Oracle hat mit viel Marketingaufwand eine eigene souveräne Cloud angekündigt. Wir sprechen mit Lutz Keller über eine juristische Bewertung der souveränen Oracle Cloud und klären, welches Problem Data Boundaries lösen sollen.
Zur Person
Lutz Keller ist Rechtsanwalt bei Luther und beschäftigt sich dort schwerpunktmäßig mit IT-Recht, insbesondere Cloud-Themen. Zuvor war er Legal Counsel bei einem internationalen IT-Unternehmen und baute dort die deutsche Rechtsabteilung auf.
Gregor: Oracle hat eine eigene souveräne Cloud angekündigt. Wie bewertest Du deren Variante von Souveränität aus juristischer Sicht?
Lutz: Oracle ist nicht der erste Player, der souveräne Cloud-Modelle anbietet, auch Microsoft oder Google bieten vergleichbare Lösungen an. Andere Anbieter versuchen sogar noch "souveräner" zu sein: Beispiele hierfür sind die Delos Cloud oder die Kollaboration von Google mit T-Systems. In der Variante von Oracle geht es hauptsächlich darum, regulatorischen Anforderungen zu genügen und Vertrauen in die Datenverarbeitung zu schaffen.
Die Anforderungen an eine souveräne Cloud lassen sich generell in drei Blöcke clustern:
Datensouveränität | Operative Souveränität | Softwaresouveränität |
Selbstbestimmte Entscheidungen über Erhebung, Speicherung und Nutzung der eigenen Daten sowie Zugriff darauf. | Selbstbestimmte Entscheidungen über Konzept und Details des Cloud-Betriebs. | Selbstbestimmte Entscheidungen über Einführung und Veränderung der verwendeten Technologien sowie Flexibilität eingesetzte Technologie zu ändern. |
Bewertet man die Aussagen Oracles im Vergleich zu dieser Definition, dann ergibt sich folgendes Bild:
- Die Daten werden in Europa gespeichert im europäischen Rechtsrahmen.
- Im Betrieb setzt Oracle, nach eigener Aussage, ausschließlich auf Personen mit EU-Bürgerschaft. Bei Partnern setzt es aber interessanterweise auf US-Unternehmen wie Equinix.
- Bezogen auf die verwendeten Technologien verweist Oracle darauf, dass ihre Cloud frei von Lock-In-Effekten sei und alle Daten portabel seien.
In Summe würde ich sagen, dass sich das Cloud Modell nicht wesentlich von der Microsoft Data Boundary unterscheidet und die üblichen Cloud-Risiken, insbesondere in Bezug auf Zugriffe durch Dritte, auch hier nicht gänzlich ausgeschlossen sind.
„Data Boundaries lösen im Wesentlichen ein juristisches Problem.“
Gregor: Welches Problem lösen Data Boundaries denn?
Lutz: Im Wesentlichen geht es um zwei Themen. Einerseits lösen sie Compliance-Anforderungen und andererseits wird Vertrauen geschaffen, dass alle Daten, welche bei der Cloud-Nutzung anfallen, in Europa gehalten werden (siehe Kasten). Bislang wurden häufig nur die Inhaltsdaten in dem vom Kunden ausgewählten Rechenzentrum in Europa gespeichert.
Kunden-, bzw. Inhaltsdaten | Telemetrie- und Protokolldaten | Supportdaten |
Die eigentlichen Nutzdaten der Kunden z.B. abgelegte Dateien oder Daten in deren Anwendungen und in deren Datenbanken. | Daten, die im Zusammenhang mit der Nutzung gesammelt werden, z.B. für Produkt-verbesserungen oder zum Zwecke der technischen Bereitstellung und Logfiles. | Daten die beim Cloud-Provider im Rahmen des Kunden-Supports anfallen. |
Gregor: Der Nutzen der Data Boundaries ist also, dass nicht nur die Inhaltsdaten in Europa gespeichert werden, sondern auch Support-, Telemetrie- und Protokolldaten?
Lutz: Genau und das ist wichtig. Zum Beispiel gibt es bei Microsoft-Produkten ein Identifikationsmerkmal, mit dem ein Gerät eindeutig identifiziert werden kann. Dieses ist notwendig, um zu wissen, welche Softwareversionen auf diesem Gerät laufen und Fehler zu analysieren. Durch den Identifier handelt es sich um personenbezogene Daten. Möchte ich die Anforderungen der DSGVO einhalten, dann kann ich diese nicht ohne Weiteres in die USA senden. Mit der Einführung der Data Boundary wird Microsoft zukünftig alle drei Datenkategorien komplett in Europa halten.
„Data Boundaries unterstützen sehr bei der DSGVO-Compliance. Auf einen möglichen Datenabfluss aufgrund von CLOUD Act oder FISA haben sie keinen Einfluss.“
Gregor: Warum betreiben dann Microsoft und Google mit ihren europäischen Partnern Delos und T-Systems so einen erheblichen Zusatzaufwand?
Lutz: Data Boundaries bringen Public Clouds unkompliziert in Einklang mit europäischem Recht.
Es gibt aber auch Kunden, die sagen: Mir reichen die juristischen Zusicherungen nicht. Die wollen eine faktische Sicherheit haben, dass die Daten, die sie in eine Cloud legen, wirklich in Europa bleiben und Zugriffe durch den Cloud-Anbieter oder sonstige Dritte ausgeschlossen sind. Nun bieten aber Microsoft und weitere Cloud-Anbieter die meisten Dienste nur in der Cloud an, die jedoch nicht genutzt werden können, wenn man diese Anforderungen an Souveränität hat. Damit auch diese Kunden die Cloud-Dienste nutzen können, werden europäische Unternehmen Betreiber der Cloud-Dienste, sozusagen als „Treuhänder". Bei der geplanten Delos-Cloud für Microsoft-Dienste sind dies beispielsweise SAP und arvato und bei Google-Diensten übernimmt T-Systems diese Rolle. Oracle verfolgt hier ein anderes Konzept.
In Bezug auf Datenhoheit sind die souveränen Clouds, betrieben von europäischen Betreibern, schon eher vergleichbar mit dem eigenen Rechenzentrum. Eine Private Cloud also, nur mit mehr Features. Ich sehe darin vor allem eine Chance für stark regulierte Sektoren wie Staat, Gesundheitswesen oder Banken, ebenfalls die Vorteile der Cloud zu nutzen.
Gregor: Data Boundaries lösen also ein juristisches Problem. Dann hast du aber noch von einer faktischen Ebene gesprochen. Kannst du das noch mal erklären?
Lutz: Es gab letztes Jahr einen Fall mit einer Entscheidung der Vergabekammer Baden-Württemberg. Dort wurde befürchtet, dass, wenn ich Daten auf die Server eines europäischen Unternehmens lege, welches mit einem US-Unternehmen verbunden ist, eine theoretische Möglichkeit besteht, dass dieses US-Unternehmen ihre europäische Tochter anweist, diese Daten herauszugeben.
Gregor: Warum würden US-Unternehmen so eine Anweisung geben?
Lutz: Weil US-Gesetzgebung es entsprechend verlangt. Allerdings würde das US-Unternehmen mit der Herausgabe der Daten dann gegen europäisches Recht verstoßen und die Rechtssysteme der Kontinente treten in Konkurrenz.
„CLOUD Act und FISA auf der einen Seite und DSGVO auf der anderen bringt globale Unternehmen in ein rechtliches Dilemma.“
Gregor: Welche Rolle spielen denn CLOUD Act und FISA beim Thema Rechtskonkurrenz und wie unterscheiden sich hier die Public Clouds mit Data Boundaries von den Modellen mit rein europäischen Betreibern?
Lutz: CLOUD Act und FISA sind Gesetzesgrundlagen in den USA, die genau jene Datenherausgabe ermöglichen. Der CLOUD Act ist das Gesetz, auf das sich Strafverfolgungsbehörden beziehen und FISA ist die Grundlage für nachrichtendienstliche Anfragen. Bei Data Boundaries können US-Behörden theoretisch weiterhin an die US-Unternehmen herantreten und Daten-Herausgabe verlangen. Laut den Selbstauskünften der US-Hyperscaler gibt es allerdings insgesamt sehr wenige Fälle. In diesem Zusammenhang versprechen die Hyperscaler aber sich gegen entsprechende Anfragen juristisch zu wehren.
Gregor: Das heißt bei den Treuhandmodellen gibt es überhaupt keine Datenherausgabe?
Lutz: Ja, zumindest was US-Behörden angeht. Weiterhin denkbar ist natürlich, dass eine europäische Strafverfolgungsbehörde die Herausgabe von Daten von europäischen Unternehmen verlangt. Dieser Aspekt geht in der Diskussion um Zugriffe durch US-Behörden häufig verloren.
Gregor: Aus juristischer Sicht scheint es also drei Stufen der Cloud zu geben.
Public Cloud mit europäischem Serverstandort | Public Cloud mit Data Boundary | Public Cloud mit EU-Betrieb- und/oder Datentreuhänder |
Inhaltsdaten liegen in der EU, Support- und Telemetriedaten können global verarbeitet werden. | Alle Daten liegen in der EU, es gibt aber weiterhin theoretisch Zugriff von US-Behörden via CLOUD Act und FISA. | Alle Daten liegen in der EU. Es gibt theoretisch nur Zugriff durch EU-Behörden. |
Lutz: Genau. Aus datenschutzrechtlicher Sicht hat eine Evolution der Clouds stattgefunden. Das Datenschutz-Niveau wurde immer besser, der potenzielle Zugriff durch Dritte immer geringer.
„Die Oracle Sovereign Cloud unterscheidet sich nicht wesentlich von der Microsoft Data Boundary.“
Gregor: Zurück zum Anfang des Interviews: Wie souverän ist die Oracle Cloud Deiner Meinung nach und was hältst du von den Data Boundaries?
Lutz: Hier sind wir wieder bei Frage vom Anfang: Wo fängt Souveränität an? Es handelt sich weiterhin um eine Public Cloud, die in Europa betrieben wird. Für kritische staatliche Daten würde ich sie nicht verwenden.
Data Boundaries halte ich für einen guten Weg, europäische Unternehmen die Nutzung von Cloud-Diensten rechtskonform zu ermöglichen. Als Wermutstropfen bleibt: Mit den zunehmenden Möglichkeiten der US-Cloudanbieter, Compliance-Anforderungen zu erfüllen, werden die ohnehin wenigen europäischen Cloud-Anbieter nicht unbedingt attraktiver.
Gregor: Lutz, vielen Dank für das Interview.