US-Cloud-Dienste

Selbst ist die Firma

9. Juni 2022, 7:00 Uhr | Autor: Luc Mader / Redaktion: Diana Künstler | Kommentar(e)
Nashorn, EU
© Titelbild: Norbert Preiß, funkschau

Seitdem das EU-US Privacy Shield für ungültig erklärt worden ist, steht der Datenschutz in weiten Teilen auf dem Prüfstand. Vor allem die Nutzung von US-Cloud-Diensten in der deutschen Wirtschaft stellt dabei eine Herausforderung dar. Doch es gibt Wege, sich aus der Datenschutzfalle zu befreien.

  • Was bedeutet der Wegfall des Pivacy Shield für Unternehmen?
  • Inwiefern können US-Geheimdienste mitlesen?
  • Welche Folgen werden außerdem befürchtet?
  • Was können Unternehmen tun, um sich zu schützen?
  • Was kann die Politik tun?

Unternehmen, die auf Cloud-Anbieter aus den USA setzen, befinden sich in einer heiklen Lage. Denn spätestens seitdem der EuGH im Juli 2020 die Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA („Privacy Shield“) gekippt hat, verstoßen viele US-Cloud-Produkte gegen den europäischen Datenschutz. Auf Basis von Standardvertragsklauseln ist seit diesem Schrems-II-Urteil der Datenaustausch mit Nicht-EU-Ländern zwar weiter möglich, muss aber in jedem Einzelfall geprüft werden. Unternehmen sind dabei aktuell auf sich allein gestellt. Ein klar definierter rechtlicher Rahmen fehlt. Zwar strebt die EU ein neues Abkommen an, wann es jedoch zu einer Einigung mit den USA kommen wird, ist nicht abzusehen. Aufsichtsbehörden intensivieren derweil ihre Ermittlungen und nehmen auch den Mittelstand ins Visier. Unternehmen, die betreffende Dienste einsetzen, riskieren Bußgelder von bis zu 20 Millionen Euro.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

US-Geheimdienste können mitlesen

Ob E-Mail, Daten-Hosting oder Collaboration-Tool: Viele Software-Anwendungen sind aus dem heutigen Arbeitsalltag nicht mehr wegzudenken. Meist setzen Unternehmen in diesen Bereichen auf die bekannten Marktführer: Die E-Mail-Kommunikation findet über  Office-Produkte von Microsoft statt, die Cloud-Dienste von Amazon werten große Datenmengen aus und mit Google werden Zugriffe auf die Internetauftritte der Unternehmen geprüft und optimiert. All diese Produkte und ihre Anbieter stammen jedoch aus den USA und sind somit mit einem Problem verbunden: Denn seit dem Schrems-II-Urteil, bei dem das „Privacy Shield“ für ungültig erklärt wurde, gibt es keine belastbare Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA.

Aktuell: Die USA und die EU haben sich jüngst auf einen Nachfolger für das Privacy Shield geeinigt. Dabei handelt es sich vorerst um eine politische Ankündigung; Details sind noch nicht bekannt. Mehr dazu hier.

Laut „Cloud Act“ gilt hingegen, dass Geheimdienste der Vereinigten Staaten weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten erhalten dürfen. Das gilt auch, wenn sich die genutzten Server außerhalb der USA befinden. Die Krux: Selbst, wenn die Daten auf deutschen Servern gehostet werden, unterliegen diese Informationen dem „Cloud Act“ − sobald sich der Hauptsitz des Anbieters in den USA befindet. Weil viele deutsche Unternehmen fürchten, dass ohne Digitallösungen der US-Konzerne ihre Arbeitsabläufe ins Stocken geraten, setzen sie jedoch trotz der bestehenden Rechtslage weiter auf ihre Cloud-Dienste. Für Unternehmen ist das besonders prekär, weil hiesige Aufsichtsbehörden sie bundesweit stichprobenartig wegen der Nutzung entsprechender Dienste befragen wollen. Betroffene müssen demnach erklären, auf welcher Grundlage sie US-Cloud-Anbieter einsetzen. Wie Verstöße hier geahndet werden, ob mit einer Pflicht zum Wechsel des Anbieters oder der tatsächlichen Verhängung von Bußgeldern, ist nicht klar.

Gravierende Folgen befürchtet

Privacy-Shield, Bitkom-Umfrage
Jedes zweite Unternehmen nutzte das Privacy Shield. Nach dessen Wegfall sind Unternehmen vorerst meist auf sich allein gestellt und sollten die Verantwortung für den Schutz ihrer Daten selbst in die Hand nehmen, um Bußgeldern wegen Datenschutzverstößen vorzubeugen.
© Bitkom Research 2021

So oder so ist die Lage brisant. Denn Datentransfers ins Nicht-EU-Ausland spielen für die deutsche Wirtschaft eine wichtige Rolle, wie eine Bitkom-Umfrage unter 258 Unternehmen zeigt: Beinahe jedes zweite Unternehmen tauscht demnach Daten mit externen Dienstleistern außerhalb der EU aus, ein Viertel mit dortigen Geschäftspartnern und zwölf Prozent mit anderen Konzerneinheiten. Die meisten Daten übermitteln sie dabei in die USA (52 Prozent), gefolgt von Großbritannien (35 Prozent) und Russland (18 Prozent). Die Gründe für internationale Datentransfers ins Nicht-EU-Ausland sind ebenfalls vielfältig: 85 Prozent nutzen Cloud-Dienste für die Datenspeicherung außerhalb der EU. 68 Prozent setzen weltweit auf die Zusammenarbeit mit Dienstleistern, etwa um einen Security-Support rund um die Uhr anbieten zu können. Mit Kommunikationslösungen, die Daten außerhalb der EU speichern, arbeitet jedes zweite Unternehmen. Jedes fünfte kommuniziert mit Standorten außerhalb der EU. Und 13 Prozent arbeiten laut Bitkom mit Partnern im Nicht-EU-Ausland zusammen − etwa in Forschung und Entwicklung.

Viele Unternehmen befürchten gravierende Nachteile bei einem klaren Verbot der Speicherung und Verarbeitung personenbezogener Daten außerhalb der EU: 62 Prozent geben an, dass sie dann einige Produkte und Dienstleistungen nicht mehr anbieten könnten. 57 Prozent sehen darin einen klaren Wettbewerbsnachteil gegenüber Firmen aus Nicht-EU-Ländern. Höhere Kosten und die Aufgabe des globalen Security-Supports erwarten 54 Prozent in diesem Fall. Ein Drittel der Unternehmen fürchtet gar, seine Konzernstruktur verändern zu müssen.

Neuausrichtung der Cloud-Strategie

Damit diese Befürchtungen nicht wahr werden, sollten Unternehmen das Thema Datenschutz selbst in die Hand nehmen. Die Entscheidung für einen Anbieter aus Deutschland kann dabei ein Zeichen für mehr Sicherheit und Privatsphäre in der Cloud sein. Neben einer eigenbetriebenen Serverinfrastruktur sollte auch die Verfügbarkeit so hoch wie möglich sein. Grundsätzlich ist es ratsam, auf Anbieter zu vertrauen, die selbst so wenig Daten wie möglich von Unternehmen sammeln und speichern. Das Zero-Knowledge-Prinzip garantiert etwa, dass Daten von Unternehmen dem Anbieter selbst auch nur verschlüsselt vorliegen. Die Daten decodieren kann allein das Unternehmen. Es gibt demnach keinerlei Möglichkeiten, Informationen einzusehen, zu verwerten oder an Dritte weiterzugeben. Arbeitet ein Cloud Host mit Drittanbietern, ist für Kunden selten nachzuvollziehen, wer tatsächlich Zugriff auf die Daten bekommt. Oft erhalten Internet- oder Server-Dienstleister, Werbetreibende sowie Anbieter von Script-, Schriften- oder Analytics-Diensten Informationen über Klickverhalten, Lesegewohnheiten oder Präferenzen eines Website-Besuchers. Deshalb empfiehlt sich in jedem Fall ein prüfender Blick ins Kleingedruckte. Wer sichergehen will, dass die eigenen Daten dort bleiben, wo sie abgelegt werden, sollte darauf achten, dass der Cloud-Anbieter die Zusammenarbeit mit Drittanbietern ausgeschlossen hat.

Unternehmen, die zusätzlich mit einer client-seitigen Ende-zu-Ende-Verschlüsselung in der Cloud arbeiten, können sicherstellen, dass ihre Daten geschützt sind – selbst wenn der Server des Dienstleisters angegriffen werden sollte. Denn auch hier gilt: Die Daten kann allein der Kunde selbst entschlüsseln. Eine weitere Absicherung von Storage- und Mail-Systemen vor Datenklau und Ransomware kann neben einer Zwei-Faktor-Authentifizierung eine automatische Versionierung der gespeicherten Daten bieten. Sie verhindert zum einen das gegenseitige Überschreiben von Dokumenten, an denen mehrere Personen gleichzeitig arbeiten, als auch den Datenverlust etwa durch Ransomware-Attacken. Eine auf Open Source basierende Cloud-Lösung kann zudem Abhängigkeiten von einem Anbieter oder von proprietären Plattformen reduzieren. Im Quellcode können sich Unternehmen dann selbst davon überzeugen, dass sich der Anbieter keine Hintertürchen für die Monetarisierung der Kundendaten offengelassen hat.

Mehr Rechtssicherheit wünschenswert

Eine clevere Digitalisierungsstrategie ist für Unternehmen heute überlebenswichtig. Massenhaft Daten für Auswertungen, Zusammenarbeit über mehrere Länder und Kontinente hinweg und Mitarbeitende im Homeoffice fordern dafür in vielen Fällen auch eine entsprechende Cloud-Strategie. Ob die Gesetzgebung 2022 aber auch mehr Rechtssicherheit und entsprechende Umsetzbarkeit für die Datenspeicherung und den -transfer schafft, ist bislang alles andere als sicher.

Fest steht: Das wird keine einfache Aufgabe. Bis es so weit ist, sind Unternehmen zumeist auf sich allein gestellt und sie sollten die Verantwortung für den Schutz ihrer Daten mit geeigneten Lösungen selbst in die Hand nehmen, um Bußgeldern aufgrund von Datenschutzverstößen vorzubeugen und sich aus der Datenschutzfalle zu befreien.

Luc Mader, CEO und Geschäftsführer von Luckycloud


Das könnte Sie auch interessieren

Verwandte Artikel

funkschau, Microsoft, Microsoft Deutschland GmbH

Cloud

Anbieterkompass