Google Cloud und das Bundesamt für Sicherheit in der Informationstechnik (BSI): In einer Zeit, in der digitale Souveränität in Deutschland und Europa immer mehr an Bedeutung gewinnt, könnte die am 06. März 2025 verkündete Koopertation zwischen Google Cloud und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den ersten Blick als Fortschritt erscheinen. Doch wie sicher sind die Daten wirklich? Und ist eine Zusammenarbeit mit einem US-Tech-Riesen der richtige Weg für eine souveräne europäische IT-Infrastruktur?
Google Cloud verweist in seinem Blogartikel vom 06.03.2025 auf die Einhaltung der Datenschutz-Grundverordnung (DSGVO). Doch trotz aller Compliance-Maßnahmen bleibt die Kernfrage bestehen: Kann ein Unternehmen, das dem US-amerikanischen Cloud Act unterliegt, tatsächlich ein vertrauenswürdiger Partner für europäische Behörden sein?
Der Cloud Act ermöglicht es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden, selbst wenn diese sich auf Servern in Europa befinden. Dies steht in direktem Widerspruch zur Idee der europäischen Datensouveränität. Trotz technischer Sicherheitsvorkehrungen bleibt die Gefahr, dass sensible Behördendaten auf Umwegen in die Hände von US-Behörden gelangen.
Datenschutzbedenken in Deutschland und Europa
Die Datenschutzbestimmungen in Deutschland und Europa sind streng und werden durch die Datenschutz-Grundverordnung (DSGVO) geschützt, die klare Vorgaben für den Umgang mit personenbezogenen Daten macht. Wenn Google Cloud in Deutschland oder Europa genutzt wird, müssen sowohl Google als auch die Unternehmen, die Cloud-Dienste in Anspruch nehmen, sicherstellen, dass alle DSGVO-Vorgaben eingehalten werden.
Ein zentraler Punkt, der oft problematisch sein kann, ist die Datenverlagerung. Bei Google Cloud und anderen großen Cloud-Diensten stellt sich die Frage, wo genau die Daten gespeichert werden. Wenn Daten außerhalb der EU gespeichert oder verarbeitet werden (insbesondere in den USA), können zusätzliche Herausforderungen in Bezug auf den Zugang von US-Behörden und den Schutz der Privatsphäre auftreten. Auch wenn Google behauptet, Sicherheitsmaßnahmen wie Verschlüsselung und Zugangskontrollen zu implementieren, bleibt die Frage, wie sicher die Daten im globalen Netzwerk des Unternehmens sind und ob die DSGVO-Vorgaben wirklich vollständig umgesetzt werden können.
Zusammenarbeit mit dem BSI und Vertrauen in den Cloud-Anbieter
Die Zusammenarbeit mit dem BSI soll sicherstellen, dass Cloud-Dienste in öffentlichen Sektoren in Deutschland bestimmten Sicherheitsstandards entsprechen. Das BSI stellt sicher, dass die technischen und organisatorischen Sicherheitsmaßnahmen des Cloud-Anbieters den Anforderungen der deutschen Sicherheitsvorschriften entsprechen. Dies bietet eine gewisse Beruhigung für deutsche Behörden und Institutionen, aber es bleibt die Frage, wie unabhängig und transparent die Prüfungen und Zertifizierungen tatsächlich sind.
In der Vergangenheit gab es immer wieder Bedenken, ob Cloud-Anbieter wie Google in der Lage sind, vollständig transparent zu machen, wie ihre Sicherheitsarchitektur funktioniert und wie Daten konkret verarbeitet werden. Es gibt auch Diskussionen darüber, ob das Vertrauen in Cloud-Anbieter ausreichend gegeben ist, wenn die Daten von Dritten (z. B. Google) verarbeitet werden und ob die Kontrolle über diese Daten wirklich im Einklang mit den europäischen Datenschutzbestimmungen steht.
Sicherheitsaspekte: Verschlüsselung und Datenzugriff
Google betont die Verschlüsselung von Daten sowohl im Ruhezustand als auch während der Übertragung. Doch reicht das aus? Sicherheit ist nicht nur eine Frage der Verschlüsselung, sondern auch der Kontrolle über die Infrastruktur. Die Abhängigkeit von proprietären Lösungen birgt das Risiko einer langfristigen Bindung an einen Anbieter (Vendor Lock-in), was die digitale Souveränität Deutschlands und Europas weiter gefährden könnte.
Im Hinblick auf die DSGVO und die Verantwortung der Datenverantwortlichen (also der Organisationen, die die Daten an Google übermitteln), stellt sich die Frage, inwiefern die End-to-End-Verschlüsselung tatsächlich von den Unternehmen selbst kontrolliert werden kann. Daten, die Google oder anderen Cloud-Dienstleistern anvertraut werden, können theoretisch immer noch von Mitarbeitern des Anbieters oder durch Hackerangriffe kompromittiert werden.
Ein weiteres Problem ist der Zugriffsmechanismus. Wenn Google als Cloud-Anbieter von EU-Daten Zugriff auf die Daten hat, müssen klare, strenge Regeln für den Zugang durch Dritte gelten. Auch wenn Google sicherstellt, dass Daten verschlüsselt sind, könnte die Möglichkeit bestehen, dass Behörden in den USA oder anderen Ländern über rechtliche Anfragen auf diese Daten zugreifen, ohne dass der europäische Datenschutz gewährleistet ist.
Die Herausforderung der Drittanbieter und Sub-Dienstleister
Ein weiteres kritisches Element im Zusammenhang mit Google Cloud ist die Nutzung von Drittanbietern und Sub-Dienstleistern. Wenn Google die Dienste von externen Unternehmen in der Datenverarbeitung einsetzt (z.B. für Wartung oder Unterstützung), müssen diese Drittanbieter ebenfalls den DSGVO-Vorgaben entsprechen. Oft ist es für Unternehmen schwierig nachzuvollziehen, wer tatsächlich Zugriff auf die Daten hat, insbesondere wenn es sich um internationale Drittanbieter handelt.
Es bleibt die Frage, wie gut Google diese Drittfirmen überprüft und wie transparent die gesamten Lieferketten der Datenverarbeitung sind. In Europa erwarten die Behörden und Kunden eine klare Rechenschaftspflicht und die Möglichkeit, genau zu wissen, wer Zugriff auf ihre Daten hat.
Europas Streben nach Unabhängigkeit
In den letzten Jahren hat die EU mehrfach betont, sich unabhängiger von US-Cloud-Anbietern machen zu wollen. Initiativen wie Gaia-X oder europäische Cloud-Projekte von Anbietern wie OVHcloud und T-Systems zeigen den Willen, Alternativen zu schaffen. Doch mit einer Kooperation wie der zwischen dem BSI und Google Cloud stellt sich die Frage, ob diese Bemühungen nicht konterkariert werden.
Ein Schritt in die falsche Richtung?
Die Zusammenarbeit zwischen Google Cloud und dem BSI mag auf den ersten Blick eine Lösung für sichere Cloud-Dienste sein, doch langfristig stellt sie ein Risiko für die digitale Souveränität Deutschlands dar. Solange US-Gesetze wie der Cloud Act existieren und keine vollständige Kontrolle über die Infrastruktur besteht, bleibt ein gewisses Misstrauen bestehen. Statt auf Big-Tech-Abhängigkeiten zu setzen, sollte Europa eigene, sichere und unabhängige Cloud-Lösungen weiterfördern – im Sinne der Datensicherheit und der digitalen Eigenständigkeit.
Cyber-News
Abonniere jetzt unsere Cyber-News! Erhalte wertvolle Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, den neuesten Betrugsmaschen, Phishing-Methoden und Social-Engineering. Ganz gleich ob du Anfänger oder Fortgeschrittener bist, werde Teil unserer Community und erhalte alle 4 Wochen wertvolle Insights, um deine IT-Sicherheit zu verbessern!
Hat dir dieser Beitrag gefallen?
Ähnliche Beiträge
