Tobias Gerlinger ist Chef des nach der freien Software für das Speichern und den Austausch von Daten in der privaten Cloud benannten Nürnberger IT-Mittelständlers ownCloud.
WirtschaftsWoche: Herr Gerlinger, haben Sie eine Erklärung dafür, dass Privatunternehmen und Behörden noch immer im großen Stil bei US-Konzernen ordern, obwohl sich Europa aus der Abhängigkeit befreien soll?
Tobias Gerlinger: Das ist eine interessante Frage, die wir uns quasi tagtäglich stellen. Es ist noch mehr verbreitet in der öffentlichen Verwaltung als in den Konzernen.
Warum ärgert Sie das?
Die öffentliche Verwaltung sollte mit gutem Beispiel voran gehen. Die Anwendungen, mit denen wir heute den Büro-Alltag bestreiten, kamen zuerst aus den USA. Das hat natürlich einen Effekt: Sie sind jetzt seit zehn Jahren im Einsatz, und wenn neu ausgeschrieben oder neu bestellt wird, macht man sich nicht die Mühe, nach einer neuen, vielleicht besseren oder eben Datenschutz-konformen Lösung zu suchen.
Ist es bequemer, auf Bestehendes zu vertrauen?
Absolut.
Was würde es bedeuten, wenn man umstellen würde? Wäre das so einfach wie der Wechsel des Stromanbieters?
Sie müssen ein bisschen mehr tun. Sie müssen normalerweise Daten migrieren, also Daten von der einen Anwendung in die andere umziehen. Aber viele Anbieter bieten so einen Migrations-Service mit an. Teilweise auch kostenlos, um neue Kunden zu gewinnen. Der Aufwand hängt sehr stark von den Anwendungen ab. In manchen Bereichen ist es überhaupt kein Problem. In anderen Bereichen ist es vielleicht ein größeres Thema. Aber insgesamt ist das kein Grund, sich gar nicht nach anderen Lösungen umzusehen.
Wie viele Tage, Wochen oder Monate wäre man damit beschäftigt?
Das kann man so pauschal nicht sagen.
Können Sie ein Beispiel nennen?
ownCloud ist eine Datei-Ablage und -Austausch-Plattform, vergleichbar mit OneDrive von Microsoft. Bei OneDrive liegen Ihre Dateien bei Microsoft im Rechenzentrum, sprich: in der Microsoft-Cloud. Sie wissen in der Regel auch gar nicht, wo auf der Welt sie liegen. Bei uns, bei ownCloud, liegen die Daten dort, wo Sie ownCloud installieren. Also entweder in Ihrem eigenen Rechenzentrum oder in der privaten Cloud, die Sie beispielsweise in Amazon Web Services betreiben können. In einer beliebigen gehosteten Infrastruktur. Das ist dann aber immer noch Ihre private Cloud. Darauf hat niemand anderes Zugriff.
Wenn ich meine Daten bei Amazon habe, dann ist das doch auch ein US-amerikanischer Cloud-Anbieter...
Das ist absolut richtig. Aber unsere Anwendung ist keine Amazon-Anwendung. Wenn Sie als Firma kein eigenes Rechenzentrum haben, dann können Sie die Infrastruktur – sprich: die Rechnerkapazität und die Speicherkapazität – mieten, zum Beispiel bei Amazon.
Das würden Sie nicht als Problem bewerten?
Nein, das ist kein Problem, weil Amazon darauf nicht zugreifen kann und darf. Wir haben eine eigene gekapselte Anwendung, die läuft einfach nur auf der Infrastruktur von beispielsweise Amazon.
Also ich miete mir nur den Schrank von Amazon, die Fächer und die Kleiderbügel sind von Ihnen.
Genau, wir schieben die da rein. Amazon hat mit den Inhalt nichts zu tun. Das macht einen Riesen-Unterschied. Das eine nennt man Public Cloud, und da sind eben die amerikanischen Public Cloud tatsächlich ein Riesen-Problem, wegen des Cloud-Act usw.
… das US-Gesetz, das den Behörden dort Zugriff auf im Internet gespeicherte Daten erlaubt.
Genau. Das Gesetz steht im Widerspruch zur europäischen Datenschutzgrundverordnung. Das andere nennt man Private Cloud. Darauf hat niemand Zugriff. In dem Fall sieht es mit der Migration so aus, dass wir einen Connector haben zu OneDrive. Das heißt, Sie können die Anwendung parallel nutzen und quasi on the Fly, im Betrieb, können Sie die Dateien nahtlos in die OwnCloud verschieben. Sie können auch die Dateien klassifizieren – also bestimmten Dateien die Klassifizierung „streng vertraulich“ geben. Alles, was streng vertraulich ist, wird automatisch in die OwnCloud verschoben. Wenn das passiert ist – das kann je nach Datenmenge über Nacht sein oder auch mal eine Woche dauern –, dann schalten sie OneDrive ab oder nutzen beide Dateianlagen parallel. Da ist das überhaupt kein Problem.
Braucht man dazu speziell einen Informatiker, oder würden Sie das alles im Hintergrund erledigen?
Die Einrichtung ist vergleichsweise einfach, und wir bieten das auch als Service an.
Also ein Mittelständler oder eine kleinere Behörde, die solche Spezialisten gar nicht im Haus haben, müssten sich deshalb nicht sorgen?
Nein. Wir bieten auch einen so genannten Managed Service an. Also wir betreiben die ownCloud für den Kunden in seiner Infrastruktur oder der Infrastruktur seiner Wahl. Das Ganze hat noch einen positiven Nebeneffekt: Sie müssen nicht entweder oder machen, also entweder OneDrive oder ownCloud. Sie können auch beides parallel betreiben. Was den Effekt hat, dass Sie zum Beispiel unsensible Daten, Daten ohne Personen-bezogene Informationen, weiterhin in OneDrive lagern können. Alles, was sensibel oder kritisch ist, das können Sie in der ownCloud verwalten. Für den Endnutzer macht es keinen Unterschied, wo die Daten liegen.
Was hätte ich denn als Endnutzer für ein Interesse daran, zwei verschiedene Anbieter zu haben?
Sie vermeiden Datenschutzverstöße und den sogenannten Lock-in Effekt. Das heißt, Sie bekommen Ihre Daten irgendwann nicht mehr zu vertretbaren Kosten raus und sind gefangen. Beides kann teuer werden!
Warum setzen dennoch so viele Anwender gerade auf Microsoft?
Microsoft hat das schlau gemacht: In ihrem Office365-Paket ist OneDrive mit drin, das kostet nichts extra. Und das kann man auch nicht rausschneiden. Sie können kein Office365 ohne OneDrive günstiger kaufen. Es ist schon bezahlt. Und Office365 ist der Industrie-Standard. Das heißt, Office365 ist in jeder Firma drin, in öffentlichen Verwaltungen leider auch. Da ist es natürlich für das Management sehr verführerisch zu sagen, wir gucken nicht so genau hin, das ist ja schon bezahlt.
Macht sich Microsoft Ihrer Meinung nach zum Handlanger der US-Behörden?
Microsoft ist nicht das Problem, sondern die amerikanischen Überwachungs-Gesetze, denen Microsoft und Co. unterliegen! Ich denke, Microsoft würde viel mehr für den Datenschutz tun, wenn sie nicht qua Gesetz zur Herausgabe von Kundendaten an die Regierung gezwungen würden.
Sind wir da in Deutschland oder Europa insgesamt unbedarft?
Auf jeden Fall. Man sieht es ja jetzt nach dem Urteil zum Privacy Shield.
„Gaia-X hat ein Glaubwürdigkeitsproblem“
Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Der Europäische Gerichtshof hat sie für nichtig erklärt.
Genau. Haben Sie da irgendwelche Auswirkungen gesehen? Ich nicht.
Ist das Datenschutz-Problem vielleicht nicht ganz so groß wie mancherorts beschrieben, oder ist es den Leuten egal? Sonst müssten die Leute ja schon längst alle bei Ihnen Schlange stehen.
Das Problem ist groß, denn sowohl der Staat als auch Unternehmen machen sich erpressbar. Und wie soll ein Staat souverän agieren, wenn seine geheimen Dokumente für Dritte einsehbar sind? Aber jeder schaut so ein bisschen auf den anderen und wartet, dass der andere sich bewegt. Ein Riesen-Problem ist natürlich, dass unseren Datenschützern keiner zuhört. Die Hinweise der Datenschützer werden ignoriert.
Die Aussage dürfte aktuell all diejenigen erstaunen, die bedauern, dass die Corona-App auf Grund der Einwände von Datenschützern weniger leistet, als sie könnte. Ist man bei Unternehmen und Behörden kulanter?
Das ist total ambivalent. Bei der Corona-App ist man definitiv über das Ziel hinaus geschossen. Wir tun so, als wären wir die größten Datenschützer der Welt. Das Gegenteil ist der Fall. Nur ein Beispiel: Sie können sich vielleicht an den großen Aufschrei beim Thema Bodycams bei der Bundespolizei erinnern.
Sie meinen die Videokameras zur Dokumentation des Einsatzgeschehens?
Da hat die Bundespolizei Bodycams von Motorola angeschafft, im großen Stil, und diese Geräte speichern Aufnahmen in der Public Cloud von Amazon. Auf die die amerikanische Regierung tatsächlich auch über den Cloud Act Zugriff hat. Es gab einen Riesen-Aufschrei. Passiert ist nichts. Meines Wissens nach wird es weiter genutzt. Der Witz ist, die amerikanische Polizei nutzt die gleichen Geräte von Motorola, aber dort werden die Aufnahmen in einer extra abgesicherten Regierungs-Cloud von Amazon gespeichert.
Erwarten Sie, dass das von Bundeswirtschaftsminister Peter Altmaier initiierte Netzwerk Gaia-X Abhilfe schafft?
Herr Altmaier stellt sich hin und predigt sein Gaia-X, aber trotzdem geht die Regierung hin und beschafft Microsoft-Anwendungen im großen Stil. Die Ausgaben für Microsoft-Cloud-Anwendungen steigen seit Jahren. Das ist doch total widersprüchlich.
Herrn Altmaier nimmt auch keiner Ernst?
Sein Projekt Gaia-X hat ein Glaubwürdigkeitsproblem, wenn Behörden auf Bundes- und Landesebene hingehen und Microsoft-Cloud-Anwendungen kaufen. Und das, obwohl in der „Strategischen Marktanalyse zur Reduzierung von Abhängigkeiten von Software-Anbietern“ des CIO des Bundes aus 2019 genau dieses bereits als Problem identifiziert wurde.
Ist das ein deutsches Phänomen?
Mitnichten. Noch ein Beispiel: Wir sprechen seit langem mit der Europäischen Kommission über das Thema sichere beziehungsweise digital souveräne Dateiablage. Das Projekt sah schon einmal so aus, als würde es in die Beschaffungsphase gehen. Zwischenzeitlich wurde aber Office365 eingeführt, und plötzlich ist aus unserem Projekt, vorsichtig formuliert, der Drive raus. Auch das ist völlig absurd. Die Europäische Kommission legt ihre Dateien in einer Public Microsoft-Cloud ab, worauf die amerikanische Regierung über den Cloud Act jederzeit Zugriff hat. Wir haben die Hoffnung noch nicht aufgegeben: unser Angebot steht.
Ist denn Gaia-X aus Ihrer Sicht mehr als ein Schaufenster-Projekt?
Bis jetzt nicht. Es wird interessant werden zu sehen, ob mehr daraus wird. Ich glaube persönlich, es wird nur mehr daraus werden, wenn die Datenschützer endlich Ernst genommen werden. Das wird wahrscheinlich erst passieren, wenn tatsächlich mal signifikante Strafen ausgesprochen werden.
Was bräuchte es denn an konkreten Schritten, wenn man nicht auf Strafen warten will?
Zumindest die öffentliche Verwaltung muss jetzt mit gutem Beispiel voran gehen und wirklich anfangen, digital souveräne Alternativen in Betracht zu ziehen. Sie muss sich den Markt überhaupt anschauen und nicht sagen: Wir haben seit zehn Jahren Microsoft bestellt und bestellen jetzt wieder Microsoft. Man muss endlich anfangen, Hersteller-neutrale Lösungen auszuschreiben.
Das ist nicht der Fall?
Die schreiben einfach Microsoft-Lizenzen aus. Wie soll denn da ein anderer Hersteller zum Zug kommen?
Kopiert man die Anforderungen aus der bestehenden Lizenz, weil man es gar nicht besser weiß? Weil in den Behörden womöglich keine oder zu wenig Experten sitzen?
Teilweise mit Sicherheit. Und es macht natürlich mehr Mühe, den Markt zu sondieren und zu schauen, was gibt es denn noch? In Unternehmen sieht es auch nicht viel besser aus. Die schielen auf die Behörden und sagen, wenn das Auswärtige Amt Microsoft nutzt, dann kann ich das doch auch. Das Thema Datenschutz muss in die Lastenhefte rein. Es reicht nicht, wenn der Hersteller behauptet, es sei alles in Ordnung. Qua Gesetz müsste eine Datenschutzfolgeabschätzung gemacht werden. Wenn das konsequent gemacht würde, dürfte keine Behörde Microsoft Office 365 oder Microsoft Teams verwenden. Jedenfalls nicht in der Kombination mit OneDrive.
Gibt es denn den einen europäischen Anbieter, der das genauso gut kann?
Das ist natürlich heut zu Tage noch ein Problem. Es gibt keinen Anbieter, der diesen kompletten Anwendungs-Stack aus einer Hand liefern kann. Es gibt in vielen Bereichen mittlerweile wie zum Beispiel der Dateiablage gute und souveräne Alternativen. Aber es gibt eben nicht diesen kompletten Stack. Das macht es natürlich für den Kunden etwas komplizierter. Er muss gucken, woher er die einzelnen Lösungen bekommt.
Ist das nicht der Kern des Problems?. Wir suchen uns alle gerne den bequemeren Weg.
Das ist tatsächlich das Problem. Aber man könnte ja zumindest da anfangen, wo es gute Alternativen gibt.
Wäre es denn sinnvoll, wenn verschiedene Unternehmen mit verschiedenen Profilen aus dem Netzwerk von Gaia-X fusionieren würden?
(Überlegt) Gute Frage. Ich glaube, das kann eine Folge sein, wenn Gaia-X erfolgreich wird, dass sich Anbieter dann zusammentun.
Müsste es nicht umgekehrt sein? Wenn Gaia-X erfolgreich sein will, müssten Unternehmen dann nicht fusionieren?
Nicht unbedingt. Wir integrieren ja für Kunden auch Anwendungen von anderen Herstellern, auch Office-Anwendungen, in ownCloud. Auch bei uns kriegen sie dann alles aus einer Hand. Wir verkaufen die anderen Lösungen dann mit. Sie kriegen dann auch den Support aus einer Hand. Das macht für den Kunden keinen Unterschied. Wir sind nur noch nicht ganz so bekannt.
Mehr zum Thema: Deutschland soll sich mit der Cloud-Initiative Gaia-X unabhängig von US-Technologieriesen machen – wünscht sich Wirtschaftsminister Peter Altmaier. Doch neben Unternehmen unterläuft ausgerechnet der Staat das Ziel.
