MAG 1805 Szene

US Cloud Act und EU-DSGVO

[shutterstock.com: 88660195, Oxa]
[shutterstock.com: 88660195, Oxa]

Die kürzlich beschlossene Verordnung US Cloud Act und EU-DSGVO kratzen – wenn nicht gar beschädigen – Cloud Computing. Heißt es nun für SAP-Bestandskunden raus aus dem Wolkenkuckucksheim? Eine Risikoanalyse für den Chief Information Security Officer.

Vereinfacht gesagt gestattet Cloud Act der US-Regierung ungehinderten Zugang zu allen weltweiten Cloud-Daten, die von US-amerikanischen Anbietern gespeichert werden.

Somit ist auch jener Rechtsstreit hinfällig, den Microsoft in den USA angestrebt hat: Für Daten, die außerhalb der USA gespeichert wurden, sah Microsoft keine rechtliche Notwendigkeit, diese an US-Regierungsbehörden zu übergeben.

Mit dem nun aktuellen Cloud Act ändert sich dieser Umstand grundsätzlich. US-amerikanische Unternehmen sind verpflichtet, den einschlägigen Behörden alle Daten aus der Cloud unabhängig vom physischen Speicherort auszuhändigen.

Datenschutzexperten erwarteten eine solche Regelung, aber immer in Übereinstimmung mit europäischen Gesetzen und insbesondere der EU-DSGVO.

Was für Cloud-Anwender und damit auch für SAP-Bestandskunden die Sachlage verkompliziert hat, ist die nun existierende Tatsache, dass die US-Regierung ohne Absprache mit der EU den Cloud Act beschlossen hat.

Diese einseitige Regelung des „Datenschutzes“ hat nicht nur die EU-Verantwortlichen in Brüssel kalt erwischt, sondern stellt nun auch Cloud Computing vor ganz neue Herausforderungen.

US Cloud Act in Kombination mit EU-DSGVO könnte somit SAP-Bestandskunden zwingen, US-amerikanische Cloud-Anbieter wie AWS, Microsoft und Google zu meiden oder vielleicht sogar zu verlassen – europäische Alternativen gibt es.

„Die Klarstellung der amerikanischen Behörden durch den US Cloud Act kommt nicht unerwartet“

bestätigt auch Jean- Claude Flury, DSAG-Vorstand Business Networks Integration, gegenüber dem E-3 Magazin.

Jan Claude FluryUnd Bertram Dorn, AWS Specialist Solutions Architect EMEA für Security, bestätigt im E-3 Exklusivgespräch die neue Sachlage:

„Wir helfen, die Risikoanalyse mit Informationen und Daten zu unterstützen. Ohne Risiko aber geht es nicht, deswegen muss man zu einer realistischen Einschätzung kommen.

Mit EU-DSGVO und US Cloud Act gibt es hier natürlich eine weitere Aufgabe hinsichtlich der Risikoanalyse. Und natürlich entstehen hier jetzt Diskussionen, die der SAP-Bestandskunde – speziell aus dem Mittelstand – so noch nicht gewohnt ist.“

Die neue Risiko-Diskussion des Chief Information Security Officer ist somit keine technische, sondern eine rechtliche Diskussion. Der positive Aspekt ist vorläufige Rechtssicherheit, weil es ein US-Gesetz und EU-DSGVO gibt.

„Selbst das Unternehmen Microsoft, das einen anhängigen Fall dazu vor dem US Supreme Court hat, begrüßt sie“

führt DSAG-Vorstand Jean- Claude Flury aus und ergänzt:

„In der heutigen Zeit von Leaks und Hacking muss jedes Unternehmen genau überlegen, welche Daten in mehr oder minder privaten Clouds gespeichert werden.

Dies gilt speziell für Rechenzentren außerhalb Europas und noch mehr, wenn es sich um einen Betreiber handelt, der weder aus der EU noch der Schweiz stammt.“

Noch hat SAP selbst nicht reagiert und ihre Kooperationen mit AWS, Microsoft und Google sowie den eigenen weltweiten Rechenzentren nicht kommentiert. Damit betont Jean-Claude Flury nochmals:

„Neu ist, dass Drittstaaten über ein bilaterales Abkommen mit den USA einfacher an Daten von Firmen im eigenen Land gelangen könnten. Europäische Unternehmen tun gut daran, ihre hoffentlich bereits strengen Richtlinien zur Datenhaltung außerhalb des firmeneigenen Rechenzentrums nochmals zu verschärfen.“

Auch AWS-Experte Bertram Dorn sieht die Entwicklung ähnlich:

„Der Kunde muss sich der Risiken durch EU-DSGVO und US Cloud Act bewusst sein und diese für sich auch bewerten und adäquat abschätzen.“

Mit US Cloud Act und DSGVO kommt viel Arbeit auf den Chief Information Security Officer zu. Bertram Dorn weiß aufgrund seiner täglichen Arbeit mit AWS-Kunden:

„Auch nach der Diskussion und Evaluierung mit unseren Rechtsanwälten bleibt natürlich die Risikoabschätzung im Verantwortungsbereich des Kunden.“

Aus dieser Herausforderung heraus gibt es mehrere Lösungswege – vielleicht wieder zurück ins eigene Rechenzentrum? Die allermeisten SAP-Bestandskunden haben viel Wissen über Aufbau und Betrieb eigener Rechenzentren.

Im Vor-Cloud-Zeitalter wurde in der SAP-Community viel konsolidiert, automatisiert und virtualisiert. Die Ergebnisse waren schlanke und performante Rechenzentren, die als On-premise-SAP-Installationen auch betriebswirtschaftlich mit vielen Outsourcern und Hostern mithalten konnten.

Wie groß ist demnach das Risiko? Wie relevant eine Cloud-Exit-Strategie? Dazu Meik Brand, SAP Business Development Manager beim SAP-Partner QSC:

„Zunächst einmal ist festzuhalten: Wer heute noch keine Cloud-Produkte von US-Unternehmen einsetzt und auch keine Daten auf US-Servern vorhält, kann sich entspannt zurücklehnen und die nächsten regulatorischen Schritte der EU abwarten. Denn aktuell handelt es sich um einen rein unilateralen Vorstoß der US-Regierung.“

Meik BrandUS Cloud Act betrifft damit unmittelbar die SAP-Bestandskunden, die bei AWS, Microsoft Azure und der Google Cloud Platform involviert sind. Somit auch die Reaktion und Antwort von AWS-Spezialist Bertram Dorn ganz folgerichtig:

„Wir helfen unseren Kunden mit Reviews ihrer Security-Architektur, denn alle unsere Vorkehrungen und Security-Services helfen nur, wenn der Kunde diese AWS-Angebote auch richtig umsetzt und konfiguriert.“

Meik Brand von QSC empfiehlt:

„Wer sich just im Moment im Auswahlverfahren für einen Cloud-Service befindet, sollte diesen zunächst stoppen. Firmen, die bereits vom Cloud Act betroffene Cloud-Produkte nutzen, sollten hingegen abwarten. Denn in den nächsten zwei bis drei Monaten wird sich zeigen, was der US Cloud Act konkret bedeutet – und wie sich die EU hierzu aufstellen wird.

Auch sollten SAP-Kunden ihren US-Cloud-Anbieter in die Pflicht nehmen und verbindlich klären, wie dieser – trotz Cloud Act – jetzt Datenschutz nach EU-­DSGVO garantieren kann.“

Während Microsoft und Google gegenüber dem E-3 Magazin keine Stellungnahme hinsichtlich ihrer Verantwortung und Security-Reviews bezüglich Datenschutz abgeben wollten, bezieht Bertram Dorn von AWS eindeutig Stellung:

„Wir erachten diese Reviews als sehr wichtig, sodass wir diesen Service unseren Kunden kostenlos anbieten. Der Hintergrund ist leicht erklärt: Wir wollen unsere Kunden erfolgreich haben und dazu gehört eben auch die Sicherheit der Daten. Letztendlich geht es um die korrekte Konfiguration der AWS-Services im Sinne der Kundenanforderungen.“

Als SAP-Bestandskunde kann man somit seine Daten bei AWS sicher verwahren und kann eine Risikoabschätzung machen, jedoch ist es schwierig zu bewerten, wie sich US Cloud Act in der Praxis mit EU-DSGVO verträgt und wie beide Verordnungen von den jeweiligen Behörden operativ angewendet werden.

Somit die Schlussempfehlung von Meik Brand, SAP Business Development Manager bei QSC:

„Wer seine Daten bei einem EU-Cloud-Anbieter in einem EU-Rechenzentrum weiß, setzt damit auf einen Anbieter, der der EU-DSGVO unterliegt, und ist damit datenschutzrechtlich auf der sicheren Seite. SAP-Kunden in Europa sollten die Nutzung von US-amerikanischen Cloud-Anbietern daher kritisch prüfen und nur in Ausnahmefällen jetzt zulassen.

Aufgrund der am 25. Mai in Kraft tretenden EU-Datenschutzgrund-Verordnung drohen potenziell bei Datenschutzverletzungen hohe Strafen.“

Damit kratzen US Cloud Act und EU-DSGVO an den Wolken des Cloud Computing. Die SAP-Community wird in den kommenden Monaten Antworten finden oder zurück zu on-premise gehen müssen.

Über den Autor

Peter M. Färbinger, E-3 Magazin

Peter Färbinger, Herausgeber & Chefredakteur E-3 Magazin
B4Bmedia.net AG, München, Deutschland.
Erreichbar unter [email protected] | Tel +49(0)89/210284-21

Hinterlassen Sie einen Kommentar

AdvertDie Meinung 2