Datensouveränität in der Cloud: entscheidend für alle in Europa
Die digitale Souveränität kann als die Fähigkeit eines Staates definiert werden, alle digitalen Ressourcen zu kontrollieren – in wirtschaftlicher, sozialer und politischer Hinsicht und unabhängig von Dritten oder äußeren Einflüssen. Kurz gesagt geht es darum, frei wählen zu können und weniger von nicht europäischen Infrastrukturen, Plattformen oder Internetzugängen abhängig zu sein.
Die Datensouveränität weitet diesen Begriff auf Unternehmen aus. Sie steht für deren Fähigkeit, ihre Daten vor potenzieller Einflussnahme – insbesondere aus dem Ausland – zu schützen und somit auch unabhängig zu handeln, vor allem in strategisch wichtigen Bereichen für ihre Entwicklung. Die Basis für Datensouveränität wird insbesondere durch Compliance mit den Regelungen der EU erreicht, die die Übertragung personenbezogener Daten außerhalb der Europäischen Union einschränken.
Neben dem globalen Wettbewerb von heute erleben wir auch ein exponentielles Wachstum der Menge an sensiblen und strategischen Daten, die in der Cloud verwendet werden. Immer mehr europäische Unternehmen erkennen, wie wichtig Governance rund um ihre IT-Systeme und Daten ist. Sie erkennen mittlerweile an, dass Risiken von Competitive-Intelligence-Aktionen und außereuropäischer Einflussnahme aufgrund unkontrollierter Abhängigkeiten mit einigen ihrer Cloud-Anbieter bestehen. Das gefährdet nicht nur den Datenschutz, sondern erschwert auch die Entwicklung bedeutender europäischer Akteure. Somit wird es schwieriger, sich im digitalen Wettbewerb gegenüber der internationalen Konkurrenz zu positionieren. Die Wahrung der Datensouveränität kommt dem Schutz und der Wahlfreiheit von Behörden, Unternehmen und Bürger:innen zugute.
Die europäische Cloud: große Herausforderungen für Europa und fünf Szenarien mit bedeutenden Auswirkungen bis 2027–2030
KPMG hat im Mai 2021 ein White Paper veröffentlicht, das auf Daten und Informationen aus einer Vielzahl von Quellen basiert – unter anderem aus mehr als 250 Interaktionen mit öffentlichen und privaten europäischen Entscheidungsträger:innen. Die Quintessenz ist, dass die Migration zur Cloud sich mittlerweile nicht mehr vermeiden lässt und dass die Sicherheit und Souveränität der Daten eines der Hauptanliegen der Entscheidungsträger:innen sind. Außerdem scheint der derzeitige Ansatz des europäischen Cloud-Marktes nicht zukunftsfähig zu sein. Es wurden fünf Szenarien mit absehbaren positiven Aspekten identifiziert.
Wie gewährleistet OVHcloud die Souveränität der Daten seiner Kund:innen?
„Bei OVHcloud sind wir der Ansicht, dass die digitale Souveränität der Schlüssel zur Gewährleistung der Freiheit der User unserer Dienste ist. Es geht darum, die Kontrolle über unsere Zukunft zu behalten, Arbeitsplätze zu sichern und unsere europäischen Werte zu schützen. Das sind die Herausforderungen einer verlässlichen Cloud, die die Souveränität strategischer Daten von Staaten, Unternehmen und Bürger:innen gewährleistet. Wir wollen das Versprechen einlösen, das dem Internet zugrunde liegt: Das Digitale zu einem Raum der Freiheit, der Autonomie und der gemeinsamen Innovation machen.“
Ein europäischer Pure Player der Cloud mit großem Engagement im digitalen Ökosystem Europas
Eine souveräne Cloud ist in erster Linie eine Cloud, die von einem Anbieter bereitgestellt wird, der sich verpflichtet, die Daten seiner Kund:innen in keiner Weise zu nutzen. Diese Verpflichtung ist grundlegender Bestandteil des Leistungsversprechens von OVHcloud als Pure Player und Experte im Cloud-Bereich, der in keinen anderen Bereichen aktiv ist und daher in keinerlei Konkurrenz zu seinen Kund:innen steht. In diesem Kontext setzt OVHcloud alles daran, eine verlässliche Cloud anzubieten und damit zum Schutz der industriellen Souveränität beizutragen.
Zusammen mit den öffentlichen Behörden Europas und Branchenverbänden verteidigt OVHcloud die digitale Souveränität in Europa. OVHcloud ist Gründungsmitglied von CISPE (Cloud Infrastructure Service Providers in Europe) sowie des Projekts GAIA-X und beteiligt sich aktiv an diesen europäischen Initiativen. Deren Ziel ist es, die Sicherheit, Interoperabilität und Transparenz sowie das Vertrauen zu gewährleisten, die einer souveränen Datennutzung zugrunde liegen. 2020 rief OVHcloud das Open Trusted Cloud Programm ins Leben – mit dem Ziel, ein Ökosystem aus SaaS- und PaaS-Lösungen in einer offenen, reversiblen und zuverlässigen Cloud zu schaffen. Diese Initiativen sollen das Potenzial unserer europäischen Ökosysteme nutzen und eine positive Dynamik in Gang setzen.
Schutz europäischer Kund:innen vor Einflussnahme durch ausländische Behörden
OVHcloud schützt die gehosteten Daten europäischer Kund:innen gegenüber Behörden von außerhalb der EU. Zu diesem Zweck ergreifen wir technische und organisatorische Maßnahmen. Technisch gesehen bedeutet das, dass Teile oder Partner von OVHcloud mit Sitz in einem Drittland nur dann Zugang zu den Infrastrukturen für das Hosting von Daten erhalten, wenn sie Datenschutz auf dem Niveau der geltenden Datenschutzbestimmungen der EU gewährleisten.
Die USA gelten beispielsweise nicht mehr als Land mit adäquatem Datenschutzniveau, seit der „Privacy Shield“ mit dem Urteil „Schrems II“ des Europäischen Gerichtshof vom 16. Juli 2020 für ungültig erklärt wurde. Die amerikanischen Einheiten von OVHcloud tragen dementsprechend nicht zur Bereitstellung von Diensten an europäische Kund:innen von OVHcloud bei und haben keine technische Möglichkeit, auf die mit diesen Diensten in europäischen Rechenzentren von OVHcloud gehosteten Daten zuzugreifen. Die amerikanischen Unternehmensteile haben daher keinerlei Kontrolle über die in diesen Rechenzentren gespeicherten Daten und können etwaigen Anfragen seitens amerikanischer Behörden zur Übermittlung dieser Daten nicht entsprechen.
Ausschließlich in der EU ansässige Einheiten oder solche in einem Land, dessen Schutzniveau per Angemessenheitsbeschluss der Europäischen Kommission anerkannt ist – beispielsweise Kanada – können unter Berücksichtigung der geltenden Servicebedingungen an der Bereitstellung der Dienste für europäische Kund:innen von OVHcloud mitwirken und technischen Zugang zu den Infrastrukturen erhalten, auf denen diese Kund:innen ihre Daten hosten.
Achtung der europäischen Rechtsvorschriften, Freiheiten und Grundrechte
Aus Organisationsperspektive ist die Groupe OVHcloud eine europäische Unternehmensgruppe. Ihre europäischen Geschäftseinheiten sowie solche, die gegebenenfalls Zugang zu den von europäischen OVHcloud Kund:innen genutzten Hosting-Infrastrukturen von OVHcloud in der EU haben, unterliegen ausschließlich der Rechtsprechung von Mitgliedstaaten der EU oder Staaten, für die ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt. Diese Einheiten werden von der OVH Groupe SAS kontrolliert – einer Gesellschaft französischen Rechts, die in keinerlei Abhängigkeitsverhältnis zu Einheiten oder Organisationen steht, welche der Gerichtsbarkeit von Staaten unterliegen, die kein angemessenes Datenschutzniveau gewährleisten.
Behörden (Regierungs-, Verwaltungs-, Justizbehörden oder andere) von außerhalb der Europäischen Union können Anfragen zur Herausgabe der von europäischen Kund:innen von OVHcloud in einem Rechenzentrum in der Europäischen Union gehosteten Daten stellen. Solchen Anfragen kann OVHcloud sich in Übereinstimmung mit den eigenen Verfahren zur Bearbeitung von Behördenanfragen und gemäß Artikel 48 der DSGVO widersetzen, wenn sie nicht auf Grundlage eines internationalen Abkommens gestellt werden (z. B. eines Rechtshilfeabkommens zwischen dem antragstellenden Land und dem oder den jeweiligen EU-Mitgliedstaaten).
Darüber hinaus führt OVHcloud eine Option für Kund:innen ein, die die Verarbeitung ihrer bei OVHcloud gehosteten Daten ausschließlich auf den europäischen Raum beschränken möchten. Im Rahmen dieser Option sind nur europäische Geschäftseinheiten an der Ausführung des Dienstes beteiligt. Alle anderen Einheiten sind ausgeschlossen – auch solche, die in Drittländern mit einem laut der Europäischen Kommission adäquaten Schutzniveau ansässig sind.
Konformität mit den höchsten Sicherheitsstandards
Bei OVHcloud ist der Zugriff auf Kundendaten niemals erlaubt, es sei denn, der Kunde bzw. die Kundin hat dies selbst veranlasst, die erforderliche Zustimmung erteilt oder es ist beispielsweise für Wartungsarbeiten oder Support-Vorgänge notwendig. Als Garant für die Datensouveränität gewährleistet das Unternehmen die vollständige Rückverfolgbarkeit dieser Maßnahmen.
Anfang 2021 erhielt OVHcloud das Sicherheitssiegel SecNumCloud, das Kund:innen mit zertifizierten Cloud-Diensten die Gewissheit gibt, dass ihre IT-Lösungen in Sachen Sicherheit und Zuverlässigkeit den Anforderungen der französischen nationalen Agentur für die Sicherheit von Informationssystemen (ANSSI) entsprechen. Diese IT-Lösungen werden vom französischen Staat empfohlen und sind insbesondere für die französische Verwaltung und die nationalen Unternehmen in den sensibelsten Sektoren geeignet. OVHcloud stellt französischen (UGAP), britischen (G-Cloud) und italienischen Behörden (AgID) sowie Institutionen der Europäischen Kommission (DPS 1 MC5) seine Cloud-Dienste bereit. Das Unternehmen ist zudem an den laufenden Arbeiten der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) zur Zertifizierung der Cybersicherheit von Cloud-Diensten beteiligt.
Darüber hinaus ist OVHcloud bestrebt, den Anforderungen von Betreibern kritischer Infrastrukturen (KRITIS) zu entsprechen, die im Rahmen ihrer Zulassungsverfahren Risikoanalysen durchführen und zahlreiche Sicherheitsregeln implementieren müssen. Die Dokumentation von OVHcloud basiert auf der Umsetzung zahlreicher Normen und Standards (wie ISO 27001, ISO 27701, SecNumCloud, HDS, SOC, CSA Star und PCI-DSS) und ermöglicht Kund:innen die Durchführung ihrer Risikoanalysen mit transparentem Zugang zu den von OVHcloud implementierten Vorkehrungen zum Schutz ihrer Daten.
Weitreichende Kontrolle der Wertschöpfungskette und der technologischen Abhängigkeiten
Seit über 20 Jahren entwickelt OVHcloud sein integriertes Geschäftsmodell weiter, mit dem das Unternehmen seine gesamte Wertschöpfungskette kontrollieren kann. Dazu gehören der Bau und die Leitung der Rechenzentren, die Konzeption der Server und Racks in der Fabrik von Croix (Hauts-de-France) sowie der Betrieb eines Glasfasernetzwerks. Diese logistische Kontrolle ermöglicht die Gewährleistung umfassender Souveränität für Daten und Dienste. Außerdem ist OVHcloud dadurch in technischer Hinsicht auch weniger abhängig von Subunternehmern und Zulieferern. Während der Pandemie im Jahr 2020 hat das Unternehmen seine Fähigkeit unter Beweis gestellt, seine Kund:innen bei ihrer geschäftlichen Tätigkeit zu begleiten. Anders als manche Mitbewerber, die stärker von ihren Lieferanten abhängen, konnte OVHcloud Lieferengpässe vermeiden.
Eine weitere Besonderheit: OVHcloud integriert offene und reversible Open-Source- oder marktübliche Technologien in seine Produkte. Diese Plattformen sind bereits so konzipiert, dass sie die Datensouveränität der Kund:innen achten, und werden durchgängig von OVHcloud betrieben, ohne externe Subunternehmer. OVHcloud stellt sicher, dass die Entwickler der in seinen Lösungen verwendeten Bausteine Souveränität gewährleisten.
Vorbehaltlich besonderer Servicebedingungen vergewissert sich OVHcloud, dass an der Wartung der Lösung beteiligte Partner zusagen, nur von europäischen Staaten oder Staaten mit einem den EU-Standards gleichwertigen Datenschutzniveau aus zu agieren und die europäischen Vorschriften einzuhalten. Die vollständige Kontrolle und die umfassenden Integration der Dienste von Drittanbietern in seine Produkte ermöglichen es OVHcloud, die Datensouveränität seiner Kund:innen in hohem Maß zu gewährleisten. All das sind Schritte zum Erreichen einer vertrauenswürdigen Cloud, mit der die Souveränität europäischer Daten gewahrt bleibt.
Sie benötigen Hilfe oder weitere Informationen?
OVHcloud ruft Sie kostenlos zurück.