Die Datenschutzgrundverordnung (DSGVO) hat die Nervösen noch nervöser gemacht: Ausgerechnet die Europäer, die ohnehin im Vergleich zum Rest der Welt deutlich zurückhaltender in der Cloud-Nutzung sind, erhielten im Mai 2018 mit der DSGVO ordentlich Wasser auf ihre Mühlen. Was auf den ersten Blick wie ein Dämpfer für die Software-Industrie wirkt, birgt in Wahrheit große Chancen für Anbieter – zumindest für solche, die sich durch wasserdichte IT-Security und DSGVO-Konformität hervortun.
Technologische Basis erfolgsentscheidend
Welch hohen Stellenwert die Einhaltung der Datenschutzgrundverordnung für Unternehmen hat, zeigen Umfragen. Laut Bitkom Cloudmonitor 2018 sehen beispielsweise fast alle (97 Prozent) befragten Unternehmen DSGVO-Konformität als „Must-have“ bei der Wahl ihres Cloud-Anbieters an. „Für manche Software-Häuser bietet sich hier eine große Chance“ sagt Veronique Hauser, Leiterin des Commercial Managements für Workplace Applications bei der Telekom. „Denn viele befinden sich ohnehin gerade in einem Umbruch, weil sie ihr Vertriebsmodell vom herkömmlichen Lizenzgeschäft auf cloudbasierte Angebote umstellen, um der wachsenden Nachfrage nach Cloud-Services gerecht zu werden. Wer hier von Beginn an die Weichen richtig stellt, also seine Services auf einer sicheren und verlässlichen technischen Basis aufbaut, profitiert.“
Merkmal für DSGVO-Konformität: Trusted Cloud Datenschutz-Profil (TCDP)
Zu den Merkmalen von Cloud-Services, die eine geeignete Basis für DSGVO-konforme Datenverarbeitung darstellen, gehört unter anderem das Trusted Cloud Datenschutzprofil (TCDP) in der Version 1.0 – das jedoch bei weitem nicht jedes Cloud-Angebot vorweisen kann. Das Zertifikat BSI C5 vom Bundesamt für Sicherheit in der Informationstechnik kennzeichnet darüber hinaus Anbieter, die in der Lage sind, Auftragsdatenverarbeitung mit Cloud-Services rechtskonform abzubilden.
Stolperfalle: Herkunft des Cloud-Providers
Weiterhin spielt auch die Herkunft des Cloud-Anbieters eine signifikante Rolle. Grund hierfür sind gesetzliche Regelungen der USA, die in Widerspruch zu europäischen Vorschriften stehen. Gemeint ist der Clarifying Lawful Overseas Use of Data Act (kurz: CLOUD Act), der US-Anbieter dazu verpflichtet, im Zuge von Ermittlungen auf Anfrage Daten von Verdächtigen herauszugeben. Und zwar selbst dann, wenn das Rechenzentrum, in dem diese Daten gespeichert sind, in Europa steht. Das verstößt jedoch wiederum gegen die DSGVO: Die Herausgabe von Daten zu Ermittlungszwecken ist in Europa gemäß Artikel 48 der DSGVO nur dann zulässig, wenn ein gesondertes Rechtshilfeabkommen zwischen den USA und dem jeweiligen Land besteht. Zwischen Deutschland und den USA gibt es ein derartiges Rechtshilfeabkommen derzeit nicht.
Geeigneten Cloud-Partner suchen
Softwareanbieter, die sicher gehen wollen, setzen deshalb auf einen europäischen Cloud-Provider – beispielsweise auf die Telekom. Mit SoftwareBoost hat der Bonner Provider kürzlich ein Partnerprogramm für Softwarehäuser aufgelegt, die ihren Kunden SaaS-Produkte aus der Public Cloud bieten wollen. Teilnehmer erhalten unter anderem bis zu 250.000 Euro Startguthaben für IaaS- und PaaS-Ressourcen aus der Open Telekom Cloud, der Public Cloud der Telekom. Cloud-Experten des Bonner Konzerns begleiten die Transformation bis zum Start des SaaS-Betriebs und stehen bei Fragen oder Beratungsbedarf auch für Webex-Konferenzen und Vor-Ort-Termine zur Verfügung. Hilfestellungen bei der Vermarktung, beispielsweise durch digitales Marketing sowie gemeinsame Auftritte auf Messen, gehören ebenfalls zum Programm.
