Analysen
28. Juli 2016
AUTOR: Businesscloud.de

Was der Brexit für deutsche Cloud-Nutzer bedeutet

Noch hat Großbritannien den Austritt aus der Europäischen Union nicht beantragt. Doch es ist nur eine Frage der Zeit, bis die neue Premierministerin Theresa May die Trennung in die Wege leitet. Diese „Scheidung“ hat auch für Unternehmen Auswirkungen, die Cloud-Ressourcen nutzen.

Das gilt für zum einen für EU-Firmen, die sich geschäftlich in Großbritannien engagieren und dort personenbezogene Daten speichern und verarbeiten. Das kann im hauseigenen Rechenzentrum sein oder in einem Cloud-Datacenter. Ebenfalls vom Brexit betroffen sind Nutzer von Cloud-Diensten, die über Rechenzentren in Großbritannien bereitgestellt werden. In diesem Fall kann das Unternehmen zwar seinen Sitz in Deutschland oder einem anderen EU-Land haben. Wenn es Geschäftsdaten dann jedoch mithilfe von Cloud-Ressourcen bearbeitet, die in einem Nicht-EU-Land vorgehalten werden, also Großbritannien, hat das rechtliche Auswirkungen.

DIGITAL CAMERA

Raus aus der EU: Der „Brexit“ tangiert nicht nur Unternehmen wie BMW, die in Großbritannien Fahrzeuge wie den Mini produzieren. Auch Cloud-Nutzer müssen Vorkehrungen treffen. Bild: Pixelio.de / Jan von Bröckel

Europäische Datenschutzregeln sind verbindlich

Der Hintergrund ist, dass die Mitgliedsstaaten der EU bis zum 25. Mai 2018 die neuen EU-Datenschutzregelung (General Data Protection Regulation / GDPR beziehungsweise Datenschutz-Grundverordnung / DS-GV) in nationales Recht umgesetzt haben müssen. Diese sieht unter anderem vor, dass Unternehmen personenbezogene Daten nur in Rechenzentren speichern und bearbeiten dürfen, die den EU-Datenschutzstandard entsprechen. Was aber, wenn Britannien die EU verlässt? Müssen dann auch alle Cloud-Services gekappt werden, die ein Unternehmen aus einem dortigen Datacenter bezieht?

Eine gute Nachricht ist, dass es mehrere Jahre dauern dürfte, bis die Trennung vollzogen ist. Das heißt, Unternehmen bleibt Zeit, um Datentransfers und Cloud-Aktivitäten umzupolen. Denn nach Eingang der „Kündigung“ folgen etwa zweijährige Verhandlungen über die Modalitäten des Austritts. Mittlerweile ist fraglich, ob Großbritannien noch 2016 die Trennung beantragt. Das heißt, bis Ende 2018 oder gar 2019 bleibt das Vereinigte Königreich EU-Mitglied. Nach Angaben der Anwaltskanzlei Bird & Bird würde dies süffisanter Weise bedeuten, dass auch in Großbritannien die GDPR in Kraft tritt – es sei denn, im Vorfeld würde eine Regelung mit der EU gefunden, die diesen Schritt verhindert.

Großbritannien braucht adäquate Datenschutzregelungen

BC_Brexit_Andreas Morlok_pixelio.de

Damit Unternehmen aus der EU auch nach dem Brexit sensible Daten in Cloud-Rechenzentren in Großbritannien speichern dürfen, müsste das dortige Datenschutzrecht an EU-Maßstäbe angepasst werden. Bild: Pixelio.de / Andreas Morlok

Klar ist, dass Großbritannien einen vergleichbaren Datenschutz bieten muss wie die EU. Ansonsten dürfen Unternehmen aus der EU in (Cloud-) Rechenzentren auf britischem Boden keine sensiblen Informationen speichern und bearbeiten. Um ein solches Verbot zu verhindern, sind mehrere Alternativen denkbar:

Großbritannien übernimmt die GDPR in nationales Recht: Das ist unwahrscheinlich, weil diese Regelungen ja von der „bösen EU“ stammen.

Die Briten wählen ein Modell wie Norwegen oder Island: Beide Staaten sind keine EU-Mitglieder, gehören jedoch der EFTA (European Free Trade Association) an und sind damit Teil des European Economic Area (EEA). Damit verbunden sind Vorteile beim Handel mit der EU. Im Gegenzug haben sich Norwegen und Co. verpflichtet, die GDPR weitgehend unverändert in ihre Gesetzgebung aufzunehmen. Auch dieser Weg dürfte Großbritannien wegen des Widerstands der Brexit-Befürworter verschlossen sein.

Das Schweizer Modell: Die EU hat das Schweizer Bundesgesetz über den Datenschutz als Regelung akzeptiert, die eine vergleichbare Schutzwirkung bietet wie die Datenschutzbestimmungen der Europäischen Union. Die Regierung der Schweiz hat bereits signalisiert, dass sie Anpassungen des Bundesgesetzes an die GDPR vornehmen möchte. Wann das erfolgt, ist allerdings noch offen. Zudem haben auch in der Schweiz nationalistische Strömungen an Gewicht gewonnen, die jegliche „Einmischung“ von außen ablehnen. Im Fall von Großbritannien gilt das Gleiche wie bei den ersten genannten Modellen: EU-Gegner dürften gegen eine solche Regelung Stellung beziehen.

Britannien wählt einen eigenen Weg: Diese Option erscheint derzeit angesichts der Stimmung auf der Insel am wahrscheinlichsten. Allerdings müsste das Land dann eine vergleichbare Regelung mit der EU finden wie die USA. Der „große Bruder“ hat mit der Europäischen Union ein Rahmenabkommen geschlossen („EU-US Privacy Shield“), das den Transfer von sensiblen Daten aus EU-Ländern in die USA für legitim erklärt.

Allerdings ist diese Nachfolgeregelung des Safe-Harbor-Abkommens wegen vermeintlich zu massiver Zugeständnisse in puncto Datenschutz an die USA stark in die Kritik geraten. Daher ist umstritten, ob Privacy Shield einer Überprüfung durch den Europäischen Gerichtshof (EuGH) standhalten könnte.

International tätige Cloud Service Provider fahren mehrgleisig

Es ist somit offen, wie Großbritannien mit dem Thema Datenschutz und damit auch Cloud-Computing umgehen wird. International tätige Cloud Service Provider wie Amazon Web Services, IBM Softlayer und Microsoft geben sich dennoch gelassen. Sie verweisen darauf, dass sie nicht nur Rechenzentren in Großbritannien unterhalten, sondern auch in EU-Staaten wie Deutschland, Irland oder den Niederlanden. Kunden könnten somit festlegen, dass sensible Daten in einem Datacenter in der EU gespeichert werden, nicht in einem Cloud-Rechenzentrum in Großbritannien.

Allerdings muss in diesem Fall sichergestellt sein, dass auch das Spiegeln von Daten in einem räumlich entfernten zweiten Rechenzentrum gemäß den GDPR-Vorgaben erfolgt. Denn es wäre problematisch, würden beispielsweise Daten oder Workloads aus einem Cloud-Datacenter in Frankfurt am Main in ein Rechenzentrum in London repliziert. Das würde zwar die Ausfallsicherheit erhöhen und dem Verlust von Daten vorbeugen, wäre jedoch ein Verstoß gegen das Datenschutzrecht.

Eine weitere Option besteht darin, eine mehrgleisige Cloud-Strategie zu entwickeln: Wichtige Daten werden in einer Private Cloud oder bei einem Cloud Service Provider in Deutschland vorgehalten, der den strikten Datenschutzregelungen der EU unterliegt. IT-Services, die unter dem Aspekt Datenschutz weniger kritisch sind, können bei anderen Anbietern gebucht werden.

BC_Brexit_Crisp

Ein Gutteil der mittelständischen Unternehmen in Deutschland will eine Multi-Cloud-Umgebung aufbauen. Das reduziert die Abhängigkeit von einem Provider und ist auch dann hilfreich, wenn Provider nicht – mehr – die Datenschutzbestimmungen der EU erfüllen. Bild: Crisp Research

Laut einer Untersuchung der deutschen Marktforschungsgesellschaft Crisp Research von 2015 setzen nicht nur große Unternehmen in Deutschland auf eine solche „Multi-Cloud-Strategie“, sondern auch Mittelständler. Demnach nutzen derzeit rund 13 Prozent der mittelständischen Unternehmen ein Multi-Cloud-Modell; künftig wollen dies 36 Prozent der Firmen tun.

Fazit: Für den Cloud-Brexit gerüstet sein

Bislang ist es noch zu früh, um die Folgen des Brexit für die Nutzer und Anbieter von Cloud-Services abzuschätzen. Unternehmen aus der EU, die in Großbritannien tätig sind, dort Niederlassungen unterhalten oder Cloud-Dienste aus Rechenzentren auf britischem Boden beziehen, sollten sich jedoch auch auf einen „Cloud-Brexit“ vorbereiten.

Dazu raten auch Marktexperten wie etwa Peter Sondergaard, Vice President und Global Head of Research bei Gartner. In einem Blog-Beitrag empfiehlt er Unternehmen, ein „Office of Brexit“ einzurichten. Es sollte mögliche Auswirkungen des Brexit auf die IT und damit auch auf Geschäftsprozesse eines Unternehmens prüfen und Alternativen entwickeln. Dazu zählt laut Sondergaard auch eine Analyse der Beziehungen zu den Lieferanten von IT-Dienstleistungen. Und das heißt, auch Cloud Services und deren Provider müssen auf den Brexit-Prüfstand.


Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Nürnberg, im Dezember 2018: VR-Brillen, Roboter, an Computerspiele erinnernde Lernumgebungen – beim Finale des von WorldSkills ... Weiterlesen
Die CANCOM SE hat heute gegenüber dem Vorstand der Pironet AG ihr am 22. August 2018 gemäß § 327a Abs. 1 Satz 1 AktG gestelltes ... Weiterlesen
Köln, den 14. September 2018: Die langjährigen Partner IBM und CANCOM bauen ihr Cloud-Geschäft gemeinsam weiter aus: Der weltweit ... Weiterlesen
Köln, den 28. August 2018: Zu den anspruchsvollsten Prüfstandards für Informationssicherheit und Compliance zählt der ... Weiterlesen