T-Systems als Datentreuhänder

Microsoft baut deutsche Cloud-Infrastruktur

12.11.2015 von Martin Bayer
Microsoft will ab der zweiten Hälfte 2016 seine Cloud-Dienste auch aus deutschen Rechenzentren anbieten. Strategischer Partner wird dafür die Deutsche Telekom mit ihrer Tochter T-Systems sein. Diese sollen als Betreiber der Rechenzentren wie auch als Datentreuhänder agieren, um den Kunden den Cloud-Betrieb gemäß deutschen Datenschutzregeln zu garantieren.

"Die neuen Cloud-Dienste treiben lokale Innovationen und Wachstum voran und bieten Kunden mehr Flexibilität und Wahlmöglichkeiten", sagte Microsoft-CEO Satya Nadella anlässlich der Vorstellung der künftigen Cloud-Strategie in Deutschland. Nadella sprach von einer wichtigen Woche für den US-Konzern. Nach dem Ausbau der Rechenzentrumsinfrastruktur in Großbritannien und den Niederlanden, kündigte das Unternehmen auch für Deutschland ein neues Cloud-Angebot an.

Ab dem zweiten Halbjahr 2016 sollen Microsofts Cloud-Dienste Azure, Office 365 und Dynamics CRM online aus deutschen Rechenzentren heraus angeboten werden. Betrieben werden die Anlagen in Frankfurt am Main und Magdeburg von der Deutschen Telekom und ihrer Tochter T-Systems. Der deutsche Partner fungiert darüber hinaus als Datentreuhänder, überwacht und kontrolliert somit den Zugang zu den Kundendaten.

"Das ist ein bedeutender Schritt für Deutschland auf dem Weg in eine zunehmend datengetriebene Wirtschaft und Welt", erklärte Nadella und verwies im gleichen Atemzug auf die eigene Cloud-Infrastruktur, die Microsoft in den vergangenen Jahren massiv ausgebaut habe. Mittlerweile würden mehr als 100 Rechenzentren in über 40 Ländern betrieben. Das Partnerschaftskonstrukt mit der Deutschen Telekom als Betreiber und Datentreuhänder bezeichnete der Microsoft-Chef als einzigartig in der Architektur und im Zugriff.

Tatsächlich unterscheidet sich der Ansatz Microsofts, einen Datentreuhänder einzusetzen, von dem anderer ausländischer Cloud-Provider in Deutschland. Anbieter wie Amazon Web Services (AWS), IBM, Oracle und VMware haben in den zurückliegenden Monaten zwar auch Rechenzentren hierzulande eröffnet, gerade auch im Hinblick auf die Datenschutzbedenken der Anwender. Als Betreiber dieser Cloud-Infrastrukturen fungieren jedoch die US-Konzerne respektive ihre deutschen Tochterunternehmen.

Reinhard Clemens, Chef von T-Systems, spricht davon, stolz zu sein, dass Microsoft sein Unternehmen ausgewählt habe. Wir haben jetzt eine deutsche Cloud und werden damit alle Kundenanforderungen erfüllen, verspricht der Manager. Clemens verweist auf die eigene Rechenzentrums- und Security-Kompetenz und betont: "Der Schutz der Kundendaten ist elementar."

Treuhänder soll Kundendaten absichern

Die deutsche Cloud Microsofts wird ab dem zweiten Halbjahr 2016 starten und dann stufenweise ausgebaut, erläutert Günther Igl, bei Microsoft verantwortlich für das Thema Cloud-Transformation. Der Datentreuhänder werde dabei sämtliche Zugänge zu den Kundendaten absichern und auch dafür sorgen, dass beispielsweise Microsoft auf keine Kundendaten zugreifen könne. "Es gibt einen Vertrag zwischen Microsoft und dem Datentreuhänder, einerseits über den Betrieb der Rechenzentren, wie auch über den Schutz der Kundendaten", sagt Igl. Dieser Datentreuhänder stehe zudem auch mit den Cloud-Kunden in einer vertraglichen Beziehung.

Igl beschreibt ein Beispiel: Ordert ein Unternehmen 100 Nutzer für den Office-365-Dienst, gibt es nach wie vor einen Vertrag mit Microsoft über die Lizenzierung und das Bereitstellen der Cloud-Dienste. Aber, so Igl weiter: "Der Datentreuhänder fungiert als Auftragsdatenverarbeiter im Sinne der deutschen Datenschutzgesetze, und ist damit auch vertraglich direkt mit den jeweiligen Kunden verbunden." Es gibt eine Anlage in den jeweiligen Kundenverträgen, die diese Verbindung zwischen Kunde und Datentreuhänder herstellt.

So funktioniert die Microsoft-Cloud in Deutschland.
Foto: Microsoft

Der Kunde erhalte damit die vertragliche Zusicherung, dass seine Daten in Deutschland liegen und bleiben, versichert Microsoft-Mann Igl. Das gelte für den Speicher und die Netzwerkstrecken. "Und dass es einen Datentreuhänder gibt, der für ihn die Kontrolle und Absicherung der Daten übernimmt." Die Kunden erhielten darüber hinaus die gleichen Service Level Agreements, die schon heute in der europäischen Cloud gelten. "Diese werden nicht schlechter oder besser sein als das, was wir aus Amsterdam oder Dublin beziehungsweise den USA oder Singapur anbieten."

Auch die Funktionspalette von IaaS über PaaS bis hin zu SaaS bleibe die Gleiche, versichert Igl. Allerdings werde Microsoft nicht von Tag eins an sämtliche Dienste mit den daran hängenden Unterdiensten anbieten. "Wir planen beispielsweise, dass wir bei Azure mit den Infrastrukturdiensten starten, das heißt virtuelle Maschinen, Speicherplatz, Active Directory." Die weiteren Dienste sollen nach und nach eingehängt werden. Wichtig sei darüber hinaus, dass Microsoft weiterhin auch die europäische Cloud anbieten werde, betont der Manager. Jeder Kunde habe die Wahlfreiheit, welche Cloud er nutzen möchte.

Mit dem neuen Angebot aus Deutschland heraus "öffnet sich quasi eine weitere Tür". Igl geht davon aus, dass diese Tür aus Sicht der Kunden sehr relevant sein wird. Für viele Unternehmen, nicht nur aus datensensitiven Bereichen wie dem öffentlichen Dienst oder dem Gesundheitswesen, würden damit viele Bedenken hinsichtlich der Cloud-Nutzung ausgeräumt. Wie sich diese Erwartungen in zusätzlichen Cloud-Umsätzen auszahlen werden, will Igl nicht näher konkretisieren.

Cloud-Bedenken ausgeräumt?

Mit dem neuen Cloud-Angebot adressiert Microsoft die aktuellen Bedenken der Anwender. Zu den Hauptanforderungen der deutschen Unternehmen an Cloud-Anbieter zählt an erster Stelle, dass die entsprechenden Rechenzentren ausschließlich in Deutschland betrieben werden. Das sagten vor einigen Monaten 83 Prozent der über 400 vom Bitkom und KPMG für den Cloud-Monitor 2015 (PDF-Link) befragten Unternehmen. Außerdem verlangen vier von fünf Unternehmen, dass der Cloud-Anbieter seinen Hauptsitz in Deutschland hat. Diese Forderung hofft Microsoft offenbar durch die Installation des Datentreuhänders zu erfüllen.

Cloud-Readiness-Studie 2015
Deutsche Unternehmen sind startklar für die Cloud
Grundsätzlich sind deutsche Unternehmen gut vorbereitet für den Einsatz von CloudServices. Das hat die Studie "Cloud Readiness 2015" von COMPUTERWOCHE, CIO und TecChannel ergeben. Die Befragung von fast 700 Entscheidern hat aber auch gezeigt, dass es an einigen Stellen noch Defizite gibt.
Minderheit mit Cloud-Readiness-Check
Haben Sie Ihr Unternehmen einem Cloud-Readiness-Check unterzogen?
Einstufung Cloud Readiness
Bitte stufen Sie Ihr Unternehmen in Sachen „Cloud Readiness“ ein!
Ausstiegsszenarien
Haben Sie in Ihrem Unternehmen geklärt, wie IT-Verfahren und die zugehörigen Daten wieder aus der Cloud geholt werden können?
Hindernisse
Was sind in Ihrem Unternehmen die größten Hindernisse für die Nutzung von Cloud-Services?
Cloud-Readiness-Studie 2015
Den ausführlichen Berichtsband zur Studie mit allen Ergebnissen und Daten können Sie über unseren Shop beziehen:

Microsoft muss offensichtlich stärker auf lokale Anforderungen und die Bedürfnisse der Kunden Rücksicht nehmen, um sein Cloud-Geschäft zu pushen. Das gilt nicht nur für Europa und Deutschland, sondern auch in anderen Teilen der Welt. Beispielsweise will das kanadische Unternehmen Taser, das Strafverfolgungsbehörden eine Online-Plattform für den Datenaustausch zur Verfügung stellt, von Amazon Web Services (AWS) in die Microsoft-Cloud wechseln.

Beide Cloud-Anbieter hätten zwar vergleichbare Lösungen am Start, würden sich aber in entscheidenden Punkten unterscheiden, hieß es in diesem Zusammenhang. Ein wesentlicher Grund für die Entscheidung, künftig Azure zu nutzen, sei die Tatsache gewesen, dass Microsoft Rechenzentren in Kanada betreibe, sagte Taser-Manager Marcus Womack. Gerade für Unternehmen und Behörden, die besonders auf die Einhaltung von Datenschutzbestimmungen und -regeln zu achten hätten, sei dies ein wichtiger Aspekt.

Unter Experten findet Microsofts neuer Cloud-Ansatz für den deutschen Markt durchaus positive Resonanz. "Microsofts Datentreuhändermodell (vergleichbar mit der Variante für den chinesischen Markt) ist in seiner Form einzigartig und zeigt die Weitsicht, mit der sich die Microsoft Führungsebene und Rechtsabteilung mit der Herausforderung des deutschen Cloud-Marktes auseinandergesetzt hat", sagt René Büst von Crisp Research.

Auf Grund des Rechtsmodells müssten Kunden zwar etwaige technische Abstriche machen. Wer allerdings wegen der unsicheren Rechtslage bisweilen auf die Nutzung von Public Cloud-Services verzichtet habe, dem stehe nun eine Lösung zur Verfügung. "Mit dieser Konstellation hat prinzipiell nun kein deutscher IT-Entscheider noch Argumente in der Hand, sich gegen die Nutzung von Cloud-Lösungen á la Microsoft zu entscheiden. Das wird auch auf den Führungsetagen deutscher Unternehmen ankommen, die den Druck auf ihre IT-Abteilungen damit erhöhen dürften."

Schild gegen Zugriff der US-Behörden

Microsoft verspricht mit der "deutschen Cloud" und der neuen Institution eines "Datentreuhänders" Abhilfe gegen den Zugriff von US-Behörden, erläutert Michael Rath, Fachanwalt für IT-Recht und Partner bei der Luther Rechtsanwaltsgesellschaft mbH in Köln. Das Novum aus Sicht des Rechtsexperten: "Es wird nicht nur Rechenzentren geben, die durch einen deutschen Provider betrieben werden, sondern auch einen deutschen "Datentreuhänder". Dieser Datentreuhänder verwaltet die Daten der Kunden und wird sämtliche Zugänge zu den Kundendaten absichern, und zwar auch gegenüber Microsoft.

So soll sichergestellt werden, dass beispielsweise auch Microsoft selbst nicht auf die Kundendaten zugreifen kann. Allein der Datentreuhänder und die Kunden hätten danach den physikalischen und logischen Zugriff auf die Daten. Wenn aber diese faktische Zugriffsmöglichkeit für den US-Provider Microsoft nicht besteht, greifen gegenüber Microsoft auch die Eingriffsbefugnisse nach dem Patriot Act oder die Herausgabeansprüche bei einer E-Discovery nach Rule 26 FRCP (Federal Rules of Civil Procedure) ins Leere.

Cloud Readiness Roundtable 2015
Cloud Readiness Roundtable 2015
COMPUTERWOCHE und TECCHANNEL luden führende Cloud-Anbieter zum Roundtable "Cloud Readiness 2015", um die Ergebnisse der gleichnamigen Studie zu diskutieren und in die Cloud- und Digitalisierungs-Zukunft zu schauen. Lesen Sie die Kernaussagen der Teilnehmer.
Peter Arbitter, Director Cloud & Enterprise bei Microsoft
"Ich glaube, dass die IT längst abgehängt worden ist. Während sie immer noch oft in der Verteidigungsdiskussion feststeckt, warum etwas nicht geht, sind die Fachbereiche schon viel weiter und machen einfach."
Esther Donatz, Director Cloud Services CEMEA bei VMware
"Neue Business-Modelle nehmen jetzt Fahrt auf. Der große Unterschied zu früher ist aber, dass das auch ohne die IT-Abteilung geschehen kann und oft auch geschieht."
Mirza Hayit, Geschäftsführer von Haufe-Lexware
"Um den hohen Ansprüchen der Absolventen an ihren künftigen Arbeitsplatz gerecht zu werden und die Strahlkraft der Marke, für die sie tätig sein wollen, aufrecht zu erhalten, müssen wir uns mächtig strecken. Wir bilden unsere Mitarbeiter deshalb so gut wir können weiter."
Carl Mühlner, Geschäftsführer von Damovo
"Ich vermisse den Mut, die theoretischen Gespräche über Cloud-Strategien und Digitalisierungsmodelle in konkrete Maßnahmen umzusetzen. Dazu müssen auch bewährte Geschäftsmodelle hinterfragt werden.“
Kurt Rindle, Cloud Evangelist and Portfolio Leader DACH bei IBM
"Ein Unternehmen braucht keine Cloud-Strategie. Die IT-Abteilung braucht eine Cloud-Strategie. Ein Unternehmen braucht die Cloud, um Transformation zu ermöglichen.“
Elke Steinegger, Senior Director PreSales bei EMC
"Die IT-Abteilungen merken gar nicht mehr, wenn sie herausgefordert werden. Es werden parallel überall im Unternehmen eigene Cloud-Bereiche eröffnet, ohne dass die IT involviert wäre."
Sind Sie Cloud-ready? Holen Sie sich jetzt unsere Studie!
Damit auch Sie so zufrieden sind wie CW-Chefredateur Heinrich Vaske während der Moderation des Roundtables, können Sie die Studie "Cloud Readiness 2015" ab sofort in unserem Studienshop bestellen.

Dies funktioniert aus Sicht von Rath aber nur, wenn der Datentreuhänder wirklich "neutral" ist und keinerlei (gesellschaftsrechtliche oder vertragliche) Verbindungen zu Microsoft hat, über die letztlich doch ein etwaiger Herausgabeanspruch der Behörden oder des Gerichtes durchgesetzt werden könnte. Zugleich steht der Datentreuhänder auch mit dem (deutschen) Kunden in einer vertraglichen Beziehung und auch in diesem Rechtsverhältnis sind die Befugnisse zur Herausgabe der Daten streng limitiert.

Der Datentreuhänder fungiert dabei als Auftragsdatenverarbeiter im Sinne der deutschen Datenschutzgesetze. Technisch wird diese Lokalisierung der Daten dadurch erreicht, dass die Kundendaten nur in Deutschland vorhanden sind, und nicht etwa (im Rahmen eines Back-Ups) in ein anderes Land gespiegelt werden.

Die Anwälte von Microsoft und T-Systems hätten aus deren Sicht ein Modell geschaffen, das die Begehrlichkeiten von US-Behörden hinsichtlich der Daten deutscher Kunden abwehren soll, sagt Forrester Analyst Paul Miller. Ob das funktioniert, bleibe jedoch abzuwarten, bis die ersten realen juristischen Herausforderungen auftauchten, "die erste Klage, die erste Berufung". Für einen wirklich funktionierenden europäischen beziehungsweise globalen digitalen Markt brauche es dagegen einen entsprechend harmonisierten gesetzlichen Rahmen. "Bis dahin ist es aber noch ein weiter Weg."