„Made in Germany“ war gestern. Mit der sich weiter beschleunigenden Verlagerung der Wertschöpfung von der Produktion zur Dienstleistung kommt auch hierzulande ein „Done in Germany“ der Realität schon näher. Für die Zukunft aber wird der Wahrspruch aus deutschen Landen heißen können: „Stored in Germany“.
Es klingt fast paradox: Während lange Zeit wegen der deutschen Sicherheitsbestimmungen rund ums Daten Speichern eher Gewitterwolken über hiesigen Rechenzentren hingen, zeigt sich jetzt, dass die mit harschen Auflagen beschwerte Datenwolke erhebliche Auftriebskräfte entwickelt. Nicht ohne einen Unterton der Genugtuung betont beispielsweise SAP, dass die hiesigen Datenschutzkonzepte zu einem der größten Deals für Business by Design (ByD) geführt haben.
In der Tat: die Regierung der australischen Provinz New South Wales will jetzt 7500 Anwender auf die Financials-Komponenten von ByD heben. Der 14,5 Millionen Dollar schwere Deal kam unter anderem auch zustande, weil SAP Australia sicherstellen konnte, dass personenbezogene Daten nicht außer Landes geraten, während die klassischen und unkritischen ERP-Informationen im zentralen Rechenzentrum für ByD abgelegt wurden.
Diese Flexibilität verlangen europäische Anwender von ihren OnDemand-Partnern. Allerdings tun sich die US-amerikanischen Anbieter immer noch schwer damit, dieses Ansinnen ernst zu nehmen und umzusetzen. Microsoft etwa arbeitet weiter an der Europäisierung oder gar Germanisierung seines Azure-Angebots. Für Microsoft und andere US-Provider gilt vorerst noch: Nur im Lande der Unbegrenzten Möglichkeiten sind die Daten wirklich sicher. Die Frage ist nur, vor wem und für wen?
Längst haben sich in Deutschland Initiativen gebildet (Cloud Germany, Deutsche Wolke), die mit Sicherheitsaspekten rund um das deutsche Datenschutzrecht werben. Die Warnung lautet schlicht: Die Möglichkeit einer Ordnungswidrigkeit oder Straftat (Paragrafen 43 und 44) ist gegeben, wenn personenbezogene oder sensible Daten im Ausland gespeichert werden. Die meisten global führenden Cloud-Anbieter aber speichern außerhalb des Europäischen Wirtschaftsraums. Ansonsten bedarf es laut Datenschutzrichtlinie 2002/56/EG eines „angemessenen Schutzniveaus“. Das aber ist nach Ansicht der EU-Kommission bislang nur in Argentinien, in Teilen von Kanada und auf den Inseln Gurnsey und Man gegeben. In den USA, so die Kommission, bestehe praktisch keine Kontrolle über die Safe-Harbour-Bestimmungen.
Das freilich will US-Präsident Barack Obama ändern: Für Regierungsaufträge soll künftig der Nachweis der kontrollierten Datenhaltung innerhalb der eigenen Landesgrenzen Voraussetzung sein. Schwer nachzuvollziehen, warum diese Logik (personenbezogene Daten bleiben im eigenen Land) aus US-Sicht nicht auch anderen Nationen zugestanden wird…