Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Donnerstag, 16. November 2017, Ausgabe Nr. 46

Donnerstag, 16. November 2017, Ausgabe Nr. 46

Informationstechnik

EU-Kommission will europaweite Clouds einführen

Von Christiane Schulzki-Haddouti | 9. November 2017 | Ausgabe 45

Ein neuer Vorschlag der Europäischen Kommission zum freien Datenfluss bedeutet für deutsche Behörden das Aus für die „Cloud made in Germany“.

csh bu
Foto: imago/photothek/Thomas Truschel

Für Kontrollen im Rechenzentrum müssen bald weitere Wege zurückgelegt werden, wenn Cloud-Leistungen europaweit ausgeschrieben werden.

Die EU-Kommission will mit der Verordnung „Vorschriften zum freien Datenfluss nicht-personenbezogener Daten“ der europaweiten Entwicklung von Cloud-Computing, Big Data, künstlicher Intelligenz und dem Internet der Dinge einen Schub verpassen. EU-Kommissar Andrus Ansip rechnet damit, dass damit das Bruttoinlandsprodukt um jährlich 8 Mrd. € steigen könnte. Außerdem würde dies den Eintritt von kleinen und mittleren Unternehmen in neue Märkte erleichtern. Ansip denkt dabei vor allem an die Vernetzung von Fahrzeugen sowie an digitale Gesundheitsdienste, soweit diese mit nichtpersonenbezogenen Daten arbeiten sollten.

Mit der Verordnung sollen die europaweit rund 50 Einschränkungen, die eine Datenlokalisierung verlangen, beseitigt werden. Ausnahmen gibt es nur für Belange der nationalen Sicherheit. Gleichzeitig sollen die Befugnisse der nationalen Aufsichtsbehörden erhalten bleiben. Die neue Digitalkommissarin Mariya Gabriel betont, dass „solide und verlässliche Regeln für die Weitergabe von Daten notwendig seien, um Europas Erfolg im neuen Zeitalter der digitalen Wirtschaft zu sichern“.

Eine „Cloud made in Germany“ wäre mit dieser Verordnung zwar noch für Unternehmen, aber nicht mehr für Behörden möglich. Artikel 4 verbietet es nämlich, den Ort für die Speicherung und Verarbeitung von Daten auf einen konkreten Ort festzulegen oder auf einen bestimmten Mitgliedstaat zu beschränken. Artikel 4, Absatz 1 ist im Moment aber so unbestimmt formuliert, dass von dem Verbot der Ortsbeschränkung sogar Unternehmen betroffen sein könnten. Da der Vorschlag jetzt im Parlament diskutiert werden soll, ist davon auszugehen, dass diese Unklarheit noch beseitigt wird.

Jedenfalls sollen Behörden in ihren Ausschreibungen nicht mehr den Ort des Rechenzentrums für nichtpersonenbezogene Daten – z. B. Klima- und Verkehrsdaten – vorgeben dürfen. Das hat zur Folge, dass sie für Kontrollen im Rechenzentrum gegebenenfalls weite Anreisen in Kauf nehmen müssten.

Auch die Bundes-Schul-Cloud, wie sie Bundesforschungsministerin Johanna Wanka derzeit gemeinsam mit den Ländern plant, könnte nicht mehr nur auf Rechenzentren in Deutschland zurückgreifen. Die Rechenzentren könnten überall in der Europäischen Union stehen, da die Behörden in ihrer Ausschreibung keine Einschränkung mehr machen dürfen – es sei denn aus Gründen der nationalen Sicherheit.

Aus Sicht des Centrums für Europäische Politik (CEP) kann die neue Regel zwar zu erheblichen Kostensenkungen beitragen. Das CEP erinnert aber daran, dass „viele vermeintliche Barrieren für den grenzüberschreitenden Datenfluss nicht gesetzlicher Natur sind“. Eine wesentliche Barriere sei das „mangelnde Vertrauen in die Datensicherheit und den Schutz von Daten und Geschäftsgeheimnissen im Ausland“, was sich nur schwer durch gesetzgeberische Maßnahmen abbauen lasse.

Der ZVEI sieht den Vorschlag positiv, da Unternehmen dank der Free-Data-Flow-Verordnung die Möglichkeit erhalten, ihre Daten auch in anderen EU-Mitgliedstaaten abzuspeichern. Er erinnert aber daran, dass die neue europäische Datenschutzrichtlinie für Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union greifen muss. Sie verpflichtet alle Mitgliedstaaten dazu, Schutzmaßnahmen für digitale Infrastrukturen bis zum 19. 5. 2018 einzuführen.

Der Berufsverband von Cloud-Infrastruktur-Unternehmen Cispe bewertet den Vorschlag als „wichtigen Schritt nach vorne für die europäische Cloud-Industrie“, da er europaweit gleiche Regeln einführt. Der Cispe-Vorsitzende Alban Schmutz fordert aber, die Einschränkungen zugunsten der nationalen Sicherheit klar zu definieren.

Außerdem müsse eine einheitliche Vorgehensweise zum Schutz von Unternehmen und ihren Daten definiert werden. Schmutz hofft, dass das Parlament und die Mitgliedstaaten im Rat hier noch entsprechend nacharbeiten und sagt: „Der Sicherheitsstandard, den Deutschland über das Bundesamt für Sicherheit in der Informationstechnik und Frankreich über die ANSSI mit der European Secure Cloud definiert haben, sollte als Mindeststandard für Ausschreibungen der öffentlichen Hand festgeschrieben werden.“

In Sachen Datenportabilität setzt die Verordnung auf Selbstregulierung. Cispe mahnt jedoch, die Kosten der Datenportabilität für kleinere und mittlere Unternehmen zu analysieren und für den Konkursfall von Cloud-Anbietern Garantien auszuarbeiten. Schmutz: „Wir müssen sicherstellen, dass der freie Datenfluss nichtpersonenbezogener Daten europäischen KMU hilft und keine zusätzliche Belastung für sie darstellt.“

Auch die Banken sehen diese Vorgabe kritisch: So erwartet die European Banking Foundation von der Kommission, dass sie gemeinsam mit der europäischen Gruppe der Datenschutzaufsichtsbehörden eine „klare EU-Richtschnur“ entwickelt, damit Unternehmen wissen, wie sie die Portabilität umsetzen sollen.

Denn auch die europäische Datenschutz-Grundverordnung verlangt, dass die Kunden ihre Daten von einem Diensteanbieter auf einen anderen übertragen können. Die Bankenlobby warnt davor, dass ohne Richtschnur US-Plattformen wie Google, Facebook oder Apple dank ihrer Marktmacht die Portabilität unter sich so gestalten könnten, so dass europäische Unternehmen wie die Banken kaum davon profitieren könnten.

stellenangebote

mehr