Delphotostock - Fotolia

Die Auswirkungen des Brexit auf Rechenzentren in der EU

Das EU-Referendum im Vereinigten Königreich sowie das Privacy Shield bringen Veränderungen mit sich. Was bedeutet dies für europäische Rechenzentren?

Die Wogen im Hinblick auf das EU-Referendum im Vereinigten Königreich haben sich etwas geglättet und das Fundament für Privacy Shield, den Nachfolgevertrag von Safe Harbor, wurde gelegt. In der IT-Welt können diese Ereignisse aber durchaus noch einige Zeit für Wirbel sorgen. Unsere englische Schwesterpublikation ComputerWeekly hat sich mit den möglichen Auswirkungen auf die europäische Rechenzentrumsszene befasst.

Laut einer Mitteilung von 451 Research kurz nach der Brexit-Wahl tendieren Rechenzentrenbetreiber dazu, ihre Data-Center-Planung entweder zu verzögern oder ganz einzustellen, weil sie abwarten und sich ein klareres Bild davon machen wollen, wie sich die Welt nach dem Brexit entwickeln wird.

Im Gespräch mit ComputerWeekly sagte Andy Lawrence, Vizepräsident Data Technologies und Eco-efficient IT bei 451 Research, dass für viele CIOs an vorderster Stelle steht, Kapitalinvestitionen fürs Erste eher auf Eis zu legen.

„Ich würde CIOs raten, eine seriöse Diskussion zu diesem Thema zu führen und darüber nachzudenken, welche Konsequenzen es geben könnte und notfalls ein paar Wochen abzuwarten“, sagt Lawrence. „Mit großer Wahrscheinlichkeit wird sich auf lange Sicht nicht allzu viel ändern.“

Zum Redaktionsschluss (Stand September 2016) ist es noch unklar, wann genau die britische Regierung plant, den EU-Ausstieg einzuleiten und inwiefern das Vereinigte Königreich – wenn überhaupt – den Zugang zum Europäischen Binnenmarkt beibehalten wird.

Brexit-Spekulationen

Dies hat Spekulationen darüber ausgelöst, ob Firmen, die im Vereinigen Königreich ansässig sind – vor allem diejenigen, die im Finanzdienstleistungs -und Fertigungsbereich tätig sind – , womöglich zum EU-Festland umsiedeln, um die Vorteile, die der freie Zugang zum EU-Binnenmarkt mit sich bringt, zu behalten.  Sollte dies geschehen, werden sie vermutlich versuchen, auch einige Rechenzentrumskapazitäten – wenn nicht sogar alle – in die EU zu verlegen.

„Manche Firmen, die Cloud-Services betreiben, werden sich vielleicht für beide Optionen entschließen, sprich EU-Festland und das Vereinigte Königreich“, so der Bericht von 451 Research. „UK-Betreiber von Rechenzentren werden noch stärker mit Betreibern aus Belgien, Luxemburg und Finnland konkurrieren müssen, die mit großer Wahrscheinlichkeit die Meinung vertreten werden, dass es sicherer ist, den Betrieb innerhalb der EU zu realisieren.“

Estland führt den Trend an

Bei den europäischen Data Centern ist inzwischen, zumindest laut Einzelberichten, ein Trend sichtbar. Berichten zufolge wägt die Estnische Regierung nun ab, ob sie sich Richtung Vereinigte Königreich oder an Luxemburg wenden sollte, um ihren Backup-Rechenzentrumsanforderungen gerecht zu werden. Laut einem Bericht in der Financial Times hat das Ergebnis des EU-Referendums den Baltenstaat dazu veranlasst, die Suche nach passenden Data-Center-Kapazitäten nach Luxemburg auszuweiten, anstatt sich nur auf das Vereinigte Königreich zu fokussieren.

Von diesem Beispiel abgesehen, sind sich IT-Analysten einig, dass es unwahrscheinlich ist, dass Firmen ihre in UK ansässigen Data-Center-Kapazitäten von heute auf morgen auf das europäische Festland verlagern werden. Das heißt aber nicht, dass die Anzahl der Rechenzentrumskapazitäten, die diese im Vereinigten Königreich basierten Firmen nutzen, nicht mit der Zeit zurückgeschraubt werden. Beispielsweise wenn mehrjährige Verträge, die manche Unternehmen mit ihren Colocation-Anbietern haben, ablaufen.

Schnelleres Handeln nötig

In anderen Fällen, wie beispielsweise beim Cloud-Infrastrukturanbieter Iland, könnte die Brexit-Wahl dazu führen, dass Firmen bereits vorliegenden Pläne, ihre Data-Center-Flächen auf dem europäischen Festland auszubauen, beschleunigen. „Der Brexit hat an unserer Expansionsstrategie zwar nichts geändert, aber er wird unseren Zeitplan jetzt wahrscheinlich forcieren“, sagt Frank Krieger, verantwortlich für den Bereich Compliance bei Iland.

„Tatsächlich haben Cloud-Kunden immer wieder Probleme damit, Datenschutzgesetze zu verstehen, vor allem, weil diese Gesetze sich ständig ändern“, sagt er. Um Zweifel auszuschließen, tendieren Endnutzer dazu, Cloud-Services zu bevorzugen, die landesspezifisch sind – ein Grund, warum die Firma Iland darauf drängt, ihre Europa-Präsenz zu verstärken, so Krieger.

„Wir sehen, dass die Auswahl der geografischen Lagen vieler Firmen darauf beruht, in ihrem eigenen Land ansässig zu sein, oder in den jeweiligen Ländern ihrer Endkundenbasis“, fügt er hinzu.

Die Aufregung um Safe Harbor

Die Ablösung des Datenübertragungsvertrages Safe Harbor ist ein weiterer Punkt, der eventuell dazu geführt hat, dass europäische CIOs kritischer darüber nachdenken, wem sie mit ihren Unternehmensdaten vertrauen können. Im Oktober 2015 wurde durch den Europäischen Gerichtshof der Safe-Harbor-Vertrag als Maßnahme für die Übertragung von Daten europäischer Staatsbürger in die USA als ungültig erklärt. Dies war das Resultat der langandauernden Anfechtungsklage durch den aus Österreich stammenden Datenschutzaktivisten Max Schrems.

Deshalb beschlossen viele US-Firmen, die sich zuvor auf Safe Harbor gestützt hatten, die Zahl ihrer Rechenzentren in Europa zu erhöhen, obwohl eine Ersatzvereinbarung, der EU-US-Privacy Shield, bereits in der Planung war.

Laut Berichten planten mehrere dieser Firmen – beispielsweise Amazon Web Services (AWS) und Microsoft, europäische Standorte zu errichten – und das lange bevor sich Safe Harbor überhaupt zu einem Problem entwickelte. Im Vordergrund standen dabei CIO-Bedenken hinsichtlich der Datenhoheit und die Latenz von in der Cloud gehosteten Anwendungen.

Mehrere Wochen, nachdem die Brexit-Wahlergebnisse bekannt wurden, wurden die 28 EU-Mitgliedstaaten danach befragt, ob Privacy Shield genehmigt werden sollte. Die Mehrheit stimmte zu.

Die Vereinbarung wurde von der EU-Kommission kurz danach übernommen, was für US-Firmen den Weg ebnete, ihre Betriebe ab dem 1. August 2016 den Privacy-Shield-Bedingungen anzupassen und die Datenübertragung von EU-Bürgern an ihre in den Staaten ansässigen Server fortzusetzen.

Privacy Shield steht auf unsicheren Beinen

Für Schrems lag das Hauptproblem von Safe Harbor darin, dass er Bedenken hatte, wie viel Schutz sie EU-Bürgern vor den Massenüberwachungsaktivitäten der amerikanischen Regierung bot. Laut verschieden Rechtsexperten ist die Wahrscheinlichkeit hoch, dass Schrems – oder jemand anderes – aus ähnlichen Gründen auch eine Anfechtungsklage gegen Privacy Shield erheben könnte. Dies könnte für US-Firmen, die eine europäische Kundschaft bedienen wollen, neue Probleme auslösen. Steve Farmer, Rechtsberater der technologieorientierten Anwaltskanzlei Pillsbury, ist dieser Meinung. Er glaubt, dass Privacy Shield ähnliche Mängel aufweist wie Safe Harbor.

„Privacy Shield wird mit Sicherheit eine juristische Herausforderung mit sich bringen. Ein Hauptgrund, warum Safe Harbor als ungültig erachtet wurde, war, dass die Rechtsdurchsetzungsverfahren für Personen, die einer Massenüberwachung ausgesetzt waren, unzureichend waren“, sagt er. „Privacy Shield geht, was die Entschädigung betrifft, wohl nicht auf das ein, was der Gerichtshof der Europäischen Union im Sinn hatte. Dementsprechend ist der Vertrag fragwürdig.“

Aus diesem Grung rät Farmer Firmen, die überlegen, sich dem Privacy-Shield-Vertrag anzuschliessen, mit Vorsicht vorzugehen. Sie sollten sorgfältig nachdenken, bevor sie Zeit, Mühe und Geld investieren, um einem Vertrag nachzukommen, der eventuell aufgelöst wird, so Farmer.

Der Schaden hält sich in Grenzen

Anderseits ist es laut Clive Longbottom, Principal Analyst und Gründer des Marktbeobachters Quocirca, unwahrscheinlich, dass eine rechtliche Anfechtung gegen Privacy Shield so viel Schaden verursachen würde wie der Abzug von Safe Harbor.

„Safe Harbor wurde aufgelöst und benötigte eine fast vollständige Umformulierung, bis daraus die erste Fassung der Privacy Shield wurde, die dann von der EU abgelehnt wurde“, erklärt er. „Die neuste Version ist für die EU akzeptabel und hat viel mit der Datenschutz-Grundverordnung gemein.“

Er glaubt nicht, dass eine Anfechtungsklage Privacy Shield direkt zu Fall bringen könnte. Stattdessen sei es eher wahrscheinlich, dass schlimmstenfalls ein paar Paragraphenänderungen gemacht werden müssten.

Alternativen zur Privacy Shield

Während europäische und amerikanische Gesetzgeber die Details darüber ausarbeiten, wie der Nachfolger von Safe Harbor aussehen wird, wurde Firmen, die sich zuvor auf Safe Harbor für den Transfer von EU-Daten in die USA verlassen hatten, geraten, andere Vorkehrungen zu treffen. Dazu gehörte die Verwendung von verbindlichen unternehmensinternen Vorschriften oder Mustervertragsklauseln, deren Nutzung laut Farmer für Firmen für die nächste Zeit besser wäre.

„Verbindliche unternehmensinterne Vorschriften und Mustervertragsklauseln stellen momentan weiterhin die sicherste und sinnvollste Option für Unternehmen dar“, so Farmer. Longbottom glaubt im Gegensatz dazu, dass Firmen, die sich weiterhin auf diese Optionen verlassen, sich der Gefahr von künftigen Rechtseinwänden aussetzen.

„Ich würde jetzt sagen, dass Mustervertragsklauseln mit großer Wahrscheinlichkeit mit Gerichturteilen in Konflikt geraten werden, da jede Klausel unterschiedlich ist.“ Er meint, dass Anwälte die Mustervertragsklauseln bevorzugen, da jede Firma einen Anwalt dafür bezahlen muss, um die verschiedenen Klauseln zu entwerfen, die nötig sind, anstatt sich einfach nur Privacy Shield anzuschließen.

Gerichtsprozess im Fall Microsoft: Eine Erfolgsgeschichte

Diese Ungewissheit über die Unantastbarkeit von Privacy Shield (und die Alternativen) könnte dazu führen, dass europäische CEOs die Nutzung von Cloud-Services, die im Ursprungsland beziehungsweise innerhalb des EU-Festlandes gehostet sind, priorisieren – wie Frank Krieger von der Firma Iland vorschlug. Longbottom warnt aber davor, dass EU-Rechenzentrenbetreiber sich zu sehr von der Idee verleiten lassen, dass Brexit und die Unsicherheit über die langfristige Rentabilität von Privacy Shield eine Welle neuer Aufträge bedeuten könnte.

Dies gilt vor allem angesichts des Prozesserfolges von Microsoft im Juli 2016, bei dem die Softwarefirma das Recht eingeräumt bekam, amerikanischen Ordnungshütern den Zugriff zu E-Mails zu verweigern, die in Irland gespeichert waren und einem mutmaßlichen Drogenhändler gehörten. „Das Gerichtsurteil im Falle Microsoft könnte große Auswirkungen auf den europäischen Hosting- und Colocation-Markt haben“, sagt Longbottom. „Weil es jetzt weniger wahrscheinlich ist, dass US-Gerichte in der Lage sind, anhand einer einfachen richterlichen Erlaubnis den Datenzugriff zu verlangen.“

„Ich erwarte, das US-Firmen mit Cloud- und Rechenzentren in Europa mehr Aufmerksamkeit eben darauf lenken werden, um im Mitbewerb mit rein-europäischen zu punkten. Diese haben zu Recht in Sachen Datenschutz die Gunst der Stunde genutzt.“

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Richtiges Verhalten zwischen Safe Harbor und Privacy Shield.

Werden Datenübermittlungen in die USA unmöglich?

Eine deutsche oder EU-Cloud alleine reicht nicht für den Datenschutz.

Datenschutz-Grundverordnung: Worauf bei der Cloud-Migration zu achten ist.

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close