Digitalisierung lautet das Wort der Stunde.

Die aktuelle Corona-Krise befeuert den Ausbau von IT-Infrastruktur in Unternehmen. Um eine Schieflage abzuwenden, kommt es bei vielen zu Digitalisierungs-Schnellschüssen.

Die Verlegung von Prozessen ins Internet ist nicht nur aus strategischer, mittelfristiger Planung derzeit ein Thema. Gerade in Zeiten der weltweiten Gesundheitskrise aber auch im Verlauf der technischen Fortentwicklung ist die Nutzung von Cloud-Infrastruktur für europäische Unternehmen besonders wichtig. Unter Cloud Computing versteht man weitläufig die Nutzung von Servern und Diensten, die sich physisch nicht im Unternehmen selbst befinden, sondern bei Anbietern eingekauft werden und über das Internet genutzt werden können.

Cloud? Nicht unbedingt unbedenklich.

Gerade wenn europäische Geschäftskunden auf Services von Cloud-Anbietern aus den USA zurückgreifen, bestehen nicht unerhebliche datenschutzrechtliche Risiken. Besonders pikant in diesem Zusammenhang: Amerikanische Cloud-Dienste unterliegen dem sogenannten CLOUD Act. Dieses Gesetz erlaubt es US-amerikanischen Strafverfolgungsbehörden, Kundendaten von US-Providern zu verlangen. Dies gilt auch für Daten von Kunden außerhalb der USA. Um eine volle Vollstreckbarkeit des CLOUD-Acts zu erhalten, bedarf es einer bilateralen Vereinbarung zur Auslieferung von Daten aus dem EU-Raum an die USA. Klarere Rechtsrahmen sind in diesem Zusammenhang seitens der EU-Kommission im Zuge der Digitalisierungsstrategie bereits angekündigt.

Was die Gesetze in den USA verlangen ist gemäß DSGVO verboten.

Von Datenschützern, einschließlich dem Europäischen Datenschutzausschuss (EDSA), wird die Herausgabe von Daten an US-Behörden äußerst kritisch gesehen. Denn der CLOUD Act steht insofern in direktem Widerspruch zur europäischen Datenschutz-Grundverordnung (DSGVO), als dass eine solche Offenlegung laut DSGVO gerade nicht erlaubt ist. Im Ergebnis sind die Anbieter entsprechender Cloud-Services im Zweifel gezwungen, sich für die Einhaltung des einen und den Verstoß des anderen Gesetzes entscheiden zu müssen. Die Anbieter befinden sich in einem rechtlichen Dilemma. „Eine Weitergabe europäischer Daten an US-Behörden kann nicht ausgeschlossen werden“, sagt Jurist Dr. Xenofon Kontargyris, Spezialist für Regulierung im Cloud Computing und bemerkt: „Amerikanische Cloudanbieter haben kaum Macht, dem CLOUD-Act nicht Folge zu leisten“.

Viele Nutzer sind verunsichert, wo welche Daten wie verarbeitet und gespeichert werden dürfen. Die EU-Kommission kündigt zudem eine scharfe Verfolgung von Verstößen gegen die DSGVO in ihrem Positionspapier zur neuen europäischen Digitalisierungsstrategie an: „Die EU darf in Bezug auf ihre Grundsätze keine Kompromisse eingehen“, heißt es dort. Europäische Nutzer müssen daher ganz genau prüfen, wer, wo, wie und in welchem Umfang Zugriff auf die personenbezogenen Daten hat.

„Für europäische Kunden ist der sicherste Ansatz, mit europäischen Anbietern zu arbeiten“, sagt Kontargyris. Im Wirtschaftszweig „Cloud-Infrastruktur“ spielen europäische Anbieter im internationalen Wettbewerb derzeit kaum eine Rolle. 2019 führte Gartner im „Magic Quadrant for Cloud Infrastructure as a Service“ kein einziges europäisches Unternehmen an. Die „Leaders“ sind mit Amazon Web Services (AWS), Microsoft (Azure) und Google allesamt Amerikaner.

Cloud – made in Europe.

Wegen des Dilemmas könnten europäische Cloudanbieter nun jedoch Aufschwung bekommen. Andrej Eichler, Chief Market Officer Financial Services des führenden europäischen Anbieters von Zahlungs- und Transaktionsdienstleistungen Worldline bestätigt die zunehmende Sensibilisierung im Markt. Da sein Unternehmen ausschließlich im Einflussbereich der DSGVO steht, sieht er die Lage selbst entspannt: „Für Worldlines eigene Kunden stellt sich die Problematik gar nicht erst“. Auch seitens der Politik ist das Problem erkannt: Wirtschaftsminister Altmeier hat Anfang des Jahres das Gaia-X-Projekt ins Leben gerufen. In diesem Projekt sollen Standardisierungsverfahren in der Datenverarbeitung umgesetzt werden. Dies könne europäische Anbieter darin bestärken, „ihre Cloud- und Rechenzentrumsangebote weiterzuentwickeln“, heißt es im Projektpapier.

Spätestens, wenn europäische Unternehmen sichere, DSGVO-konforme Alternativangebote großflächig nutzen können wird von Branchenkennern erwartet, dass Verletzungen der DSGVO im Cloud-Geschäft auch zunehmend geahndet werden.

Neben der DSGVO, die laut EU-Kommission bereits heute einen „soliden Rahmen für Vertrauen im digitalen Umfeld“ schaffe, kündigt die Kommission spezielle Vorschriften für den Finanzmarktsektor im dritten Quartal 2020, generelle Regulatorik für die „Gouvernance gemeinsamer europäischer Datenräume“ gegen Ende des Jahres 2020 und ein Cloud-Regelwerk in 2022 an.

Letztendlich liegt es an europäischen Unternehmen, ihre Datenverarbeitungsprozesse so sicher wie irgend zumutbar zu gestalten. Dazu gehört es auch, die Situation in regelmäßigen Abständen zu überprüfen und zu justieren, wenn nötig. Denn eines lässt sich durch die Aussagen von Rechtsexperten, die von Worldline beobachtete Sensibilisierung am Markt und Aktivitäten in der Politik erkennen: Im Gegensatz zur Verarbeitung kann die Verantwortung für den Umgang mit Daten nicht ausgelagert werden.

Autorin: Marina Emsing, Syngenio AG, April 2020
Bildquelle: Lizenzfreies Stockfoto von Bennian / Marko Bukorovic