21. Nov. 2022
Digitale Souveränität: Datenschutz als Chance
Warum Unternehmen auf europäische Lösungen setzen sollten
Deutsche Unternehmen digitalisieren ihre Prozesse weiter und setzen dabei häufig auf nicht-europäische Unternehmen, darunter US-amerikanische Hyperscaler. Diese bieten standardisierte, skalierbare Lösungen zu moderaten Preisen, die zudem schnell integriert werden können. Doch besonders beim Datenschutz sind sie lokalen, europäischen Anbietern unterlegen.
Von Daniel Bohn
In vielen Bereichen haben sich US-amerikanische Unternehmen mit ihren Diensten etabliert, vom Cloud-Speicher bis hin zum Visual-Collaboration-Tool. Bei allen Vorteilen, die solche Angebote mit sich bringen, kommt der Datenschutz häufig ins Hintertreffen.
Seit knapp fünf Jahren ist die Datenschutzgrundverordnung in Europa in Kraft und hat seitdem für Aufruhr innerhalb von Unternehmen gesorgt: Arbeitsmethoden, die lange Zeit unproblematisch waren, können nun empfindliche Strafen nach sich ziehen. Vor allem die Verwendung von nicht-europäischen datenverarbeitenden Lösungen sorgt immer wieder für Konfliktpotential mit den hiesigen Datenschutzbestimmungen und daraus resultierende empfindliche Geldstrafen.
Die Bilanz nach knapp fünf Jahren Datenschutzgrundverordnung (DSGVO) ist ernüchternd: Laut einer aktuellen Umfrage des Bitkom-Verbands haben ganze 88 Prozent der befragten Unternehmen die Umsetzung der Verordnung nie ganz abgeschlossen.
Abhängigkeit von nicht-europäischen Software-Anbietern
Unternehmen griffen innerhalb der letzten Jahre stärker auf die Dienste globaler Marktführer zurück. Die Vorteile: Aufgrund ihrer Erfahrung und weitreichender Ressourcen können sie innerhalb kürzester Zeit Dienste für fast beliebig große Kundenunternehmen bereitstellen. Die Kosten halten sich dabei durch standardisierte Angebote meist in Grenzen.
Bei allen Vorteilen bringen Dienste bei nicht-europäischen Unternehmen allerdings auch Nachteile mit sich. Durch die Entfernung können sie beispielsweise nicht den gleichen, zeitnahen Support liefern wie lokale Anbieter und bieten selten Support in der Landessprache oder sind, wenn überhaupt, ausschließlich via E-Mail erreichbar. Der entscheidende Punkt, den nicht-europäische Unternehmen im Vergleich zu lokalen nicht leisten können, liegt jedoch im Datenschutz. Dieser hat in der EU einen vergleichsweise hohen Stellenwert und wurde 2018 mit Inkrafttreten der DSGVO noch einmal verstärkt. Obwohl nun vier Jahre seitdem vergangen sind, befinden sich die meisten Software-Anbieter in puncto DSGVO-Compliance allenfalls in einer Grauzone. Häufigster Knackpunkt: Die Nutzung außereuropäischer Rechenzentren, etwa in den USA oder China. Immer noch nutzen, laut eingangs erwähnter Bitkom-Umfrage, 89 Prozent der befragten Unternehmen etwa Cloud-Dienstleister, die Daten in Länder außerhalb der EU transferieren.
Darunter fällt auch Software, die auf den ersten Blick nicht sonderlich datenkritisch ist, beispielsweise Lösungen für die Visual-Collaboration: Anbieter setzen häufig auf Server von Branchengrößen wie AWS, Google und Microsoft, die in den USA ihren Firmensitz haben. Beinhaltet die Arbeit mit diesen Lösungen personenbezogene Daten und werden diese Informationen in einem US-amerikanischen Rechenzentrum der jeweiligen Cloud-Partner gespeichert, liegt ein schwerer Datenschutzverstoß vor.
Rechtliche Folgen für europäische Unternehmen
Die Folgen dieser Abhängigkeit sind vor allem rechtlicher Natur. Indem Organisationen sich auf Software und Dienstleistungen von nicht-europäischen Unternehmen verlassen, geben sie auch ihre Daten – und die ihrer Kunden – in deren Hände. Informationen, die Unternehmen – oder ihre Partner – in außereuropäischen Rechenzentren ablegen beziehungsweise verarbeiten, sind von dortigen Sicherheitsbehörden anfrag- beziehungsweise einsehbar. Insbesondere die Übermittlung an Rechenzentren in den USA ist in Folge des Schrems-II-Urteils von 2020, somit problematisch und stellt einen Datenschutzverstoß dar: Das Urteil entscheidet über die Mechanismen, die den Transfer personenbezogener Daten aus der EU in die USA ermöglichen.
Die Strafen für Verstöße gegen die DSGVO sind bekanntermaßen hoch. Viele Unternehmen sehen die Verordnung als lästige Hürde, die im schlimmsten Fall zu hohen Geldstrafen und Reputationsschäden führen kann – selbst wenn die Daten nur in einem US-Rechenzentrum gespeichert wurden. Daran ändert auch das Bemühen der großen Cloud-Anbieter nichts, ihre auszubauen und mit immer stärkeren Verschlüsselungsmethoden zu werben: Da sie unter die Rechtsprechung ihres eingetragenen Standortes fallen, müssen sie behördlichen Aufforderungen zur Einsicht nachkommen – egal, wo sich die Daten befinden. Echte Hilfe bietet hier nur die bewusste Entscheidung für europäische Anbieter mit Serverstandort Europa – bei einem europäischen Cloud-Partner.
Die DSGVO als Chance
Die DSGVO mag oft für Unverständnis in Unternehmen sorgen und war seit ihrem Inkrafttreten Treiber von teils aufwendigen Veränderungen in deutschen Organisationen. Doch ist sie mehr als eine Verordnung mit drastischen Strafen: Dadurch, dass die DSGVO Unternehmen einen derart engen Rahmen zur Verarbeitung von Daten vorgibt, hat jede Organisation, die eine hohe Übereinstimmung mit ihr aufweist, gleichzeitig einen guten Datenschutz.
Indem Unternehmen die Sicherheit ihrer Kundendaten an die erste Stelle setzen, entgehen sie nicht nur den rechtlichen Konsequenzen der DSGVO. Vielmehr können sie den Datenschutz, der ihnen auferlegt wurde und den sie nun erfüllen, als Verkaufsargument nutzen. Denn: Unternehmen außerhalb Europas können in den meisten Fällen nicht den gleichen Datenschutz liefern wie europäische Unternehmen.
Unternehmen, die bei ihren Prozessen und Lösungen etwa darauf achten, europäische oder deutsche Produkte und Dienstleister zu benutzen, machen einen entscheidenden Schritt hin zur DSGVO-Compliance und leisten zudem einen Beitrag zur europäischen Souveränität.
Fazit
Viele Unternehmen sind im Alltagsgeschäft immer noch von nicht-europäischen Anbietern abhängig. Besonders die wirtschaftlichen Folgen können, kommt es zu einem Datenschutzverstoß, für Unternehmen kritisch sein. Unter Berücksichtigung der aktuellen internationalen digitalpolitischen Lage sollten Organisationen deshalb bei der Auswahl ihrer Lösungen auf europäische Anbieter setzen. Das sichert Unternehmen nicht nur rechtlich ab, sondern schafft einen entscheidenden Wettbewerbsvorteil. Der hohe europäische Datenschutzstandard entwickelt sich bereits zum internationalen Gütesiegel. Auch außerhalb der EU haben sich die Anforderungen herumgesprochen, die die DSGVO an die Datenverarbeitung stellt, und Betriebe, die mit ihr übereinstimmen, weisen ein weiteres Qualitätsmerkmal vor.
Daniel Bohn ist Co-Gründer und Product Lead bei Conceptboard.
