Der Burton Group Analyst Richard Watson weist in seinem Blog auf die - berechtigten - Bedenken seiner europäischen Kunden und Gesprächspartner in Bezug auf Datenschutz beim Cloud Computing bzw. SaaS-Angeboten hin.

Die Bedenken richten sich zum einen auf die Frage der Datensicherheit in externen Clouds überhaupt, aber auch auf die Frage der Einhaltung von EU-Richtlinien, die eine Speicherung von Daten in "Drittländern" untersagen. Doch vor allem steht die Frage im Raum, inwieweit lokale Regelungen die im Rechtsraum des Providers gelten, hier besonders der US Patriot Act, eine Problem darstellen und ggf. die Safe Harbor Vereinbarungen zwischen der EU und den USA gefährden.

Die EU hat dazu ein FAQ veröffentlicht und benennt darin als sicher anzusehende Drittländer.

The EU confirmation does indeed clarify which "third countries" have adequate standards to comply with the EU Data Protection Act, thus opening the door for EU data to be stored in (you won't need two hands to count them) the US (with Safe Harbor), Switzerland, Canada, Argentina, Jersey, Guernsey and the Isle of Man. US companies that have signed safe harbor agreements (including Amazon, Google, Microsoft, and IBM) are bound to comply with European data protection standards, but the relative prioritization with the Patriot Act has never been explicitly tested in court. Therein lies the problem. Could you risk your customers' data as the test case?

Letzteres ist zu beachten, denn wenn der "Test Case" eingetreten ist, sind die Kundendaten wohl schon nicht mehr sicher - und das Kind in den Brunnen gefallen. Watson weißt zur Safe Harbor Problematik auf eine Studie von Galexia hin, die den aktuellen Stand betrachtet.

Die Frage seiner Gesprächspartner nach der Datensicherheit hinsichtlich Industriespionage -

"strategic US business interests" might also be prioritized over Safe Harbor agreements.

- scheint Watson als nicht wirklich relevant zu betrachten und weißt darauf hin, dass allgemeine Risiko-Abschätzungen bezüglich zufälliger Datenlecks durch Unvorsichtigkeit auf Seiten des Providers oder der Angestellten, wichtiger scheinen.

Doch zweimal Hinschauen sollten die Europäer vor allem auch wegen des Cybersecurity Act 2009.

The Cybersecurity Act of 2009 recently introduced in the US Senate gives European consumers more reasons to think twice before jumping into (especially private) cloud agreements with US based providers. The measures in the Cybersecurity Act are at the same time potentially wide-reaching and vague, but include giving the US President a lot of power over the security of the Internet.

Watsons abschließender Rat ist, sich trotz der EU-Empfehlungen und dem Cloud-Hype von Seiten der Hersteller und Analysten, sich die Wolken über den Ländern mit denen Unternehmen ihre Projekte realisieren wollen genau anzuschauen.

Datensicherheit im eigenen Rechenzentrum ist schon eine große Herausforderung, doch in der Wolke, die keineswegs grenzenlos ist, sind noch weit mehr Aspekte zu bedenken.