Thought Leadership
Corona war der Treiber für eine schnelle und kostengünstige Digitalisierung. Zoom, MS Teams und andere Cloud-Angebote sind seit dem Ausbruch der Pandemie zum festen Teil der Arbeitskultur avanciert.
Nur so ließen und lassen sich Millionen Angestellte zuhause miteinander vernetzen und komfortabel Daten austauschen. Doch die Sache hat einen Haken: Denn vollständig DSGVO-konform ist keines der populären Systeme. Sie sind zumeist in den USA beheimatet oder gehören zu europäischen Tochtergesellschaften von US-Konzernen – und unterliegen damit den US-Gesetzen, insbesondere dem CLOUD-Act. Mit dem CLOUD-Act können US-Behörden die Herausgabe beliebiger Daten verlangen, selbst wenn diese in der EU gespeichert sind und die Herausgabe gegen die Rechtsordnung im Land der Speicherung verstößt.
Auf gut Deutsch: Wenn das FBI oder eine andere US-Behörde sich meldet, müssen US-Unternehmen und ihre Tochtergesellschaften auch die Daten von EU-Kunden und EU-Servern herausrücken. Die Anbieter wehren sich zwar nach Möglichkeit, aber keiner der IT-Giganten gibt eine Garantie dafür ab, dass die Daten in Europa bleiben und nicht weitergegeben werden. Schließlich verstießen die Dienstleister sonst gegen US-Recht und das könnten Microsoft, Amazon und Google sich noch weniger leisten, als DSGVO-Verstöße. Hinzu kommt, dass wir hier nicht nur über personenbezogene Daten reden – um die sich die DSGVO ausschließlich dreht. Vielmehr erstrecken sich die US-Gesetze auch auf Firmendaten. Auch Betriebsgeheimnisse sind also in Gefahr, da sie angezapft werden können – die Snowden-Enthüllungen zeigen, dass auch das bereits der Fall war.
Pragmatismus und Zeitdruck siegten über Datenschutzbedenken
Die Kunden wiederum, deutsche und europäische Unternehmen, haben vor zweieinhalb Jahren einfach nur pragmatisch gehandelt, als sie ihre Infrastruktur und Kommunikation rasch auf Teams und andere Clouds umstellten. Datenschutzbedenken haben sie dabei ausgeblendet. Gerade zu Beginn der Corona-Pandemie musste es schnell gehen; oft über Nacht. Rechtlich hätte dieser Zeitdruck zwar auch nicht geholfen, aber inzwischen kann sich niemand mehr mit einer Notsituation oder Unwissen herausreden. Denn selbst vermeintlich sichere Rechtskonstruktionen für Datenübermittlungen in die USA, wie etwa das EU-US-Privacy-Shield, wurde durch ein Urteil vor zwei Jahren für unwirksam erklärt wurde – ist das Nutzen von US-Dienstleistern auch auf dieser Basis ist das Nutzen von US-Dienstleistern nicht mehr mit der DSGVO vereinbar. Die Datenschutzbehörden haben inzwischen den “Pandemie-Modus” verlassen und fahnden verstärkt nach DSGVO-Verstößen. Unternehmen stehen also vor der Wahl: Einfach so weitermachen und hohe Bußgelder riskieren, oder sich nach DSGVO-konformen Lösungen umsehen?
Wasserdichte Lösungen nur mit EU-Dienstleistern
Wie Lösungen aussehen könnten, das liegt auf der Hand: Unternehmen sollten die jetzige Marktlage und Chancen nutzen, Collaboration Tools und Cloud Lösungen DSGVO-konform umzustellen – und das geht nur mit Anbietern, die vollständig in der EU zuhause sind und dort ihre Technik betreiben; also Dienstleister, die nicht dem CLOUD-Act unterworfen sind. Damit ist man juristisch auf der sicheren Seite. Wer zusätzlich aber noch buchstäblich den Daumen drauf haben möchte, der entscheidet sich obendrein für private Server. So können Unternehmen ihre Daten in den eigenen vier Wänden hosten und sind dabei auf gar keine externen Anbieter mehr angewiesen.
So oder so: Von US-Dienstleistern sollte man sich in jedem Fall verabschieden. Auch wenn sie sich selbst mit Händen und Füßen gegen die potenzielle Übergriffigkeit ihrer eigenen Sicherheitsbehörden wehren, was man ihnen nur zugute halten kann. Denn es hilft nichts. Rechtlich gesehen wäre eine Geschäftsbeziehung zu ihnen unsauber. Vor allem viele Banken und Behörden haben deshalb seit jeher die Finger von US-Kommunikationsdienstleistern gelassen. Der Rest der deutschen Wirtschaft sollte es ihnen gleichtun.
