Die aktuelle geopolitische Lage ist turbulent. Das sorgt dafür, dass die Wahl eines Cloud-Anbieters nicht mehr nur eine technische Entscheidung ist. Das Thema Datensouveränität beeinflusst inzwischen die Wahl des passenden Anbieters ebenso wie verschiedene regulatorische Compliance-Anforderungen.

Welche europäischen Alternativen gibt es, mit denen die Anforderungen an den Datenschutz (DSGVO) sowie die IT-Resilienz (DORA) erfüllt werden können?

Einführung

Die drei größten Cloud-Anbieter – auch Hyperscaler genannt – Amazon, Microsoft und Google sind US- amerikanische Unternehmen. Sie punkten unter anderem mit einer umfangreichen globalen Infrastruktur, hoher Skalierbarkeit und attraktiven Preisen. Doch sie arbeiten unter US-Gesetzen, die staatlichen Stellen Zugriff auf Daten ermöglichen können – unabhängig davon, wo sie gespeichert werden.

So regelt zum Beispiel der Title 18 U.S. Code §2713 des sogenannten CLOUD Acts den direkten Durchgriff auf alle ausländischen Töchterunternehmen. (Link Kubernetes-Artikel) Dieser Paragraf hat schon im Jahr 2020 durch das Schrems-II-Urteil¹ dafür gesorgt, dass das damalige Datenschutzabkommen zwischen der EU und USA unwirksam wurde.

Daher werden – gerade mit Blick auf die Themen Datensouveränität und Datenschutz – die Unterschiede zwischen europäischen und US-amerikanischen Cloud-Anbietern für Unternehmen immer wichtiger.

Im Folgenden beleuchten wir verschiedene Möglichkeiten, wie sich Unternehmen rechtlich absichern und Risiken durch die Nutzung von Cloud-Diensten minimieren können.

Cloud-Anbieter, die nicht nur ihre Server in Deutschland beziehungsweise Europa betreiben, sondern auch ihren Sitz innerhalb der EU haben, sind daher eine valide Alternative, zumal sie mit den deutschen Anforderungen an Compliance, Datenschutz und digitale Souveränität besser übereinstimmen.

Eine weitere Lösungsmöglichkeit ist der Aufbau einer Private Cloud. Diese kann im eigenen Rechenzentrum aufgebaut oder mit ausgewählten Hostingpartnern in der EU umgesetzt werden.

Strategie und ein Ausblick für die nächsten drei Jahre

Wie kann eine Bank möglichst einfach von den oben beschriebenen Möglichkeiten und Vorteilen profitieren?

Zunächst muss sie die Möglichkeit schaffen, EU-souveräne Cloud-Anbieter in ihrem Institut nutzen zu können. Dies wäre nach unserer Einschätzung mit einem ausgewählten, nicht kritischen IT-Dienst vertraglich wie auch technisch innerhalb von zwei bis drei Monaten zu realisieren.

Als Ausblick und Vision für eine Dreijahresstrategie wäre es interessant, daraus dann eine echte Multi-Cloud-Architektur aufzubauen. Das heißt, neue Cloud-Applikationen werden von Anfang an so gebaut, dass sie bei zwei verschiedenen Cloud-Anbietern lauffähig sind und bei Bedarf in wenigen Minuten zum jeweils anderen Anbieter „hinüberschwenken“ können.

Damit wäre auch schon eine Exit-Strategie in der Praxis verwirklicht und erprobt – anstatt weiterhin als Plan in der Schublade zu liegen.

Mit einer solchen Cloud-Architektur gehört eine Providerabhängigkeit der Vergangenheit an.