Pro Jahr fließen laut Studie des Verbands der Internetwirtschaft (Eco) von 2018 allein in Deutschland mehr als acht Milliarden Euro in Rechenzentren, sieben Milliarden Euro werden in IT-Hardware und eine Milliarde Euro in Neubau und Modernisierung von Gebäuden investiert. Diese Investitionen verlagern sich jedoch: Wurden Data Center früher von Organisationen aus Wirtschaft, Wissenschaft betrieben, hat sich mittlerweile das Auslagern solcher Rechenzentren stärker durchgesetzt. Es kann sich dabei sowohl um Rechenzentrumsleistungen handeln als auch um Cloud-Dienste, die über gesichertes Internet zur Verfügung stehen.
Warum extern?
Hohe Stromkosten und der Fachkräftemangel sind zwei Gründe, warum Unternehmen auf externe Anbieter ausweichen, anstatt Server und weitere Hardware-Kapazitäten in den eigenen Räumen zu betreiben. Allerdings treffen diese beiden Probleme auch die Anbieter. Während im europäischen Vergleich Skandinavien mit niedrigen Stromkosten punkten kann, ist der Fachkräftemangel europaweit einer der Gründe, warum von einigen Experten ein stärkeres Gewicht des asiatischen Raumes prognostiziert wird. Je weiter die Anbieter geografisch entfernt sind, desto ferner scheinen die rechtlichen Regelungen und mitunter auch kulturelle Aspekte. Der Vorteil von Offshoring sollen niedrigere Kosten sein. Allerdings können On- und Nearshoring beim Detailcheck oftmals mit Stärken punkten, die für den laufenden Betrieb wichtig sind. Zwar hat die die Entwicklungen der vergangenen Jahren zu einer Vielfalt an Dienstleistern für Rechenzentren geführt. Mit Blick auf die Umsetzung der DSGVO gilt es aber, bei der Anbieterwahl einiges beachten – etwa den Speicherort der Daten. Des weiteren geht es um die eingesetzte Hardware, das Vorliegen wichtiger Prüfzertifikate oder darum, ob der Dienstleister Standards hinsichtlich Arbeits- und Umweltschutz erfüllt. All dies ist bei einem geografisch näher gelegenen Unternehmen einfacher zu überprüfen.
Rechtslage beachten
Technologisch sind die USA wohl derzeit die führende Nation der Welt, kommen doch von dort doch digitale Dienste wie Amazon, Google oder Microsoft-Anwendungen. In Sachen Daten und Datenschutz gibt es allerdings die größtmöglichen Unterschiede zwischen Europa und den USA. So hat der Europäische Gerichtshof mit seiner Entscheidung ‚Schrems II‘ klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittländer mit im Wesentlichen gleichwertigem Datenschutz übermittelt werden dürfen. Auf die USA trifft dies laut Urteil nicht zu. „Für Datenübermittlungen in die USA, wenn nötig gegebenenfalls auch für Datenübermittlungen in weitere Drittländer, ist mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch im jeweiligen Drittland stets angemessen geschützt sind“, so der Bundesbeauftragte für den Datenschutz und die Informationssicherheit in einem Kommentar zur Entscheidung. Mit Gesetzen wie dem USA Patriot Act und seit 2018 dem Cloud Act (Clarifying Lawful Overseas Use of Data) gibt es weiteres Problempotential. Tochterfirmen von US-Unternehmen, welche ihre Niederlassungen in anderen Ländern haben, sind demnach verpflichtet, den US-Behörden Zugriff auf ihre Server zu gewähren, auch wenn dies den Gesetzen in diesen Ländern widerspricht. Europäische Firmen können so schnell in die Zwickmühle, wenn US- und EU-Recht kollidieren geraten.
Transparenz herstellen
Seit Einführung der DSGVO ist es für Kunden eines Data Centers wichtig, Transparenz im Unternehmen herzustellen und auch mit den Cloud-Dienstleisters entsprechende Verträge zu unterzeichnen. Es gilt, personenbezogene Daten nur zweckgebunden verwalten und auf diese Daten nur denjenigen Personen Zugriff gestatten, die für die Durchführung des Zweckes verantwortlich sind – dieser Vorgabe widersprechen beispielsweise die Bestimmungen des US Cloud Acts. Ferner sind Änderungen von personenbezogenen Daten zu protokollieren und die Weitergabe von personenbezogenen Daten zu beschränken. Eine Weitergabe solcher Daten muss protokolliert werden. Auch nachweise und Löschungen müssen ermöglicht werden. Als personenbezogene Daten gelten dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Davon sind alle Unternehmen im Rechtsraum der EU betroffen, auch wenn sie weniger als 250 Mitarbeiter beschäftigen.