Handelsblatt App
Jetzt 4 Wochen für 1 € Alle Inhalte in einer App
Anzeigen Öffnen
MenüZurück
Wird geladen.

25.04.2021

15:31

Cloud-Projekt

Wie Gaia-X europäische Daten vor dem Zugriff von US-Behörden schützen will

Von: Till Hoppe, Christof Kerkmann, Dietmar Neuerer

Das europäische Cloud-Projekt definiert erstmals, welche Sicherheitsstandards seine Mitglieder erfüllen sollen. Datenschützer halten die Vorkehrungen aber für unzureichend.

Der Bundeswirtschaftsminister treibt das europäische Cloud-Projekt Gaia-X voran. dpa

Peter Altmaier

Der Bundeswirtschaftsminister treibt das europäische Cloud-Projekt Gaia-X voran.

Berlin Wenn Peter Altmaier und Bruno Le Maire über Gaia-X sprechen, werden der Bundeswirtschaftsminister und sein französischer Kollege etwas pathetisch: Die „europäische Souveränität„ im Digitalzeitalter soll das Cloud-Projekt befördern und dabei zugleich den europäischen Werten Geltung verschaffen – in einem Markt, der derzeit von datenhungrigen Anbietern aus den USA und China dominiert wird.

Die an Gaia-X beteiligten Unternehmen haben nun versucht, zu definieren, was diese luftigen Ziele konkret bedeuten sollen. In den „Policy Rules“, einer Art Grundgesetz von Gaia-X, haben sie formuliert, welche Regeln all jene Datenverarbeiter erfüllen müssen, wenn sie sich später mit dem Gütesiegel des europäischen Cloud-Projekts schmücken wollen.

53 Klauseln, kurz und knapp abgefasst, listet das Dokument auf, das am Montag veröffentlicht wird und dem Handelsblatt schon vorlag. Sie sollen den Unternehmen klare Vorgaben machen, welche Anforderungen sie an Transparenz, Datenschutz, Sicherheit und Offenheit erfüllen müssen.

Das Papier soll anschließend mit den 230 Mitgliedern und anderen Interessierten diskutiert werden. Und Diskussionsbedarf gibt es: Vor allem die Beteiligung der großen Anbieter aus den USA wie Amazon Web Services (AWS), Microsoft und Google ist umstritten, auch innerhalb der Organisation, ebenso die Teilnahme chinesischer Konzerne wie Huawei und Alibaba.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Schließlich lässt sich deren Beteiligung zumindest auf den ersten Blick nicht leicht mit den viel beschworenen europäischen Werten vereinbaren. Hinter den Vorbehalten gegen US-Dienste wie Microsoft Azure, Google Cloud und Amazon AWS steht ein Urteil des Europäischen Gerichtshofs: Der EuGH hatte im vergangenen Juli die Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA kassiert, und zwar wegen der zu weitreichenden Überwachungsbefugnisse der amerikanischen Sicherheitsbehörden.

    „Vor dem Zugriff außereuropäischer Sicherheitsbehörden geschützt“

    Gaia-X will hier Abhilfe schaffen: „Wenn ein Anwender seine Daten bei einem nach Gaia-X-zertifizierten Cloud-Dienst speichert, dann sind diese vor dem Zugriff außereuropäischer Sicherheitsbehörden geschützt“, verspricht der VW-Manager Ulrich Eichhorn, der die Arbeitsgruppe zu dem Regelwerk leitet. Bislang müsse ein Kunde einzeln mit den Cloud-Anbietern verhandeln, wenn er wolle, dass seine Daten von diesen in Europa und nach europäischem Recht verarbeitet würden. „Mit Gaia-X wollen wir jetzt einen Standard dafür schaffen.“

    Die Policy Rules verpflichten die Dienstleister etwa, dem jeweiligen Kunden offenzulegen, an welchem Standort genau dessen Daten gespeichert werden. Auch welche ausländischen Rechtsakte greifen, sollen die Anbieter transparent machen. Ebenso sollen sie klarstellen, dass die Informationen beim Transfer gemäß den Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) geschützt sind.

    Cloud-Dienstleister sollen ihre Leistungen sicher und gemäß EU-Datenschutzrecht anbieten. Getty Images

    Serverraum

    Cloud-Dienstleister sollen ihre Leistungen sicher und gemäß EU-Datenschutzrecht anbieten.

    Datenschützern gehen diese Bestimmungen aber nicht weit genug. „Insbesondere die Fragen des internationalen Datenaustausches und des möglichen Zugriffs durch US-Clouds auf Server in der EU bleiben ausgeblendet“, kritisiert der Hamburger Datenschutzbeauftragte Johannes Caspar. „Das Papier ist ziemlich beliebig.“ Die Richtlinien wiederholten größtenteils Anforderungen, die sich bereits aus der DSGVO ergäben.

    Auch Baden-Württembergs Datenschutzbeauftragter Stefan Brink hält es für „unzureichend“, dass in dem Papier lediglich auf Anforderungen der DSGVO hingewiesen werde. Dass Sub-Auftragnehmer in die Überlegungen mit einbezogen würden, sei hingegen „klug und richtig“, so Brink.

    US-Justiz greift auch im Ausland auf Daten zu

    Das Problem: Aus Sicht vieler Experten sind Daten nicht unbedingt vor dem Zugriff der US-Justiz geschützt, wenn die Server in Europa stehen. Denn der sogenannte Cloud Act erlaubt es den US-Behörden seit 2018, auch auf jene Daten zuzugreifen, die amerikanische IT-Anbieter im Ausland speichern.

    Die US-Justiz kann somit prinzipiell auch Zugriff auf die Daten verlangen, die bei den europäischen Tochtergesellschaften gespeichert sind. Die Unternehmen geraten dann schnell in einen Konflikt mit EU-Recht. Firmen wie AWS haben aber betont, sich gegen solche Anfragen auch juristisch zur Wehr zu setzen.

    Andreas Weiss, Geschäftsbereichsleiter für digitale Geschäftsmodelle beim Internetverband Eco, rät den Kunden dennoch zu zusätzlichen Vorsichtsmaßnahmen: „Das Gaia-X-Akkreditierungsverfahren liefert die notwendige Basistransparenz zur sachgerechten Einschätzung eventuell weiterer notwendiger Vorkehrungen“, sagt er. Dazu zähle etwa die Verschlüsselung der Daten.

    Direkt vom Startbildschirm zu Handelsblatt.com

    Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

    Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

    ×