cloud falle dsgvo

Mit den Cloud Anwendungen von Amazon (AWS), Google und Microsoft (Azure) scheint man schnell die Wunderwaffe für die digitalen Lösungen gefunden zu haben. Zahlreiche deutsche Unternehmen setzen aktuell genau auf diese Technologien auf, warum soll man denn auch das Rad nochmal neu erfinden. Mag ein geschickter Gedankengang sein, besonders im digitalen Brachland Deutschland. Das mit dem Hinweis geschickt kann und darf aktuell in Frage gestellt werden, denn der Datenschutz sieht das natürlich komplett anders. Aber warum geht es jetzt genau?!

Datenschutzbehörden nehmen  Cloud Anwendungen ins Visier

Ja, richtig gelesen. Hierzu haben sich die Datenschutz Aufsichtsbehörden mehrere Fragenkatloge ausgedacht die nun bundesweit an Unternehmen versendet werden. Ziel der wohl nicht so überraschenden Aktion soll es sein, die Unternehmen zu befragen warum auf US amerikanische Cloud Lösungen, eben Amazon AWS, Microsoft Azure und Google Cloud in der eigenen Unternehmung gesetzt wird. Im Normalfall werden derartige Aktionen immer dann aktiviert, wenn verstärkt Beschwerden bei den Aufsichtsbehörden vorliegen was jedoch im aktuellen Fall nicht der ausschlaggebende Punkt gewesen ist. Vielmehr geht es um die einschlägige Rechtslage was den Einsatz dieser Lösungen in Frage gestellt.

Unternehmen die nun diesen Fragebogen erhalten, müssen dann schon punktgenau erläutern auf welcher Grundlage die Nutzung gerechtfertigt werden kann. Kann die gewünschte Auskunft nicht zufriedenstellend seitens der Unternehmung erbracht werden, dann kann es durchaus passieren, dass man sich über alternative Lösungen Gedanken machen muss und somit den Anbieter wechseln muss.

Aber was genau ist nun das Problem?

Ungenügender Datenschutz bei Datentransfer in die USA

Hintergrund ist ein Urteil des Europäischen Gerichtshofs (EuGH) zum EU-US-Datenschutzabkommen „Privacy Shield“ vom Juli 2020. Der EuGH hat seinerzeit die Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA wegen ungenügenden Datenschutzes kassiert, weil die US-Geheimdienste weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben.

Viele US-Cloud-Dienste verstoßen damit gegen die europäische Datenschutz-Grundverordnung (DSGVO). Unternehmen die eben genau diese Anwendungen einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich.

Letztendlich geht es den Datenschützern auch darum alle Anwendungen mit Standort USA genauer unter die Lupe zu nehmen. Betroffen hievon sind zahlreiche Anwendungen wie z.B. Marketingtools, Statistische Auswertungen, Umfragetools und natürlich auch Videokonferenzsysteme.

Nun verlangt der EuGH von den Aufsichtsbehörden „unzweideutig, unrechtmäßige Datenübermittlungen auszusetzen „Diese Anforderung kann zunächst im Rahmen eines kooperativen Ansatzes erfüllt werden was auch Bußgelder möglich macht, sollte ein angeschriebenes Unternehmen keine konkreten Schritte unternehmen. Denkbare sind zudem Sanktionsmöglichkeiten wie förmliche Anordnungen bis hin zu den bereits erwähnten Bußgeldern.

Und eben genau diese konkreten Schritte stellt für zahlreiche deutsche Unternehmen eine schier unlösbare Problemstellung dar. Als bekanntes Beispiel kann hier u.a. auch die Deutsche Bahn AG genannt werden,, denn auch die nutzt die Infrastruktur von Amazon AWS.

Wer kann das Cloud Problem nun lösen?

Die Unternehmungen mit Sicherheit nicht. Jedoch ist hier eindeutig die Politik gefordert.
Klar ist, am Ende kann das Kernproblem ausufernder staatlicher Massenüberwachung in einzelnen Drittstaaten nicht durch die datenexportierenden Unternehmen gelöst werden. Der Schlüssel, soweit es um einen Transfer in die USA gehe, liege in den US-Sicherheitsgesetzen. Die europäische Politik ist gefordert, bei der neuen US-Administration auf einen grundlegenden Konzeptwechsel zu drängen.“

Gleichzeitig müssten Bedingungen innerhalb Europas geschaffen werden, um heimische IT-Lösungen zu entwickeln, die mit denen von Dienstleistern in Übersee konkurrenzfähig seien. „Insoweit bietet die Entscheidung des EuGH letztlich eine Chance auch für die Idee der digitalen Souveränität in Europa.

Und wie sieht es mit den deutschen Behörden in Sachen US Cloud Anwendungen aus?

Wohl genauso angespannt. Behörden neigen dazu ohne viel Recherche schnell auf einen US Anbieter aufsetzen zu wollen. Bestens Beispiel stellt wohl die Thematik Corona und virtuelles Lernen dar. Hier haben viele auf Microsoft Teams gesetzt. Dass die deutschen Behörden dann auch in Sachen Datenschutz extrem instabil sind, zeigt auch dass bereits viele Bundesländer auf die Luka App gesetzt haben, die das Corona Desaster transparenter werden lassen soll aber in Sachen Datenschutz nicht wirklich glaubwürdig erscheint.

Alternativen zu Amazon AWS, Azure und Google Cloud

Die großen Drei haben in der Tat die Cloud zu einem anerkannten Geschäft gemacht – aber es gibt jede Menge an anderen Cloud Providern, die man jenseits von AWS, Google Cloud und Azure beachten sollte, einschließlich der internen IT-Abteilungen der Unternehmen. Im Zentrum jeder Cloud-Strategie stehen Überlegungen darüber, was ein Unternehmen eigentlich mit dem Übergang in eine Cloud erreichen will, welche Erfahrungen, welches Know-how und welche Software man dafür besitzt, und welche Art von Provider am besten als Partner geeignet wäre, um diese Cloud-Ziele in die Praxis umzusetzen.

Einen interessanten Beitrag zu diesem Thema können Sie hier lesen: Alternativen zu den Top 3 Cloud Anbietern