Wie soll sich Gaia-X beim Datenschutz und der Datensicherheit von anderen Cloud-Lösungen unterscheiden?
Thomas Schumacher: Betrachtet man das Projekt aus einer Cybersecurity-Perspektive, gilt es nach wie vor abzuwarten, wie das vorgestellte Konzept in einem nächsten Schritt konkret ausgearbeitet wird. Allerdings hat Gaia-X die Chance, die Themen Datenschutz und Sicherheit sowie Privacy by Design von Anfang an zu berücksichtigen. Das könnte einen starken Differenzierungsfaktor gegenüber den etablierten Hyperscalern darstellen. Gaia-X hat also die Möglichkeit, für europäische Unternehmen Sicherheit in Bezug auf Transparenz und Datenschutz zu schaffen. Gegebenenfalls könnte durch spezifisch definierte Risikoprofile Rücksicht auf lokale Schlüsselindustrien genommen werden, die heute aufgrund der hohen Kritikalität ihrer Daten diese häufig nicht in eine Cloud-Umgebung transferieren.
Welche Gründe gibt es, europäische Angebote gerade den US-amerikanischen oder chinesischen vorzuziehen?
Schumacher: Sicherlich kommt es bei Unternehmen zu individuellen Risikoabwägungen, die zu dem Ergebnis führen, besonders kritische Geschäftsprozesse oder -daten derzeit bewusst nicht in globale Cloud-Umgebungen zu migrieren. Häufig sind dabei Bedenken zum Schutz der Daten ausschlaggebend. Dies liegt unter anderem an Gesetzen, wie dem US-amerikanischen Cloud-Act. Dieses Gesetz verpflichtet US-amerikanische IT-Dienstleister oder Internetfirmen dazu, Daten unabhängig vom Speicherort an US-Behörden auf behördliche oder richterliche Anweisung zu übermitteln – losgelöst von der lokalen Gesetzeslage. Das steht wiederum in Konflikt mit europäischen Datenschutzvorstellungen (DSGVO) und schafft so für europäische Unternehmen mehr als eine rechtliche Unsicherheit. In diesem Zusammenhang denken viele Unternehmen aktuell darüber nach, ihre Daten der Kritikalität entsprechend auf mehrere Cloud-Plattformen aufzuteilen. Hier könnte Gaia-X eine zusätzliche Alternative darstellen, um diesem Vendor-Lock-in entgegenzuwirken.
Lässt sich Datensicherheit von Cloud-Systemen als Wettbewerbskriterium global vermarkten?
Schumacher: Selbstverständlich spielt dies auch im globalen Wettbewerb eine Rolle. Denn Anwender sind auch außerhalb der EU-Grenzen daran interessiert, dass ihre digitalen Prozesse sicher gestaltet sind. Besonders im Hinblick auf ihre sensiblen Daten wie beispielsweise bei Finanztransaktionen. Das belegt auch die Tatsache, dass andere Länder in letzter Zeit mit der DSGVO vergleichbare Regularien verabschiedet haben, unter anderem Kalifornien (CCPA, gilt seit 1. Januar 2020) oder Brasilien (LGPD, gilt seit 1. Februar 2020).