Die Hyperscaler im Einsatz des deutschen Staates und deutscher Behörden? Hat sich diese Überlegung mit den Schrems-Urteilen nicht ohnehin erledigt? Glücklicherweise ist das nicht der Fall. Denn der Public-Bereich brächte sich um viele Chancen. Schließlich stehen Hyperscaler wie Amazon, Google oder Microsoft längst nicht mehr allein für massiv skalierbare Serverarchitekturen. Viel entscheidender ist die Vielzahl hochkomplexer Services, die sie mit der Cloud zusätzlich anbieten. Etwa IoT-Dienste, Datenanalysen oder Künstliche Intelligenz. Zweifellos sind solche Services auch für den öffentlichen Bereich interessant – zum Beispiel, wenn Kommunen neue Stadtteile oder Parks konzipieren, wenn Jobcenter ihre Ausstattung planen oder im Gesundheitsbereich die Pandemie modelliert wird.
Mitspielen darf, wer sich an unsere Regeln hält
Bei Gaia-X haben wir klargemacht, dass auf unserer Initiative kein „Wir müssen leider draußen bleiben“-Schild klebt. Wir wollten nie eine rein europäische Zone schaffen, in der sonst niemand mitspielen darf. Andernfalls würden wir ausgerechnet die besten Player aussperren. Es ist unbestritten, dass mit den Hyperscalern in Sachen Innovationskraft, Flexibilität und Tempo niemand sonst Schritt halten kann. Weshalb sollten sie, wenn sie sich an unsere Spielregeln halten, nicht mitmischen dürfen? Unsere Prinzipien sind nicht verhandelbar. So stellen wir sicher, dass europäische Werte gewahrt bleiben. Das heißt: Wer sich Gaia-X anschließt, muss in Sachen Datenschutz und Datensicherheit bestimmte verifizierbare Standards erfüllen und den Kunden technologische Souveränität gewähren. Sind die Hyperscaler dazu bereit, spricht auch nichts dagegen, dass der Staat und die öffentliche Verwaltung von den Vorteilen ihrer Cloudangebote profitieren. Auf diese Art und Weise entsteht auch im Bereich der souveränen Lösungen eine Multicloud-Welt und die Kunden profitieren von dem Wettbewerb und der Vielfältigkeit.
Was Hyperscaler uns bieten müssen
Unsere Forderungen sind nicht trivial: Wollen die Hyperscaler der Datensouveränität gerecht werden, müssen sie – neben generellen Anforderungen zu Sicherheit, Datenschutz und Portabilität – vier weitere Bedingungen erfüllen. Erstens: der Kunde muss stets wählen können, dass Cloud-Dienste ausschließlich von in Europa stehenden Rechenzentren angeboten werden. Zweitens: Nur europäisches Personal darf in diesem Fall auf die Services zugreifen, ein „third-level-support“ von außerhalb EU würde mit Blick auf den europäischen Datenschutz und die Schrems-II-Nachwirkungen zu großen Rechtsunsicherheiten führen. Drittens: Für eine souveräne Lösung brauchen staatliche Stellen letztlich einen lokalen Vertragspartner. Heißt: Google, Amazon oder Microsoft und ihre deutschen Töchter scheiden als direkte Vertragspartner aus. Schließlich unterstehen diese Unternehmen dem amerikanischen Cloud Act und sind so grundsätzlich zur Herausgabe der Daten ihrer Kunden verpflichtet, sofern sich diese in ihrer alleinigen Kontrolle und Obhut befinden – selbst dann, wenn die Daten in europäischen Rechenzentren liegen. Viertens müssen alle Daten so verschlüsselt sein, dass die Hyperscaler nicht darauf zugreifen können. Nur so kann wirklich gewährleistet werden, dass Datenzugriffe von außerhalb Europas unterbunden werden – und dass sich die Hyperscaler damit an bestehendes Recht (Datenschutzgrundverordnung) halten.
In der gesellschaftlichen Debatte mag die Datensouveränität im Vordergrund stehen, tatsächlich spielt die technologische Souveränität jedoch eine ebenso große Rolle. Unternehmen wie Behörden agieren nur dann souverän, wenn sie sich vor einem Vendor-Lock-in und damit vor der Abhängigkeit vom Anbieter schützen. Eine freie Wahl der Technik und ein Wechsel müssen jederzeit möglich sein, ohne dass dies zu einem unverhältnismäßig großen Aufwand oder gar Informationsverlusten führen darf. Hier empfehlen sich Open-Source-Angebote, weil sie Kunden die Freiheit verschaffen, Infrastruktur und Daten auf Wunsch zu transferieren.
Diese Komplexität zeigt schon: Souveränität ist kein An/Aus Schalter. Es wird über die Zeit unterschiedliche Level an Souveräntät geben, die durch unterschiedliche Lösungen erfüllt werden. Genau das wird in dem mehrstufigen Labeling-Konzept von Gaia-X reflektiert.
Erste souveräne Clouds gibt es schon
Lassen sich die Cloud-Giganten unsere Bedingungen diktieren? Natürlich. Schon aus Geschäftsinteresse. Schließlich haben der öffentliche Sektor und das Gesundheitswesen einen großen Nachholbedarf in Sachen Digitalisierung. Die jüngste Partnerschaft von Google mit T-Systems beweist die Kooperationsbereitschaft der Tech-Riesen aus dem Silicon Valley. Die beiden Unternehmen haben die erste souveräne Cloud entwickelt und sich dabei strikt an den Anforderungen von Gaia-X orientiert. Bedeutet: Google stellt die Technologie zur Verfügung, T-Systems übernimmt als Vertragspartner der Kunden Betrieb und Kontrolle des neuen Cloudangebots. Die Telekom-Tochter darf sogar den Quellcode einsehen. Damit verbieten sich für Google Hintertüren in der Software, durch die Informationen abfließen könnten. Denn T-Systems könnte dies jederzeit verhindern.
Übrigens hat Google inzwischen auch mit dem französischen Rüstungskonzern Thales ein Cloud-Pendant für Frankreich lanciert. Diese beiden souveränen Clouds, aber auch das Sovereign-Cloud-Stack-Projekt der Open Source Business Alliance, das einen technischen Unterbau für Gaia-X-Projekte liefern und Kooperationen erleichtern soll, zeigen, dass sich unsere Gaia-X-Prinzipien umsetzen lassen. Diese Best Practices stehen für Transparenz und Souveränität. Und eröffnen staatlichen Stellen die Chance, die Vorteile der Hyperscaler zu nutzen.
Frank Strecker ist als Senior Vice President Global Cloud Computing & Big Data und Edge verantwortlich für das weltweite Cloud Geschäft der T-Systems International GmbH.
Der Contra-Standpunkt zur staatlichen Nutzung der Cloudangebote von Hyperscalern von Marc Korthaus findet sich hier.
