Um unabhängig von den führenden amerikanischen und chinesischen Cloud-Anbietern zu sein, wird seit 2019 an einer europäischen Cloud gearbeitet. Ziel ist es, eine sichere Dateninfrastruktur nach europäischen Datenschutz-Standards zur Verfügung zu stellen. Wie wichtig ein solches Projekt ist, hat zuletzt die EuGH-Entscheidung zum Datentransfer in die USA deutlich gemacht.
Was steckt hinter GAIA-X?
Die Initiative GAIA-X (benannt nach der griechischen Gottheit Gaia) wurde im Herbst 2019 von deutschen und französischen Partnern gestartet. Europäische Vertreter aus Politik, Wirtschaft und Wissenschaft in Zusammenarbeit mit der EU-Kommission schlossen sich daraufhin für das Projekt zusammen. Mittlerweile sind mehr als 300 Organisationen beteiligt, darunter u.a. Siemens, Bosch, SAP und die Telekom sowie der Digitalverband Bitkom, der Bundesverband der Deutschen Industrie oder die IG Metall, um nur einige zu nennen. Eine Beteiligung steht allen Interessenten offen, die das Ziel der Europäischen Union von Datensouveränität und Datenverfügbarkeit unterstützen wollen.
Im September 2020 gründeten 22 Unternehmen und Organisationen aus Deutschland und Frankreich die internationale gemeinnützige Gesellschaft GAIA-X AISBL mit Sitz in Brüssel. Sie koordiniert die Zusammenarbeit aller Beteiligten.
Ziel des Projekts GAIA-X
GAIA-X soll eine sichere Dateninfrastruktur, ein sog. digitales Ökosystem werden. Sie stellt eine europäische Cloud-Lösung dar, die wettbewerbsfähig gegenüber internationalen Cloud-Angeboten sein soll.
Wohl bekanntestes Beispiel für ein internationales Cloud-Angebot ist AWS (Amazon Web Services) aus den USA. AWS wird z.B. von Dropbox, Netflix oder Reddit genutzt. Microsoft und Google gehören ebenfalls zu den größten Cloud-Anbietern. Alibaba Cloud ist der größte Cloud-Anbieter Chinas.
Die Vision der am Projekt GAIA-X Beteiligten ist es, ein europäisches Äquivalent dazu zu schaffen. Daten und Dienste sollen verfügbar gemacht werden, indem sie zusammengeführt und geteilt werden.
Die Besonderheit gegenüber den nicht-europäischen Cloud-Anbietern ist die Sicherstellung europäischer Werte. Die Grundprinzipien des Projekts sind:
- Europäischer Datenschutz
- Offenheit und Transparenz
- Freier Marktzugang und europäische Wertschöpfung
- Souveränität und Selbstbestimmtheit
- Authentizität und Vertrauen
- Modularität und Interoperabilität
- Nutzerfreundlichkeit
Datenschutzrechtliche Notwendigkeit
Dass eine solche Alternative zu den etablierten Cloudanbietern dringend notwendig ist, zeigt sich immer wieder. Zuletzt durch das „Schrems II“-Urteil des europäischen Gerichtshofs (EuGH). Nachdem das im Grunde von Anfang an zum Scheitern verurteilte EU-U.S. Privacy Shield, welches den Datentransfer in die USA in vielen Fällen ermöglichte, durch das Urteil gekippt wurde, steht der internationale Datentransfer oftmals auf wackeligen Beinen.
Ein Transfer von personenbezogenen Daten in Drittländer darf nur stattfinden, wenn das grundrechtlich garantierte Schutzniveau eingehalten werden kann. Das ist aber häufig mit den zur Verfügung stehenden rechtlichen und technischen Mitteln nicht möglich. Die Folge davon ist zum Beispiel, dass ein Großteil des Datentransfers an und mit US-Clouddienstleistern nicht rechtmäßig ist. Der Transfer findet mangels echter Alternativen dennoch statt.
Aus der bisherigen Zurückhaltung der Aufsichtsbehörden, solche Verstöße zu ahnden, sollte jedoch nicht auf eine Legitimierung des Vorgehens geschlossen werden. Diese Zurückhaltung kann jederzeit enden. Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat erst kürzlich in einem Interview mit dem Handelsblatt verlauten lassen, dass Unternehmen mit einer massiven Bußgeldgefahr konfrontiert sind. Früher oder später werden die Behörden handeln müssen. Das Urteil des EuGHs hat diesbezüglich keinen Interpretationsspielraum gelassen. Im Zusammenhang mit der Aussage verwies der Landesbeauftragte auch auf GAIA-X als hoffnungsvolles Projekt, welches langfristig eine Lösung sein könne.
Die Umsetzung von GAIA-X
Die Idee von GAIA-X ist, dass existierende Systeme weiterentwickelt, verbessert und vernetzt werden. Dies geschieht durch Einbeziehung zur Verfügung gestellter Bedarfsbeispiele (Use Cases) und Informationen beteiligter Domänen für ein Basis-Framework. Ganz vereinfacht ist ein Basis-Framework ein Programmiergerüst, das nach unterschiedlichen Bedürfnissen angepasst werden kann. Dieser Standard mit Anpassungsmöglichkeiten wird als digitales Ökosystem bezeichnet. Es wird durch die Beteiligten jeweils bedarfsgemäß weiterentwickelt. Besondere Bedeutung kommt dabei der Einsatz von Open-Source-Technologien zu. Außerdem erreicht ein Basis-Framework, dass zunächst nicht kompatible Schnittstellen nun doch einen Datentransfer ermöglichen.
Für Unternehmen bietet GAIA-X Vorteile hinsichtlich der Skalierung von Daten. Durch einen Austausch über GAIA-X sollen sie weltweit konkurrenzfähig bleiben. Kleinere und mittelgroße Unternehmen sollen durch den eingeführten Standard vom intradomän- und interdomänspezifischen Austausch profitieren.
Aber auch für einzelne Nutzer dürfte die europäische Cloud vorteilhaft sein: So soll die Souveränität der Nutzer der Cloud-Dienstleistungen sichergestellt werden. Außerdem können die Nutzer ihre Daten kategorisieren, so dass sie selbst entscheiden können, wie ihre Daten verarbeitet und wo sie gespeichert werden.
Positiver Nebeneffekt des gesamten Projekts ist, dass digitale Technologien in der Europäischen Union gestärkt und in die Weiterentwickelung investiert wird.
Datenschutz und Informationssicherheit bei GAIA-X
Der Datenschutz ist einer der Grundpfeiler des Projekts GAIA-X. Um ihn sicherzustellen, bestehen bereits einige Regelungswerke.
- Es gibt beispielsweise einen EU Cloud CoC (Code of conduct), der Cloud-Anbietern Verhaltensweisen zum Datenschutz vorgibt. Dieser basiert auf der DSGVO.
- Die CISPE (Cloud Infrastructure Services Providers in Europe) arbeitet an einem CISPE-Verhaltenskodex für Datenschutz im Bereich „Infrastructure as a Service (IaaS)“.
- Bezüglich einer europäischen Zertifizierung nach Art. 42 DSGVO, veröffentlichte AUDITOR (European Cloud Service Data Protection Certification) ein Konzept. Dabei werden Verpflichtungen der Cloud-Anbieter festgelegt. Grundlage ist ein Stufenmodell, das nach den jeweiligen Cloud-Services unterscheidet und deren Verpflichtungen dementsprechend festlegt.
- Auch die CSPCERT (European Cloud Service Provider Certification) gibt Empfehlungen im Bereich Sicherheitszertifizierung von Cloud-Diensten. Sie ist eine Interessengruppe von privaten und öffentlich-rechtlichen Akteuren.
- Zum gleichen Thema passte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in 2020 ihren C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) an. Es wurden Erfahrungen von Nutzern und Betreibern erfasst und in die Neufassung eingearbeitet. Der aktuelle Stand der Technik wurde berücksichtigt. Der Katalog bietet Kriterien für interne Kontrollen, damit Anbieter ihre Verpflichtungen erfüllen.
Kritik an GAIA-X
Mit GAIA-X gibt es endlich ein vielversprechendes Projekt, welches europäische Datensouveränität ermöglichen könnte. Einige kritische Stimmen sind aber auch zu hören:
Mittlerweile sind auch Microsoft, Google und Amazon an dem Projekt beteiligt. Es gibt Befürchtungen, dass durch deren Mitwirkung kein europäischer Standard geschaffen werden kann. Schließlich verpflichten Gesetze wie Cloud Act oder Patriot Act US-amerikanische Unternehmen dazu, auf Anfrage Daten ihrer Nutzer an amerikanische Behörden herauszugeben. Diese Pflicht besteht auch, wenn die Daten in Europa gespeichert werden. Fraglich ist dann jedoch, ob GAIA-X ein Dienst dieser Unternehmen ist. Denn wäre das der Fall, wäre das gesamte Projekt seit Beitritt von Microsoft, Google und Amazon zum Scheitern verurteilt. Da sich die europäischen Beteiligten aber nicht ins eigene Knie schießen wollen, indem sie diese Unternehmen an der Konzeption und Durchführung teilhaben lassen, wird man davon ausgehen müssen, dass zwar Microsoft und Co. mitwirken, sie aber keine Dienste anbieten werden, die sie zur Datenübermittlung an Behörden zwingt. Vielmehr verspricht man sich vermutlich von deren Knowhow zu profitieren.
Andererseits fragt man sich natürlich, was sich die marktführenden Unternehmen davon versprechen, bei der Entwicklung einer europäischen Cloud mitzuarbeiten. Gerade Wissen ist ein Wertfaktor eines Unternehmens, das nicht umsonst und schon gar nicht an einen potenziellen, zukünftigen Konkurrenten herausgegeben oder geteilt wird. Letztendlich sollte GAIA-X gerade für diese Unternehmen nach dessen Einführung eine Konkurrenz darstellen. Es bleibt abzuwarten und kritisch zu beobachten, welchen Einfluss die amerikanischen Unternehmen auf das Projekt haben.
Ein weiterer Aspekt, der sich als Herausforderung in dem Zusammenhang mit GAIA-X und der Beteiligung US-amerikanischer Unternehmen darstellt, sind deren verfügbaren Business-Produkte. Denn als Marktführer erfolgreicher Online-Dienste, die in fast jedem Unternehmen genutzt werden, müsste GAIA-X vergleichbare IT-Lösungen anbieten, damit insgesamt eine Unabhängigkeit von amerikanischen Dienstleistern erreicht wird. Die Entwickler von GAIA-X müssen sich die Frage stellen, wie sie es bewerkstelligen wollen, dass Unternehmen z.B. Microsoft 365 nicht ohne datenschutzkonforme Einstellungen weiterverwenden oder gar auf eine europäische Alternative setzen. Eine solche Alternative muss es dann aber erst einmal geben und das zu einem vergleichbaren Preis, mit vergleichbarer Leistung wie z.B. Microsoft 365.
Ausblick
Noch befindet sich GAIA-X in der Projektphase. Es sind noch keine Dienste für Nutzer verfügbar. Allerdings gibt es bereits Dokumente zur technischen Umsetzung und zum weiteren Projektverlauf, die öffentlich verfügbar sind.
Ab wann die Cloud zu nutzen ist, ist noch nicht bekannt. Solange muss abgewartet, kritisch beobachtet und verfolgt werden, wie sich das Projekt entwickelt. Für Interessenten mit dem nötigen Fachwissen besteht auch weiterhin die Möglichkeit aktiv das Projekt GAIA-X mitzugestalten.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!