Stärkung der IT-Industrie in der EU: Interview mit Helmut Fallmann, Fabasoft

Chancen einer Cloud für Europa

Helmut Fallmann, Mitglied des Vorstandes der Fabasoft AG, plädiert für eine Stärkung der europäischen IT-Industrie, um den vorherrschenden US-amerikanischen IT-Konzernen endlich ein ausreichend starkes Gegengewicht entgegenzusetzen. Dies gilt auch und besonders für das Cloud-Geschäft.

„Die Sicherheit, bei Vertragsbrüchigkeit sein Recht und allfällige Schadenersatz-ansprüche nicht vor einem US-Court erstreiten zu müssen, sondern an einem Gerichtsstand z.B. im eigenen Land bei Geltung der Landessprache als Amts-sprache, hat bei der oft diffizilen Judikatur des ‚Cyberspace‘ nicht unerhebliche Vorteile“, so Helmut Fallmann, Mitglied des Vorstandes der Fabasoft AG.

ITM: Herr Fallmann, was halten Sie von der Idee einer deutschen bzw. europäischen Cloud? Inwieweit wäre eine solche Cloud technologisch und juristisch umsetzbar?
Helmut Fallmann:
Ein strikter Datenprotektionismus wäre jetzt sowohl politisch als auch ökonomisch die falsche europäische Strategie, um sich besser gegen Übergriffe der transatlantischen Geheimdienste zu schützen. Aber natürlich muss Europa sowohl infrastrukturell als auch juristisch geeignete Maßnahmen treffen, um das Kundenvertrauen in Internetdienste im Allgemeinen und die Datenhaltung in Cloud-Lokationen im Besonderen wiederherzustellen. Gleichzeitig kann die Krise der durch den NSA-Skandal in Mitleidenschaft gezogenen US-IT-Industrie für die Wiedererstarkung der eigenen IT-Branche und für einen wirtschaftlichen Aufschwung insgesamt genützt werden.

Eine europäische Datenlokation im Eigentum europäischer Cloud-Dienstleister ist sicher ein wichtiger Puzzlestein für mehr Sicherheit in der Datenwolke. Europa sollte seinen IT-Markt nicht abschotten, sondern sich seine industriepolitische Offenheit bewahren, um vom Wettbewerb zu profitieren. Dieser muss allerdings klaren Datenschutzregeln unterworfen werden. Technologisch muss die Union versuchen, Abhängigkeiten von der dominanten US-Industrie bei Hard- und Software zu verringern, indem mit Open-Source-Lösungen und eigenem Sicherheits-Know-how die hiesige digitale Wirtschaft auf neue Beine gestellt wird.

ITM: In welchem Rahmen sind und waren US-amerikanische Unternehmen und deren deutschen Töchter im Zuge der vermeintlichen Terrorabwehr verpflichtet, Daten an die US-Geheimdienste weiterzugeben?
Fallmann:
Europa hat im letzten Jahrzehnt auf politscher Ebene des Öfteren moniert, dass die US-IT-Industrie mit dem Nationalen Sicherheitsdienst zusammenarbeitet. Vielfach wurden diese Ängste von nordamerikanischer Seite als neurotische europäische Verschwörungstheorien abgetan. Spätestens seit den Snowden-Enthüllungen weiß die Welt aber, dass es über Jahre unzählige Verstrickungen gegeben hat.

Diese enge Vermischung von Großindustrie, Landesverteidigung, Geheimdiensten und zivilen Think Tanks hat in Amerika unter dem Namen militärisch-industrieller Komplex eine lange Tradition. Wie weit die aus dem Patriot Act und der Gerichtsbarkeit des geheimen FISA Courts US-staatlich legitimierten Datenzugriffe auf industrielle Datensammlung und -speicherung tatsächlich reichen, darüber kann nur spekuliert werden. Und: Bislang geht die US-Administration selbstredend davon aus, dass diese Rechtslage auch für im Ausland operierende Tochtergesellschaften US-amerikanischer Konzerne Gültigkeit besitzt und Anwendung findet.

ITM: Anders gefragt: Inwieweit ist die Gesellschaftsform und der Sitz des Unternehmens heute (!) Garant für die Sicherheit der Daten?
Fallmann:
Die Sondergesetzgebung des US Patriot Act braucht ein europäisches Gegengewicht. Damit kann der ungebremste Zugriff auf Daten, die bei amerikanischen IT- und Cloud-Dienstleistern im europäischen Raum lagern, unter demokratische Kontrolle gestellt werden. Die neue Europäische Datenschutz-Grundverordnung wäre hier bei Ergänzung durch weitere Bestimmungen das richtige abfedernde Rechtsinstrument. Wenn hier ein echter europäischer Durchbruch gelingt, dann ist der Sitz eines Unternehmens oder die Gesellschaftsform nicht mehr der alleinig entscheidende Garant für die Sicherheit von (Kunden-)Daten.

Ich würde außerdem sagen, dass der Umgang mit Kundendaten bei komplexen Unternehmensformen wie Kapitalgesellschaften strengeren Rechtsvorschriften unterworfen ist, woraus sich ein Plus an Sicherheit ableiten lässt. Dort, wo Datensicherheit im eigenen Unternehmen nach umfangreichen Vorgaben gelebt wird und das Handling öffentlicher Ansprüche auf Unternehmensdaten Teil der Unternehmenspolitik und -kommunikation sind, wird dem Geschäft mit Kundendaten der gleiche Aufmerksamkeitsfokus und die gleiche Rechtsverbindlichkeit zuteil, nicht zuletzt weil diese Kundendaten ja die Grundlage des Unternehmenserfolgs sind.

Über die Bedeutung des Unternehmensstandortes lässt sich sagen, dass sich damit vor allem entscheidet, welches nationale Recht in Verträgen mit IT- oder Cloud-Kunden zur Anwendung gelangt. Die Sicherheit, bei Vertragsbrüchigkeit sein Recht und allfällige Schadenersatzansprüche nicht vor einem US-Court erstreiten zu müssen, sondern an einem Gerichtsstand z.B. im eigenen Land bei Geltung der Landessprache als Amtssprache, hat bei der oft diffizilen Judikatur des „Cyberspace“ nicht unerhebliche Vorteile.

ITM: Hilft es, wenn anstelle der US-Anbieter deren hiesige Partner den Cloud-Service betreiben?
Fallmann:
Wenn die drängendsten Herausforderungen an den europäischen Datenschutz bewältigt werden und wenn die Sicherheit von Infrastrukturen und Applikationen durch Einsatz fortschrittlichster Security-Technologien gewährleistet ist, dann muss Europa für den fairen Wettbewerb am IT-Markt offen bleiben. Ich plädiere aber trotzdem für eine „United Cloud of Europe“ mit einheitlichen, technologischen Spezifikationen und Standards für die Datensicherheit und die Serviceperformance, mit der gleichzeitig der interne Wettbewerb angekurbelt und damit die Innovationskraft der europäischen IT-Industrie verbessert werden können.

Aus meiner Sicht gibt es viele Gründe, sein Unternehmens-Gold in die Hände eines europäischen Anbieters zu legen. Wir haben jetzt die einmalige Chance, insbesondere auch am starken IT-Markt Deutschland, den Kontinent in dieser wichtigsten Querschnitts- und General-Purpose-Technologie nachhaltig zu positionieren und damit Impulse und Folgeeffekte für alle technologiegetriebenen Branchen auszulösen. Dies braucht aber die Anstrengung, das mögliche Kundenreservoir für moderne IT-Services in der Cloud mit bestechenden Angeboten für sich zu gewinnen. Ich traue der europäischen Cloud-Anbieterlandschaft dies derzeit wirklich zu.

„Die Sondergesetzgebung des US Patriot Act braucht ein europäisches Gegengewicht. Damit kann der ungebremste Zugriff auf Daten, die bei  merikanischen IT- und Cloud-Dienstleistern im europäischen Raum lagern, unter demokratische Kontrolle gestellt werden.“

ITM: Wie können Mittelständler die Sicherheit ihrer Daten in der Cloud überhaupt kontrollieren? Wie können IT-Chefs Daten und Anwendungen schützen?Fallmann: Hier müssen oft verschiedene Bedenken und Vorurteile schon im Vorfeld einer Geschäftsbeziehung überzeugend ausgeräumt werden. Die Datenkontrolle ist dabei der zentrale Angelpunkt. In der gemeinsamen Vertragsgestaltung müssen sämtliche Eventualitäten berücksichtigt werden, von der letztendlichen Datenhoheit, über die Datenzugriffs- und -verarbeitungsrechte bis hin zu den Ausstiegsbestimmungen, z.B. wegen Anbieterwechsels. Die Kontrolle der Datensicherheit muss sich in Vertrag und Service Level Agreement widerspiegeln.

Auch zyklisch erstellte Security-Reports des Anbieters können Überzeugungsarbeit für IT-Chefs mittlerer Unternehmen leisten. Der Kunde sollte die Möglichkeit haben, die Verfügbarkeit der genutzten Services über eine Webschnittstelle oder ein API zu überwachen. Oft bestehen über direkt beim Cloud-Service-Provider buchbare Tools von Drittanbietern weitere Möglichkeiten, Monitoring-Informationen über die Performance der genutzten Dienste abzufragen.

ITM: Auf welche juristischen und vertraglichen Voraussetzungen muss der Nutzer achten, damit die Cloud einigermaßen sicher wird? Helfen Zertifizierungen?
Fallmann:
In der Regel werden Geschäftsbeziehungen zwischen einem Cloud-Anbieter und einem Cloud-Kunden über einen entsprechenden Vertrag und erforderliche Anhänge (z.B. Service Level Agreement) geregelt. Im Vertrag selbst geht es um die Abgrenzung unterschiedlicher Vertragsbeziehungen und Verantwortlichkeiten, um das anwendbare Recht und den Gerichtsstand und um den Vertragsinhalt. Besonders wichtig für die Gewährleistung von Sicherheit sind Festlegungen zur Geheimhaltung, zur Datensicherheit und zum Datenschutz. Wegen der schwierigen Trennung von personenbezogenen und nichtpersonenbezogenen Daten in Cloud-Umgebungen empfiehlt es sich daher, ein einheitlich hohes Datensicherheitsniveau zu etablieren.

Im Hinblick auf die Leistungserfüllung eines Cloud-Anbieters sind auch die kundenseitig zu erbringenden technischen Vorleistungen und seine Mitwirkungspflichten klar zu definieren. Von großer Bedeutung sind die Gewährleistungs- und Haftungsbestimmungen. Die Einigung auf eine Vertragslaufzeit und die Festlegung von Regeln für die Vertragsbeendigung, Klauseln zu Governance und Eskalationsverfahren sowie zu standardisierten Einzelleistungen und Festlegungen bezüglich Monitoring und Reporting sind ebenfalls Voraussetzungen, auf die ein Kunde achten sollte.

ITM: Welche Schritte muss ein geschädigtes Unternehmen einleiten, wenn sensible Daten entwendet oder publik gemacht wurden?
Fallmann:
Nach deutschem Recht handelt es sich bei Cloud Computing um eine Auftragsdatenverarbeitung, die seit dem Aufkommen von Application Service Providing (ASP) schon seit langem rechtlich geregelt ist. Bei diesem Anwendungsfall verbleibt die datenschutzrechtliche Verantwortung beim Cloud-Nutzer als Auftraggeber. Der Anbieter darf niemals eigenverantwortlich ohne entsprechende Weisungen des Nutzers über die Verarbeitung und Nutzung der überlassenen Daten entscheiden. Im Umkehrschluss hat der Auftraggeber die Pflicht, sich vor Beginn der Datenverarbeitung und dann regelmäßig von der Einhaltung erforderlicher technischer und organisatorischer Maßnahmen auf Auftragnehmerseite zu überzeugen. Hier helfen dem Anbieter Zertifizierungen von unabhängiger Seite.

Für sicheres Cloud Computing müssen Nutzer und Anbieter entlang der Verarbeitungskette und der involvierten Infrastrukturen sowie der handelnden Personen sicherheitstechnisch in die Pflicht genommen werden. Ein Cloud-Anbieter haftet für Datenverluste dann, wenn ihm eine Verletzung der Sorgfaltsanforderungen, also ein Verschulden nachgewiesen werden kann.
In der EU denkt man darüber nach, Datenschutzaudits und verbindliche Haftungsregelungen für den Fall von Datenverlust oder den Ausfall von Cloud-Diensten zu etablieren. Die EU beschäftigt sich ferner mit der Rechtsfrage, was mit ausgelagerten finanziellen Werten in Form von Daten passiert, wenn der Cloud-Anbieter Bankrott geht. Im Bereich der Haftung ist noch vieles an Rechtsmaterie kundenorientierter auszugestalten, um Anwendervertrauen in Cloud Computing zu festigen. Nur durch die Beseitigung von rechtlichen Grauzonen kann die erfolgsversprechende neue IT-Formel ihr ökonomisches Potenzial für die digitale Wirtschaft vollständig entfalten.

ITM: Welche Rahmenbedingungen muss die deutsche und europäische Politik/Rechtsgebung schaffen, damit die Cloud sicherer wird?
Fallmann:
Die Europäische Union, und damit auch Deutschland, braucht jetzt den Mut, die Datenschutzregeln so in Kraft zu setzen, dass der Schutz persönlicher Daten und der Privatsphäre sowie sensibler und geheimer Unternehmensdaten auf der Grundlage verbindlicher europäischer Rechtswerte garantiert sind. Diese weitreichende Rechtsnorm muss auch die oftmals diffusen Begehren staatlicher Ermittlungs- und Sicherheitsbehörden unter demokratische Kontrolle stellen. Dies betrifft nicht nur das Setzen von regulativen Schranken gegenüber Geheimdiensten wie der NSA, die sich oftmals über die global operierende nationale IT-Industrie weltweit Zugang zu Daten verschafft hat, sondern auch gegenüber europäischen Behörden.

Der Europäische Gerichtshof (EuGH) hat im April ein richtiges Signal zum Schutz personenbezogener Daten gesetzt und die Vorratsdatenspeicherung gekippt. Mit der Entflechtung des Dschungels an Cloud-Standards, mit der Gestaltung einheitlicher Vertragsregeln und mit verstärktem Pre-Commercial Procurement von Cloud-Dienstleistungen durch die öffentliche Hand (Stichwort: Early Adopter) wurden auch volkswirtschaftlich die richtigen Schritte gesetzt.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok