Die Cloud-Technologie ist ein zentraler Baustein der modernen IT-Landschaft. Ihr Grundgedanke besteht darin, dass Softwarelösungen nicht lokal auf dem Gerät des Nutzers ausgeführt werden, sondern auf leistungsfähigen Servern in Rechenzentren laufen. Diese Rechenzentren sind oft weltweit verteilt, über Netzwerke miteinander verbunden und bilden gemeinsam die sogenannte Cloud Infrastruktur. Je nach Anbieter unterscheidet sich das zugrunde liegende Betriebsmodell: Während einige Unternehmen eigene Server oder Rechenzentren betreiben, setzen andere auf externe Cloud Infrastruktur Anbieter, die standardisierte Rechenleistung bereitstellen.
Bei der Wahl des richtigen Anbieters für Cloud Infrastruktur spielen nicht nur Performance und Preis eine Rolle. Denn Cloud ist nicht gleich Cloud. Besonders im Bereich des Datenschutzes bestehen gravierende Unterschiede zwischen EU- und Nicht-EU-Anbietern. Der CLOUD Act etwa schafft eine rechtlich unsichere Lage bei US-Anbietern, während die Datenschutzrichtlinien in China, Australien oder in anderen Regionen ebenfalls Herausforderungen mit sich bringen.
Dieser Beitrag beleuchtet die Unterschiede und stellt sechs Anbieter einer Cloud Infrastruktur im direkten Vergleich gegenüber, mit einem besonderen Fokus auf Sicherheitsaspekte für EU-Unternehmen.
Was ist eine Cloud Infrastruktur überhaupt?
Eine Cloud Infrastruktur umfasst alle technischen und organisatorischen Komponenten, die IT-Subunternehmen bereitstellen. Dazu gehören beispielsweise Server, Netzwerke und Firewalls. Viele Unternehmen engagieren diese Anbieter einer Cloud Infrastruktur (Infrastructure-as-a-Service) als Unterauftragnehmer und nutzen sie, um ihre IT-Ressourcen flexibel und skalierbar zu gestalten, ohne eigene Hardware betreiben zu müssen.
Ein Beispiel: Ein wachsender Software-as-a-Service-Anbieter wie etwa Stackfield benötigt zunehmend leistungsfähige Server, um das steigende Datenvolumen zu bewältigen. Anstatt selbst teure Hardware anzuschaffen, kann das Unternehmen einen Anbieter für Cloud Infrastruktur beauftragen, der Rechenleistung, Speicherplatz und Netzwerkressourcen in seinem Rechenzentrum bereitstellt.
Diese Rechenzentren bestehen aus umfangreichen Anlagen, die – abhängig vom Anbieter – weltweit verteilt betrieben werden können. Bei Stackfield stehen diese Rechenzentren etwa ausschließlich in Deutschland. Die physische Bereitstellung erfolgt durch das beauftragte Subunternehmen, das zum Beispiel eine zuverlässige und redundante Stromversorgung, Kühlung und Wartung der Hardware gewährleistet.
Welche Services stellen Anbieter einer Cloud Infrastruktur bereit?
Cloud-Anbieter stellen in der Regel unterschiedliche Services zur Verfügung, von einfacher Datenspeicherung bis hin zu komplexen Rechenleistungen. Dabei verschwimmen zunehmend die Grenzen zwischen physischen und digitalen Angeboten. Viele Dienstleister liefern heutzutage nicht mehr nur die technische Basis, sondern integrieren auch zunehmend passende Softwarelösungen in ihr Angebot. Besonders relevant für Unternehmen, die IT-Anbieter als Subunternehmen beauftragen, sind folgende Dienste:
- Infrastructure-as-a-Service (IaaS): Virtuelle Maschinen, Speicher und Netzwerke, die Unternehmen flexibel nutzen können, ohne physische Server zu betreiben.
- Platform-as-a-Service (PaaS): Entwicklungsumgebungen, die Unternehmen ermöglichen, Software ohne eigene Server bereitzustellen und zu betreiben.
- Software-as-a-Service (SaaS): Cloud-basierte Anwendungen wie E-Mail-Dienste, Office-Lösungen oder Projektmanagement-Systeme wie Stackfield.
- Backup- und Disaster-Recovery-Services: Automatische Sicherung von Daten und Wiederherstellungsmöglichkeiten im Falle eines Datenverlusts.
- Managed Security Services: Schutz vor Cyberangriffen durch Firewalls, Verschlüsselung und Bedrohungserkennung.
Besonders bei der Beauftragung von Subunternehmen ist es entscheidend, dass die angebotenen Services mit den Richtlinien für Datenschutz und Informationssicherheit des Unternehmens wie auch den rechtlichen Vorgaben des Landes übereinstimmen.
Welche Unterschiede gibt es zwischen EU- und Nicht-EU-Anbietern?
Internationale Anbieter einer Cloud Infrastruktur unterliegen oft Gesetzen, die es ausländischen Regierungen ermöglichen, auf Unternehmensdaten zuzugreifen. Besonders problematisch ist der CLOUD Act in den USA, der amerikanische Unternehmen zur Kooperation mit US-Behörden und zur Herausgabe von Daten verpflichtet, selbst wenn sich die Rechenzentren in der EU befinden.
Dieses US-Gesetz greift selbst dann, wenn US-Unternehmen von einem EU-Unternehmen als Unterauftragnehmer engagiert werden. Das bedeutet, dass die US-Regierung potenziell den Zugriff auf sensible Daten von EU-Unternehmen einfordern kann.
Ähnliche Regelungen existieren auch in anderen Ländern:
- China: Chinesische Unternehmen sind gesetzlich verpflichtet, Daten auf Anfrage der Regierung herauszugeben – und das tun sie auch bei Daten aus der EU. Die Cybersicherheitsgesetze machen eine vollständige Kontrolle durch Behörden möglich.
- Russland: Unternehmen müssen Daten russischer Bürger innerhalb des Landes speichern, und Behörden haben weitreichende Zugriffsrechte.
- Australien: Der Telecommunications and Other Legislation Amendment (TOLA) Act erlaubt es der australischen Regierung, legal auf verschlüsselte Daten australischer Organisationen zuzugreifen und Unternehmen zur Entschlüsselung zu verpflichten.
- Indien: Zwar hat Indien seit 2023 mit dem Digital Personal Data Protection (DPDP) Act 2023 zum ersten Mal in der Geschichte ein Datenschutzgesetz, dennoch kann auch hier die Regierung im Zweifel den Zugriff auf sensible Daten einfordern.
- Japan: Japanische Organisationen unterliegen zwar strengen Datenschutzgesetzen, jedoch haben japanische Behörden das Recht, unter bestimmten Umständen auf sensible Daten zuzugreifen.
- Israel: Trotz hoher Sicherheitsstandards kann der Staat Zugriff auf Daten verlangen, insbesondere in Fällen der nationalen Sicherheit.
Die Europäische Kommission prüft im Rahmen sogenannter Angemessenheitsbeschlüsse, ob ein Drittland – also ein Staat außerhalb des Europäischen Wirtschaftsraums (EWR) – ein mit der EU vergleichbares Schutzniveau für personenbezogene Daten bietet. Stellt die Kommission in diesem Verfahren fest, dass die Datenschutzvorkehrungen des Drittlands ausreichen, erlässt sie einen Angemessenheitsbeschluss. Dieser erlaubt die Übermittlung personenbezogener Daten in das betreffende Drittland, ohne dass zusätzliche Garantien erforderlich sind.
Die USA stellen im Kontext der EU-Angemessenheitsbeschlüsse einen Sonderfall dar. Mit dem EU-US Data Privacy Framework besteht hier zwar ein Abkommen, das einen rechtskonformen Datentransfer zwischen der EU und den USA ermöglichen soll – auf dieser Grundlage hat die Europäische Kommission auch einen entsprechenden Angemessenheitsbeschluss erlassen. Aufgrund des CLOUD Acts sowie durch die politische Unabwägbarkeit der US-Regierung unter Donald Trump kann aber keine abschließende Datensicherheit garantiert werden.
EU-Anbieter unterliegen hingegen der Datenschutz-Grundverordnung (DSGVO) und bieten daher mehr Rechtssicherheit. Sie müssen hohe Datenschutzstandards einhalten, und der Zugriff auf Daten durch Dritte ist stark eingeschränkt.
Warum ist es für EU-Unternehmen sicherer, bei der Cloud Infrastruktur auf EU-Subunternehmen zu setzen?
Die Speicherung von Daten bei EU-Anbietern minimiert das Risiko unautorisierter Zugriffe durch Drittstaaten. Unternehmen profitieren von klaren gesetzlichen Rahmenbedingungen und vermeiden juristische Unsicherheiten sowie wirtschaftliche Risiken. Die Informationssicherheit bleibt so in europäischer Hand.
Zudem setzen viele europäische Anbieter von Cloud Infrastruktur auf transparente Sicherheitsstandards. Sie unterliegen regelmäßigen Audits und müssen ihre Infrastruktur an die strengen Anforderungen der DSGVO anpassen. Auch wirtschaftlich profitieren Unternehmen von europäischen Subunternehmen: Sie unterstützen lokale Anbieter, stärken die digitale Souveränität und reduzieren Abhängigkeiten von außereuropäischen Konzernen.
6 Cloud Infrastruktur Anbieter im Vergleich
IONOS 🇩🇪
Das Unternehmen IONOS ist ein deutscher Anbieter für Cloud Infrastruktur, der seine DSGVO-Konformität und strengen Sicherheitsstandards hervorhebt. Die Daten der Kunden werden ausschließlich in Europa gespeichert, was eine hohe Rechtssicherheit gewährleistet.
Amazon Web Services (AWS) 🇺🇸
Das US-Unternehmen AWS ist Marktführer im Bereich der Cloud Infrastruktur, untersteht aber dem CLOUD Act. Auch wenn europäische Rechenzentren existieren, bleibt somit das Risiko eines Zugriffs durch US-Behörden bestehen.
Google Cloud 🇺🇸
Auch der US-amerikanische Anbieter Google unterliegt mit seinem Cloud-Angebot dem CLOUD Act. Zwar investiert das Unternehmen in Verschlüsselungstechnologien, dennoch bestehen in diesem Zusammenhang weiterhin rechtliche Unsicherheiten.
OVHcloud 🇫🇷
OVHcloud ist ein französischer Anbieter mit einem starken Fokus auf Informationssouveränität. Das Unternehmen unterliegt europäischen Datenschutzgesetzen und betreibt verschiedene Rechenzentren in Europa.
Microsoft Azure 🇺🇸
Der US-Tech-Gigant Microsoft bietet zwar Cloud-Services mit Rechenzentren in Europa, unterliegt aber letztlich ebenfalls dem CLOUD Act. Trotz Compliance-Maßnahmen bleibt damit ein Datenschutzrisiko bestehen – selbst bei Microsoft-Rechenzentren in der EU.
Alibaba Cloud 🇨🇳
Alibaba Cloud, eine Tochtergesellschaft der Alibaba Group, unterliegt den chinesischen Cybersicherheitsgesetzen, die einen staatlichen Zugriff auf Daten ermöglichen. Für EU-Unternehmen wäre der Einsatz daher mit erheblichen Datenschutzrisiken verbunden.
Fazit: Datenschutz und Souveränität gehen nur mit EU-Dienstleistern
Die Analyse zeigt es deutlich: EU-Anbieter sind für europäische Unternehmen die sicherste Wahl. Internationale Anbieter bieten zwar ähnliche Lösungen, müssen sich aber ausländischen Gesetzen beugen und bergen deshalb Risiken bei der Informationssicherheit. Europäische Anbieter von Cloud Infrastrukturen bieten nicht nur rechtliche Sicherheit, sondern stärken darüber hinaus auch die digitale Souveränität und minimieren Abhängigkeiten.
Stackfield greift ausschließlich auf Dienstleister innerhalb Europas zurück – sowohl für die Datenverarbeitung als auch für die Datenhaltung. Dabei wird unter anderem die Firmenstruktur möglicher Unterauftragnehmer geprüft, um sicher zu gehen, dass der CLOUD ACT keinerlei Anwendung findet. Dadurch wird der Zugriff auf oder eine Kontrolle der Daten aus Drittstaaten außerhalb der EU ausgeschlossen.
Ergänzt wird dieses Sicherheitskonzept durch die echte Ende-zu-Ende-Verschlüsselung, bei der selbst Mitarbeitende von Stackfield keinen Zugriff auf die Kundendaten haben. Auf diese Weise können höchste Anforderungen an die Informationssicherheit erfüllt werden.