Welche sicherheitstechnischen Voraussetzungen muss Ihrer Meinung nach eine europäische Cloud-Lösung erfüllen? Welches sind zwingende Voraussetzungen für eine europäische Lösung?
Helmbrecht: Dazu eine kleine Anmerkung. Wenn man europäische Cloud-Lösung sagt, dann kann man zwei Dinge darunter verstehen. Das eine wären europäische und internationale Anbieter, die aber ihre Rechenzentren in Europa haben. Wie zum Beispiel Microsoft, das in Dublin und Amsterdam eigene Rechenzentren unterhält. Das andere Modell einer europäischen Cloud, wäre, dass europäische Firmen in Europa Cloud-Lösungen anbieten.
Zu ihrer Frage: Hier gibt es zwei wesentliche Dinge zu beachten. Das eine ist, der Kunde muss auf die Geschäftsbedingungen achten, also zum Bespiel auf die Service Level Agreements (SLA). Insbesondere sollte er darauf achten, ob in den SLAs explit umfassende Regelungen für den Datenschutz und die IT-Sicherheit enthalten sind. Es muss geklärt werden, inwieweit die in den SLAs genannten Paragrafen den eigenen Interessen entsprechen. Und das zweite ist, es gibt mittlerweile Cloud-Computing-Anbieter, die auch Audits und Zertifizierungen vorweisen können. Im Augenblick haben die Kunden da noch nicht viel Auswahl, aber Zertifizierungen sind in jedem Fall ein wichtiges Qualitätsmerkmal.
Wenn ich das ein bisschen erläutern darf, bei den SLAs haben wir das Problem, dass eine Privatperson ja nicht die Geschäftsbedingungen mit einer Google oder Amazon aushandeln kann, die kann man nur akzeptieren oder ablehnen. Als europäische Institution versuchen wir natürlich Einfluss darauf zu nehmen, dass auch die Interessen von mittelständischen Unternehmen und Bürgern verbessert werden. Deshalb fordern wir auch von den Anbietern, dass die Datenschutzbestimmungen und europäisches Recht eingehalten werden beziehungsweise explizit in den Geschäftsbedingungen stehen. Leider sind wir heute noch nicht so weit, dass alle Anbieter diese Forderung erfüllen.
Würden Sie diesen Anforderungskatalog für die Öffentliche Verwaltung erweitern? Gibt es hier spezielle Anforderungen für die Öffentliche Verwaltung in der EU?
Helmbrecht: Auf nationaler Ebene hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), und auf europäischer Ebene die ENISA, einen Katalog zusammengestellt, in dem wir festhalten, worauf Öffentliche Verwaltungen beim Cloud Computing achten sollten.
Das Wichtigste ist sicher, dass man einen nationalen Cloud-Anbieter wählt. Denn im Augenblick ist es noch so, zumindest wenn man die Anforderungen jetzt auf Deutschland bezieht, dass nur ein in Deutschland ansässiger Provider Verwaltungen garantieren kann, dass die deutschen Datenschutzbestimmungen und IT-Sicherheitsanforderungen erfüllt sind. Denn ein Anbieter aus Übersee könnte die Bedingungen, dass Finanzdaten, Gesundheitsdaten oder Steuerdaten wirklich im Land bleiben, nicht erfüllen. Also einfache Aussage: nur nationale Cloud-Anbieter können die gesetzlichen Vorgaben erfüllen.
Das Problem ist, wenn eine Verwaltung zum Beispiel mit Finanzdaten arbeitet, dann muss das Finanzamt sicherstellen, dass die Steuerdaten in Deutschland bleiben. Wenn sie jetzt aber einen Dienstleister nehmen, der die Daten in Holland hostet, dann ist das eben nicht mehr gewährleistet. Voraussichtlich wird dieses Problem in der nächsten Legislaturperiode des europäischen Parlaments geregelt. Bei einem nicht europäischen Dienstleister bleibt dann aber immer noch die Frage, ob die Daten in Europa bleiben.
Dazu gibt es ein Beispiel, das man positiv und negativ sehen kann. Nach dem Erdbeben in Fukushima trat das Problem auf, dass lokale IT-Anbieter nicht mehr verfügbar waren, weil zum Beispiel einfach kein Strom mehr da war. Der Cloud-Service eines Providers hat Japan dann angeboten, die Daten in den USA zu hosten. Das heißt, die Skalierbarkeit der Cloud-Anwendungen erlaubte, dass japanische Unternehmen auf ihre Daten trotz der Naturkatastrophe zugreifen konnten. Auf Deutschland beziehungsweise Europa bezogen heißt das aber auch, dass wir eine Antwort auf die Frage finden müssen, ob wir wollen, dass die Daten dann außerhalb Europas gehostet werden.
Welche Voraussetzungen müssen Verwaltungen erfüllen, um die Daten ihrer Bürger wirksam zu schützen?
Helmbrecht: Solange bis es einheitliche europäische Regelungen gibt, sollten Verwaltungen einen nationalen Cloud-Anbieter wählen. Das ist heute noch leider so. Politisch versuchen wir in der EU derzeit deshalb mit der europäischen Cloud-Strategie, zwei Dinge zu tun. Das eine ist, nationale Barrieren zu überwinden, das heißt, es muss in Europa möglich sein, dass Frankreich seine Gesundheitsdaten in Deutschland speichert und dass Deutschland seine Gesundheitsdaten in Österreich hostet. Wir untersuchen also gerade, welche nationalen Barrieren es gibt und was wir wettbewerbstechnisch tun müssen, um diese Barrieren zu überwinden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Und das zweite ist, dass es jetzt bereits eine ganze Reihe an Initiativen gibt, in denen man Best Practices in der EU sucht. Finnland und Estland haben zum Beispiel schon ein bilaterales Abkommen, das es den beiden Ländern erlaubt, Gesundheitsdaten auszutauschen. Das heißt, die Bürger der beiden Länder können im Urlaub in beiden Ländern zum Arzt gehen, sie können in beiden Ländern in die Apotheke gehen und die Arztrechnungen dann zuhause über Webservices bezahlen.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/8d/e0/8de00bb0c72231bc51fe6baa095aaf82/0128995925v1.jpeg "Von der Ressourcenzuteilung bis zur Finanzverwaltung gestalten KI-Agenten die Zukunft der Unternehmensplanung und optimieren die Zusammenarbeit zwischen Mensch und Maschine. (Bild: © Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/a4/06a42876449bba06fb5efa3ecb9e189a/0129144465v1.jpeg "Sage Copilot liefert Hinweise und Warnungen direkt in den Arbeitsabläufen der Anwender. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/17/40/1740df3260ea9ff0e7e9c8ad4b2b3011/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bc/a5/bca56318391b40b360df5794c34cd81b/0129324079v1.jpeg "Industrial AI Cloud: Eröffnung der Hochleistungs-KI-Infrastruktur der Deutschen Telekom in München mit massiv skalierbaren Rechen- und Speicherressourcen speziell für das Training und den Betrieb großer KI-Modelle. (Bild: Deutsche Telekom AG / Cindy Albrecht / Robert Dieth)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/dc/c5dc5a70b3b30c72d140b96c300743b7/0129090945v1.jpeg "Nur wenige Unternehmen schaffen den Sprung vom GenAI-Pilotprojekt zum produktiven Einsatz. Entscheidend ist nicht das Modell, sondern eine orchestrierte Architektur. (Bild: © Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/53/2a/532aaac7207059da100fd426da6b7cf2/0125141458v2.jpeg "Souveräne Clouds erfüllen höchste Anforderungen an Datensicherheit, -schutz und -kontrolle. (Bild: © BritCats Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/bb/09bb9a9b3944468168ed2fa19b9423bb/0126693787v1.jpeg "Mit der Erweiterung der Sovereign-Cloud-Initiative untermauert Microsoft sein langfristiges Engagement für regulatorenkonforme Infrastrukturen, eingebettet in einen kontinuierlichen Dialog mit politischen Entscheidungsträgern und Behörden. (Bild: © ParinApril - stock.adobe.com)")