Cloud-Projekt: Gaia-X

Das von der Bundesregierung initiierte Projekt mit dem Namen „Gaia X“ wurde Anfang November im Rahmen des Digital-Gipfels in Dortmund der Öffentlichkeit präsentiert. „Gaia X“ soll die Antwort Europas auf Amazons AWS oder Microsofts Azure sein. Was dahinter steckt und welche Vorteile hierdurch entstehen könnten erfahren Sie in diesem Beitrag. 

Was ist eine Cloud und wozu dient sie? 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Cloud Computing wie folgt: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst somit das komplette Spektrum der Informationstechnik und beinhaltet u. a. Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“ Es handelt sich also um eine Verlagerung von IT-Services ins Web, wobei gleichzeitig eine blitzschnelle Speicherung und Verarbeitung großer Datenmengen ermöglicht wird. Innerhalb der diversen Cloud-Angebote wird insbesondere zwischen Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) unterschieden. Und die verschiedenen cloudbasierten Geschäftsmodelle gewinnen immer mehr an Bedeutung: In Deutschland arbeiten laut einer Studie von KPMG 73 Prozent aller Unternehmen mit der besagten Technologie, während es in den USA mittlerweile um die 90 Prozent sind.  

Wie unterscheidet sich „Gaia X“ von anderen Cloud-Anbietern? 

Zurzeit gibt es zahlreiche Cloud–Anbieter weltweit. Dominiert wird der Markt jedoch von sog. „Hyperscaler“, also Cloud-Anbieter, die mehrere Tausend oder Millionen Server miteinander verbinden. Zu den Marktführern, die zusammen mehr als 63 Prozent des weltweiten Marktes bilden, gehören aus dem amerikanischen Sektor die Anbieter Amazon Cloud Services (AWS), Microsoft Azure und Google Cloud Plattform sowie aus dem asiatischen Raum die Dienstleister Alibaba, Bidu und Tencent.  

„Gaia X“ unterscheidet sich jedoch von den oben genannten Anbietern insofern, dass nicht eine komplett neue Cloud entstehen soll, sondern eine sog. „HyperCloud“ gebildet wird: Die in Europa bereits bestehenden Cloud–Anbieter, die lokal adaptiert sind („Edge Clouds“), sollen vernetzt und standardisiert werden, sodass eine vernetzte Dateninfrastruktur entsteht, die deshalb besonders ist, weil sie nicht eine weitere zentrale Cloud darstellt, sondern vielmehr bestehende Anbieter vereint und somit stärkt und gemeinsam konkurrenzfähiger macht. Das Projekt ist also eine Kampfansage gegen die „Hyperscaler“– die Macht und somit die Kontrolle über die Daten soll nicht mehr in den Händen einiger weniger Konzerne anderswo liegen, sondern auf Servern auf europäisches Territorium. 

Datenschutzrechtliche Relevanz 

Die weltweiten Datenschutzstandards unterscheiden sich von Land zu Land sehr. Deshalb regelt die DSGVO im Kapitel V die Übermittlungen personenbezogener Daten an Drittländer und knüpft die Datenübermittlung an strenge Voraussetzungen und Bedingungen an. Art. 46 ff. DSGVO verbieten grundsätzlich den Datentransfer in Länder außerhalb Europas ohne angemessenes Schutzniveau. Dies gilt auch für die USA, deren „Privacy“-Konzept nicht dem europäischen Datenschutz gleichgestellt werden kann. 

In diesem Zusammenhang hat der „Clarifying Lawful Overseas Use of Data Act“ (Cloud Act), ein US-amerikanisches Gesetz, das im März 2018 unterzeichnet wurde, nicht nur in Deutschland für Unruhe gesorgt. Denn der „Cloud Act“ verpflichtet amerikanische Internetfirmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. D.h., dass US-Unternehmen den US-Behörden einen direkten Zugriff auf Daten aufgrund eines Rechtsaktes gewähren müssen, unerheblich dessen, ob sich die Server innerhalb oder außerhalb der USA befinden. Und das ohne das Vorliegen eines entsprechenden Rechtshilfeabkommens für die betroffenen Personen. Dieser Umstand hat unter anderem Auswirkungen auf die Vereinbarkeit mit Art. 48 DSGVO. Denn nach dieser Rechtsvorschrift muss dem Betroffenen die Möglichkeit eines Beschwerdeverfahrens eingeräumt werden. Wird letzteres nicht gewährleistet, würde dies ein Verstoß bzw. eine Verletzung der DSGVO bedeuten. Doch die Konzerne, die im Projekt „Gaia x“ involviert sind, wie beispielsweise Bosch, SAP, Telekom, Deutsche Bank und Siemens, haben Sitz in der EU und unterliegen folglich der DSGVO, weshalb die Betroffenenrechte einhalten müssen. 

Schon im Frühjahr 2020 soll das Projekt gegründet werden, um sodann Ende 2020 den Testbetrieb mit ersten Anbietern und Anwendungen zu beginnen.  

Fazit 

Eine europabasierte Cloud-Lösung würde für mehr Transparenz sorgen und Datenverfügbarkeit garantieren, da man nicht von anderen Anbietern in den USA oder in Asien abhängig wäre. Die Wettbewerbsfähigkeit Europas würde gesteigert werden, denn momentan können die einzelnen Unternehmen, die Cloud-Services anbieten, nicht mit den „Hyperscaler“ mithalten. Dies könnte sich mit „Gaia X“ ändern, denn dann wäre eine Infrastruktur gegeben, die den Herausforderungen und Ansprüchen der Digitalisierung 4.0 gerecht werden.  

Außerdem ist Datensouveränität ein wichtiges Argument. Entscheiden zu können wer die Daten verarbeitet, speichert oder löscht, und auch wo Daten gespeichert werden sollen. Dabei soll gleichzeitig nicht nur sichergestellt werden, dass man jederzeit Kontrolle über seine Daten ausüben kann, sondern auch, dass die Nutzer vertrauen können, dass Dritte (z.B. Geheimdienste aus Drittländern) nicht ohne weiteres an die in der in der Cloud gespeicherten Daten gelangen.  

Erwähnenswert ist zudem, dass Cloud Computing ein Auftragsverarbeitung im Sinne des Art. 28 DGSVO darstellt und folglich ein Auftragsverarbeitungsvertrag nach den Voraussetzungen gem. Art. 28 Abs. 3 DGSVO bei der Nutzung eines solchen Dientes erstellt werden muss.