DSGVO-konformes Cloud Computing: Welche Stand­orte DSGVO-konforme Dienste bieten

Ab in die Wolke! Diese Auf­forderung ist für viele, vor allem kleinere Unter­nehmen mit Un­sicher­heiten ver­bunden – immer noch und schon wieder. Die DSGVO ver­langt bei Cloud-Services mittler­weile einen sauberen Ver­trag zur Auf­trags­verarbeitung. Anbieter in räum­licher Nähe haben aber noch weitere Vorteile.

Dieser Beitrag ist mehr als 4 Jahre alt.
© Robert Kneschke – Fotolia
Bild: © Robert Kneschke – Fotolia

Von Haus aus daten­schutz­gerecht

Von David Schahinian

Es sind markige Worte: „Deutsche Daten-Festung“ und „High-Tech Fort Knox“ – in der Kommunikation von T-Systems, der Großkundensparte der Deutschen Telekom, wird schnell deutlich, womit Biere punkten soll. Biere? Ist ein Ort in Sachsen-Anhalt mit rund 2500 Einwohnern, der „im Niemandsland der Magdeburger Börde“ liegt (O-Ton des Unternehmens). Der Standort wurde bewusst gewählt. In der benachbarten Großstadt betrieb der Konzern bereits ein Rechenzentrum, das sich für eine redundante Datenspeicherung anbot. Zumal gab es keine Ansiedlungen, Flughäfen und -schneisen oder Autobahnen in der Nähe. Darüber hinaus sind Erdbeben und andere Naturkatastrophen in Biere eher unwahrscheinlich.

Im Oktober 2012 erfolgte dort die Grundsteinlegung für ein Cloud-Rechenzentrum. Im Juli 2014 ging das Hosting „hochsicherer und hochverfügbarer Cloud-Lösungen“ schließlich in Betrieb. Im September 2018 folgte der Start von Biere 2, mit dem nach Unternehmensangaben insgesamt 150 Petabyte für das Verarbeiten und Speichern von Cloud-Daten zur Verfügung stehen. „Über 50 Hard- und Softwareanbieter aus aller Welt sind ‚Mieter‘ des hochmodernen ‚House of Clouds‘ in Biere“, berichtet François Fleutiaux, Leiter der IT Division von T-Systems. Nicht nur DSGVO-Konformität ist gegeben, was sich das Unternehmen mittels mehrerer Zertifikate nachweisen lässt. Darüber hinaus sei die Open Telekom Cloud mit dem vom Bundesinnenministerium initiierten Zertifikat „Trusted Cloud“ versehen.

Cloud-Modelle nach Safe Harbor

Eine Weile lang wurde dem deutschen Cloud-Markt ein riesiges Potenzial zugeschrieben. Ein Grund dafür war unter anderem das Safe-Harbor-Datenschutzabkommen zwischen den USA und der EU, das 2015 für ungültig erklärt wurde. Die Europäische Datenschutz-Grundverordnung (EU-DSGVO), die seit 25. Mai 2018 verpflichtend anwendbar ist, sorgte für weitere Sensibilisierung. Was früher manch einer als Manko anführte – besonders hohe Datenschutzstandards –, hatte sich quasi über Nacht zu einem Qualitätsmerkmal gewandelt. Man erinnere sich: Auch das Markenzeichen „Made in Germany“ wurde einst von den Briten erfunden, um die heimische Messerindustrie zu schützen und deutsche Produkte zu stigmatisieren. Später wendete sich das Blatt.

MW-PLZ0123-07-dl-rechenzentrum-04.jpg
Aus dem Rechenzentrum Biere stellt die Deutsche Telekom als Datentreuhänder Cloud-Dienste wie Office 365 für Microsoft bereit – mittlerweile nur mehr für Bestandskunden. (Bild: Deutsche Telekom)

Zwar entwickelt sich der Cloud-Markt sehr positiv. Dem Cloud-Monitor 2018 von KPMG und Bitkom zufolge nutzten bereits 2017 zwei Drittel aller Unternehmen Rechenleistungen aus der Cloud, viele weitere planten es. Und tatsächlich war das mit Abstand wichtigste Kriterium bei der Anbieterauswahl die Konformität in Sachen Datenschutz. Von allein läuft es allerdings nicht: So steht derzeit etwa die eingetragene Wortmarke „German-Cloud“ des einstigen Vorzeigemodells (Best of 2014 beim Innovationspreis der Initiative Mittelstand) nebst der URL www.german-cloud.de mit allen Markenrechten „günstig zum Verkauf“. Microsoft hatte sich 2015 für ein Datentreuhänder-Modell mit der Deutschen Telekom entschieden. Die Kunden aber hätten sich umfassendere Funktionalitäten und die Konnektivität mit der globalen Cloud-Infrastruktur des Konzerns gewünscht, ließ das Unternehmen 2018 verlautbaren. Die Microsoft Cloud Deutschland wird Neukunden nun nicht mehr zur Verfügung gestellt, Bestandskunden können sie jedoch noch weiter nutzen. Der Aufbau eigener Rechenzentren in Berlin und Frankfurt ist in vollem Gange: Von dort sollen künftig Azure, Office 365 und Dynamics 365 in vollem Funktionsumfang bereitgestellt werden.

Standort, Preis und Performanz

Ein weiterer großer Anbieter ist Comarch: 1993 gegründet und seit 1999 in der Bundesrepublik aktiv, befindet sich der deutsche Hauptsitz seit 2005 in Dresden. Von dort sowie von Berlin aus bietet das Unternehmen Datacenter-Dienstleistungen von eigenen Servern an. Dazu zählen Services zur Bereitstellung und Pflege von komplexen Systemplattformen einschließlich Hardware, Software und Administrationsdiensten. Als Servicemodelle stehen SaaS (Software as a Service), PaaS (Platform as a Service) und IaaS (Infrastructure as a Service ) zur Verfügung, berichtet ICT Consulting Director Bartłomiej Kluska.

Die DSGVO-Konformität sei jedoch eher weniger Thema als Datensicherheit, fährt er fort: „Es wird immer wichtiger, dass die Daten und Systeme geografisch verteilt sind, um Disaster Recovery Services zu ermöglichen.“ Ein weiterer wichtiger Aspekt sei der Preis: Mit dem billigsten Anbieter mag mancher das Gefühl haben, ein Höchstmaß an Effizienz und Outsourcing erreicht zu haben. „An der Qualität sollte aber im Falle von Cloud Services nicht gespart werden. Das A und O ist eine performante Infrastruktur“. Mittelgroße Anbieter – wie Comarch – hätten den Vorteil, ihren Kunden individuelle Wünsche erfüllen und das jeweilige Projekt anpassen zu können.

Serie: DSGVO-konformes Cloud Computing
Teil 1 beginnt dort, wo der Daten­schutz am wichtigsten ist: bei den Auftrags­daten­verarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechen­zentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.

Aber DSGVO und Datensicherheit, das gehört doch zusammen, oder? „Europäische Datenschutzrichtlinien und nationale Gesetze stellen weltweit eines der höchsten Schutzniveaus für private Daten sicher“, antwortet Kluska. Daher sei es immer empfehlenswert, einen europäischen bzw. deutschen Cloud-Anbieter in Betracht zu ziehen. Er nennt noch einen weiteren Vorteil von nicht zu weit entfernten Dienstleistern: Kurze Latenzzeiten, die besonders wichtig sind, wenn Kunden beispielsweise Datenbanksysteme betreiben oder eine synchrone Spiegelung der Daten wünschen.

Andere Cloud-Provider suchen sich eine vielversprechende Marktnische, um diese mithilfe von pfiffigen Lösungen zu besetzen. Ein Beispiel ist call@cloud – eine Kommunikationslösung, die „in und für Schleswig-Holstein“ entwickelt wurde. Die Idee dahinter ist, Telefonanlagen in der Wolke abzubilden. Die größten Vorteile liegen auf der Hand: Es muss keine eigene PBX-Hardware mehr vorgehalten werden, und die Telefonie funktioniert standortunabhängig mit der eigenen Rufnummer. Darüber hinaus sind die Tarife aufgrund der Cloud-Infrastruktur günstig. Das Unternehmen gehört zur Firmengruppe des Systemhauses Dierck in Schwentinental bei Kiel, die noch etliche weitere Cloud-Dienste wie etwa Online-Backup-Services anbietet.

1906-Regio 0-3.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe „IT-Unternehmen aus der Region stellen sich vor“. Einen Über­blick mit freien Down­load-Links zu sämt­lichen bereits verfügbaren Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Rechenzentren in Reichweite

Es wurde bereits deutlich: Das Cloud-Geschäft ist nicht nur etwas für Konzerne. Im Gegenteil: Zahlreiche kleinere und mittelständische Unternehmen sind sehr aktiv, wenn es um das kundennahe Hosting von Daten geht. Das zeigt etwa ein Blick nach Hannover: Hier betreibt Hostway ein DSGVO-konformes und ISO-27001-zertifiziertes Rechenzentrum, das zahlreiche Dienstleistungen bietet. Dazu zählen die Auslagerung von IT-Komponenten, aber auch Colocation-Lösungen für Unternehmen, die (zusätzlichen) Platz für ihre eigene Hard- und Software brauchen. Mitarbeiter stehen 24 Stunden am Tag für den Support oder etwaige Störungsbehebungen zur Verfügung.

Auch 3U Telecom betreibt ein ISO-27001-zertifiziertes Rechenzentrum in der Stadt an der Leine (sowie in Berlin, Frankfurt und Marburg). Auf rund 600 m² hat sich das Unternehmen dort auf Colocation und Housing konzentriert. Zum Leistungsumfang zählen die Bereitstellung einzelner Stellflächen, Cages oder separater Räume bis hin zu Spezialbauten für Systeme mit hoher Leistungsaufnahme. Besonders hervorgehoben wird die Möglichkeit der Einrichtung virtueller und verteilter RZ-Dienste (Distributed Data Center): Dabei wird skalierbare Rechenkapazität über virtuelle Server bereitgestellt. Kunden haben so die Möglichkeit, die Leistung flexibel an ihren aktuellen Bedarf anzupassen.

Wer die regionale Karte noch stärker ins Spiel bringen will, stellt den Bezug zur Heimat und zum deutschen Standort bereits im Namen heraus. Unter dem Slogan „Let’s get Cloud“ und TÜV-Rheinland-zertifiziert spielt die Fuldacloud geschickt mit den örtlichen Gegebenheiten: Das Rechenzentrum befinde sich „gut geschützt hinter den massiven Mauern des Schlosses“ der osthessischen Barockstadt. Die Angebote richten sich an Einzelunternehmer bis zum gehobenen Mittelstand, die sich mit der Fuldacloud „Rechtssicherheit und kurzer Wege“ sicher sein könnten.

MW-PLZ0123-07-HHCL-Backbone-V05-weiss.jpg
Im Herbst 2018 wurde die Hamburg-Cloud noch um ein Colt-Tier-3-Rechenzentrum erweitert. (Bild: FKS IT)

Weiter im Norden stellt die Hamburg-Cloud Wirtschaftsunternehmen eine redundante Infrastruktur für Cloud Computing mittels eines örtlichen Rechenzentrums zur Verfügung. Sie ist eine gemeinschaftliche Kooperation der Hamburger Systemhauses FKS IT und New Media Markets & Networks. Auch sie werben mit dem Standortvorteil: „Hier kann die Datenhaltung noch vor Ort begutachtet werden und es müssen keine weiten Wege für die Erfüllung der gesetzlich vorgeschriebenen Sorgfaltspflichten in Kauf genommen werden.“ Das Rechenzentrum ist mehrfach zertifiziert, zudem sind die Anbieter Mitglied der Initiative Cloud Services Made in Germany.

Nächster Halt: Cloud-Management

„Warum in die Ferne schweifen? Sieh, das Gute liegt so nah.“ Goethe hatte damit zwar sicher nicht den deutschen Cloud-Markt im Sinn. Trotzdem kann es sich für Unternehmen lohnen, ihren Cloud-Provider abseits der ganz großen internationalen Player Google, AWS, Microsoft und IBM zu suchen. Mittlerweile gibt es viele regionale Angebote, die auch umfangreicheren Bedürfnissen gerecht werden. Abstriche beim Datenschutz kommen auch bei ihnen nicht infrage – dank der strikten gesetzlichen Vorgaben. Andererseits sollte man auf dem Schirm behalten, dass mit der Zahl der Cloud-Dienste auch die Komplexität der Integration steigt – nicht umsonst ist das Management von hybriden Clouds (teils entfernt, teils auf eigenen Servern) und Multiclouds derzeit eine Aufgabenstellung, die vielen Unternehmen auf den Nägeln brennt.

David Schahinian neu.JPG

David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.

Nützliche Links