Dieses Thema war und ist besonders für europäische Kunden US-Amerikanischer Cloud-Provider immer wieder ein Diskussionspunkt in der Zusammenarbeit mit dem Cloud-Provider, besonders im Kontext Datenschutz und der Auslegung der DSGVO/GDPR. Dass dieser Reibungspunkt und die damit verknüpfen Debatten nun durch die Aufnahme in den C5 potentiell versachlicht werden ist sehr gut. Zusätzlich wird aber auch gleichzeitig weiter der Diskurs dazu gefördert, welcher extrem wichtig ist, wenn es um die potentielle Offenlegung von Daten Dritter geht – sei es im Kontext legaler staatlicher Ermittlungen oder illegaler Wirtschafts- und Industriespionage.
Klar ist schon jetzt, dass auch C5:2020 zertifizierte Cloud-Provider weiterhin staatlichen Ermittlungsanfragen stattgeben müssen und dabei im besonderen Fall ihre Kunden darüber nicht informieren dürfen. Das gilt gleichermaßen für derartige Anfragen innerhalb der EU, wie auch von außerhalb!
Neben den oben erwähnten positiven (Neben-)Effekten in der Debatte über den Umgang mit Ermittlungsanfragen staatlicher Stellen sind nun C5:2020 zertifizierte Cloud-Provider verpflichtet nachzuweisen, dass juristische Beurteilungen kompetent und korrekt erfolgen, dass klare Prozesse in diesen Verfahren existieren und dass sichergestellt ist, dass nur exakt die Daten offengelegt werden, um die es geht und auch nur in der Form offengelegt werden (z.B. vollständig, anonymisiert oder pseudonymisiert), die im konkreten juristischen Fall nötig ist.
Zusammenfassend bleibt dazu festzuhalten, dass auch weiterhin technische und organisatorische Maßnahmen nötig sind, um Daten europäischer Kunden in der Verarbeitung oder Speicherung bei ausländischen Cloud Providern vor dem Zugriff Dritter zu schützen. Dass dies möglich ist, zeigt die häufige Verwendung von Cloud-Services der „großen Drei“ in unseren Cassini Kundenprojekten - und der Trend hält an.