cloud-Dienste werden ja immer spezieller, und Branchen-Clouds entstehen. Können denn Cloud-Dienste aus der EU wirklich schon alles abdecken oder braucht man für bestimmte Dienste doch noch einen US-Anbieter?
Die Frage ist: Für welchen Zweck sollen Cloud-Dienste eingesetzt werden? Keine Cloud kann vermutlich 100 Prozent aller branchenspezifischen Anforderungen erfüllen. Jedoch gilt auch hier das Pareto-Prinzip. Das heißt: Mit 20 Prozent der Anforderungen kann man bereits 80 Prozent der nötigen Use Cases abbilden. IaaS ist weiterhin der große Kern, auch wenn PaaS-Dienste zunehmend wichtiger werden. Entscheidend ist, dass die Anwender die Wahlfreiheit hat, für welchen Use Case sie welchen Anbieter wählen. Je sensibler die Daten sind, die verarbeitet werden, desto eher sollte die Wahl auf einen Anbieter aus Europa fallen.

Lieferketten sind ja zunehmend international / global. Kann ein Angebot aus der EU denn eine Supply-Chain-Cloud realisieren oder nutzt jeder seine Cloud und es findet ein Cloud-Cloud-Transfer statt?
Bei globalen Use Cases sind die Hyperscaler noch im Vorteil. Aber gerade, wenn mehrere Akteure eingebunden sind, wie bei internationalen Supply Chains, ist eine Multi-Cloud-Architektur unumgänglich. Das heißt, es werden Cloud-Dienste mehrerer Anbieter zusammengebracht. Und hier ist es wichtig, dass diese miteinander Daten ohne Aufwand austauschen können.

Dafür erarbeitet das Projekt Gaia-X gerade eine Basis. Es werden hier einheitliche Datenformate und Schnittstellen geschaffen, um die Interoperabilität beim Umgang mit Daten DSGVO-konform zu gewährleisten. Das Ziel ist es, auf Basis von Gaia-X datengetriebene Geschäftsmodelle auf einem internationalen Niveau zu schaffen, die gleichzeitig hohe Datenschutzstandards erfüllen. Erste Musteranwendungen zeigen das große Potenzial schon.