Fast jeder deutsche Verlag nutzt Lösungen von US-Cloudsoftware-Anbietern. Viele sind in ein Kundschafts- und Abhängigkeitsverhältnis „hineingeschlittert“. Was passiert aber, wenn Gerichte aus Datenschutzgründen „den Stecker ziehen“?
Cloudsoftware ist meist leistungsfähig, günstig, einfach in der Handhabung und leicht administrierbar. Besonders gilt dies für amerikanische Lösungen, die auf den Weltmarkt ausgerichtet und dadurch sehr gut finanziert sind. Entsprechend hoch sind die Leistungen – ob es nun um Speicherlösungen, CRM oder Kollaboration geht. Dass die ganze Herrlichkeit oft in der Grundkonfiguration gratis zu haben ist und keine Mittel dafür beantragt werden müssen, macht die Beschaffung zum Kinderspiel. „Maverick Buying“, also wilde Beschaffung etwa durch die Fachabteilung, ist an der Tagesordnung. Schließlich muss man Probleme lösen, und das bald.
Nur wenige Fachabteilungen und nicht alle IT-Spezialisten berücksichtigen aber, dass die Lösung von heute das Problem von morgen sein kann – etwa dann, wenn die US-Lösung die Verarbeitung personenbezogener Daten einschließt. Amerikanische Gesetze zwingen nämlich US-Unternehmen, US-Behörden auf Verlangen Einblick in ihre gesamten Datenbestände zu gewähren. Aber auch, wenn NSA & Co. sich nicht für Ihre Inhalte interessieren, entsprechen die Datenschutzstandards der USA nicht den europäischen, wie sie in der DSGVO in Deutschland Gesetz geworden sind. Diese klaffende Lücke schließt ein „Deal“, den die EU-Kommission 2015 mit der amerikanischen Handelsbehörde Federal Trade Commission (FTC) aushandelte: der sogenannte „EU-US Privacy Shield“.
Der EU-US Privacy Shield – ein brüchiger Deal
Dieser Deal ist allerdings brüchiger, als viele wahrhaben wollen. Maximilian Schrems, ein österreichischer Jurist, Autor, Datenschutzaktivist und Vorstandsvorsitzender der Initiative NOYB (kurz für „none of your business“), die sich der Durchsetzung von Datenschutzrechten verschrieben hat, konnte mit einer Klage vor dem Europäischen Gerichtshof bereits den Vorläufer des EU-US Privacy Shield beenden, das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA von 2000, was als starkes Signal für den Grundrechtsschutz in Europa angesehen wird. Auch den EU-US Privacy Shield greifen NOYB und Schrems vehement an, und europäische Gerichte haben bereits Entscheidungen zu ihren Gunsten gefällt.
Mehr zum Thema IT und Digitalisierung lesen Sie im IT-Channel von buchreport und Channel-Partner knk. Hier mehr
Nun beschäftigt sich der Europäische Gerichtshof mit der Schrems-Klage, und einige Beobachter, nicht zuletzt Bloomberg Law in den USA, rechnen mit hohen Chancen für den „Angreifer“, der damit aus der Sicht amerikanischer Software-Anbieter zum „Staatsfeind Nummer 1“ avanciert sein dürfte. Große Software-Anbieter sind längst dabei, ihre europäischen Kunden auf europäische Rechenzentren zu migrieren. Microsoft hat Mitte Februar 2020 bereits mitgeteilt, seine Office-Cloud auch von Europa aus auszuliefern und dort zu hosten.
Ohne Netz und doppelten Boden
Was immer die großen Anbieter tun – sie wissen heute nicht, ob das, was sie tun, nach einem EU-Urteil den europäischen Bestimmungen genügen wird. Kleinere Anbieter dürften schon aus Kapazitätsgründen abwarten – oder weil der europäische Markt für sie nur untergeordnete Bedeutung hat. Entscheidet der Europäische Gerichtshof zugunsten von NOYB, stehen Kunden im Regen und erfahren spätestens dann, wenn ein Mitbewerber oder professioneller Abmahner gegen sie vorgeht, dass der Weg in die Businesscloud hinein erheblich einfacher ist als der hinaus.
Niemand weiß heute, ob es Übergangsfristen geben wird und ob diese ausreichend dimensioniert sein werden. Es besteht also Handlungsbedarf, um sich vor finanziellen Risiken und Image-Schäden zu schützen.
Was heute zu tun ist
- Bestandsaufnahme: Prüfen Sie, wer eigentlich die Anbieter Ihrer Business-Softwares sind.
- Maverick Buying: Schließen Sie in diese Prüfung auch die Fachabteilungen ein, die vielleicht oder bekanntermaßen auf eigene Initiative geduldete Lösungen bereichsbezogen einsetzen.
- Ausstiegsplan: Analysieren Sie die kritischen Lösungen darauf hin, wie Sie die personenbezogenen Daten schnell in Formaten extrahieren können, die Sie im Fall der Fälle leicht weiterverarbeiten könnten.
- Alternativen: Sehen Sie sich nach funktionsähnlichen europäischen Lösungen um.
Was grundsätzlich zu tun ist
- Keine Cloud-Lösung – woher immer sie stammt – ohne Ausstiegs-Szenario beschaffen.
- Regelmäßig die in der Lösung enthaltenen Daten im eigenen Rechenzentrum oder ersatzweise lokal speichern.
- Mitarbeiter vor den Risiken des Maverick Buying von Cloudsoftware warnen und in den Betriebsvereinbarungen die Bedingungen für bereichsbezogene Software definieren.
Kommentar hinterlassen zu "Wie sicher sind Ihre Cloud-Daten?"