Nachdem wir in Teil 1 die wichtigsten Begriffe und Rechtsgrundlagen vorgestellt und Ihnen in Teil 2 veranschaulicht haben, weshalb und worin der Konflikt in der Auffassung zum Datenschutz zwischen den USA und der EU besteht, kommen wir nun zu unserem letzten Teil der maincubes-Daten-Blogreihe. Angesichts des Spannungsfelds, das ohne ein vom EuGH abgesegnetes Abkommen zum Datentransfer weiterhin besteht, sind bestimmte Maßnahmen unverzichtbar, um einen rechtssicheren Umgang mit personenbezogenen Daten von EU-Bürger:innen zu gewährleisten – ganz gleich, ob sie erhoben, gespeichert oder verarbeitet werden. Andernfalls riskieren Unternehmen neben hohen Vertragsstrafen auf Basis der DSGVO auch einen Reputationsverlust bei Stakeholdern und Shareholdern gleichermaßen. Denn können Unternehmen nicht garantieren, dass die von ihnen betreuten Daten vor dem Zugriff von US-Behörden sicher sind, ist der Schaden vergleichbar mit einem Datenleck.
Hinzu kommt ein sowohl für Unternehmen als auch für Staaten bedeutendes Thema: Industriespionage. Mussten zu Zeiten der industriellen Revolution Pläne, Bauteile, Berichte oder andere Interna noch relativ aufwendig physisch gestohlen oder kopiert werden, so geschieht dies heutzutage eher über digitale Kanäle – damals wie heute nicht selten in staatlichem Auftrag. Befürchtungen, auch die USA würden sich ihre technischen Möglichkeiten zunutze machen, wurden mit Verabschiedung des USA PATRIOT Act 2001, den Enthüllungen des Wistleblowers Edward Snowden 2013 und mit dem CLOUD Act 2018 laut geäußert. Auch die Fraunhofer Gesellschaft machte jüngst im Februar 2021 mit einem Politikpapier zur Digitalen Souveränität auf das Problem aufmerksam.
Es gibt demnach sehr gute Gründe, weshalb Unternehmen im Zuge ihrer digitalen Transformation ein genaues Auge darauf haben sollten, mit welchen Cloud und Service Providern sie zusammenarbeiten und unter welchen Bedingungen sie die Zusammenarbeit regeln. Dazu gehören Fragen mit Blick auf den Standort, die Herkunft, die Infrastruktur und die vertraglichen Grundlagen.
Lage, Lage, Lage: Das gilt auch für Rechenzentren
Die größten Cloud-Anbieter und deren Rechenzentren sitzen, unter anderem mit Amazon, Google, Microsoft und IBM, in den USA. Gleichzeitig stoßen weltweit immer mehr Provider auf den Markt – und Unternehmen aus der EU sind ganz vorne mit dabei. Dass aufgrund der Dominanz der USA Handlungsbedarf besteht, hat auch die Politik in Europa erkannt: Mit dem Projekt GAIA-X, das offiziell auf dem Digital-Gipfel 2019 vorgestellt wurde, soll der Aufbau einer Dateninfrastruktur in der EU forciert werden, die die Merkmale Leistungs- und Wettbewerbsfähigkeit mit Sicherheit und Vertrauenswürdigkeit vereint. Darin enthalten ist ein rechtlicher Rahmen in Form der Datenschutz-Grundverordnung, die einen wesentlichen Standortvorteil der Europäischen Union ausmacht – ein weltweit einzigartiges Gesetzeswerk zur Sicherheit von personenbezogenen Daten.
Obwohl die DSGVO aufgrund des in ihr enthaltenen Marktortprinzips auch für Daten von EU-Bürger:innen außerhalb der Union gilt, sind sowohl die Gewährleistung als auch die Einforderung des Rechts innerhalb der EU leichter zu realisieren. Der Grund: Als EU-Verordnung besitzt die DSGVO unmittelbare Wirksamkeit in den einzelnen Mitgliedsstaaten, wozu auch die Bereitstellung von unabhängigen Aufsichtsbehörden gehört (Art. 51 ff., DSGVO). Diese verfügen über weitreichende Befugnisse, um bei Beschwerden Untersuchungen einleiten zu können. Da sie auf dem Hoheitsgebiet der EU unmittelbaren Zugang haben, können sie ihre Befugnisse außerdem leichter durchsetzen. Dies gilt sowohl für europäische als auch für nicht-europäische Datacenter-Betreiber und Service Provider, die einen Standort in einem EU-Mitgliedsstaat unterhalten. Im Kern bedeutet das, dass sich Datenverarbeiter innerhalb der EU direkt im Wirkungskreis der DSGVO und den aus ihr hervorgehenden Aufsichtsbehörden befinden. Zugleich sind diese nicht omnipotent – das zeigt das Verhältnis zwischen der EU und den USA in Sachen Datenschutz.
„Made in the USA“ als Dilemma
Unternehmen, die zwar mit Standorten in der EU vertreten, aber deren Herkunftsland die USA sind, sitzen in Rechtsfragen zum Datenschutz zwischen den Stühlen: Einerseits müssen sie sich an die DSGVO halten, wenn es um personenbezogene Daten von EU-Bürger:innen geht – andererseits unterliegen ihre Mutterkonzerne der in ihrem Heimatland geltenden Rechtslage. Bereits das in Teil 1 und Teil 2 erwähnte Beispiel von Microsoft hat gezeigt, dass auch Weltkonzerne in ihrer Abwägung die Wirkungsmacht der US-Justiz höher einschätzen und sich dieser eher beugen, als sich an die DSGVO zu halten. Zudem ging aus den Enthüllungen Edward Snowdens hervor, dass es möglicherweise eine Zusammenarbeit zwischen US-amerikanischen IT- und ICT-Unternehmen und der NSA (National Security Agency) gegeben haben könnte, um dem US-Geheimdienst über sogenannte Backdoors Zugang zu Daten zu ermöglichen. Obwohl das bis heute nicht eindeutig geklärt ist und die Unternehmen sich davon klar distanzieren, bleibt ein fader Beigeschmack.
Da nach dem Scheitern des Privacy Shield vor dem Europäischen Gerichtshof aktuell kein Abkommen zum Datentransfer zwischen der EU und den USA besteht, ist von der folgenden Situation auszugehen: Cloud-Provider und Rechenzentrumsbetreiber mit Hauptsitz in den Vereinigten Staaten werden sich eher verpflichtet fühlen, etwa den Anforderungen des CLOUD Act gerecht zu werden und bei richterlich geprüften Anfragen Daten an US-Behörden weiterzugeben. Schließlich können sie davon ausgehen, dass die US-Justiz wie auch Regierungsorgane aus Exekutive und Legislative einen direkteren Einfluss auf deren Tätigkeiten haben, als das bei EU-Behörden der Fall ist. Unternehmen, die mit US-Providern und Datacenter-Betreibern aus den USA zusammenarbeiten, können daher nur hoffen, dass personenbezogene Daten nicht weitergegeben werden – eine Garantie oder rechtliche Handhabe gibt es leider nicht.
Moderne Infrastruktur ist ein Muss
Laut dem jüngsten Cloud-Monitor 2020 von Bitkom und KPMG hat eine Mehrheit der Unternehmen aus Deutschland erkannt, wie wichtig die Standortfrage bei Cloud-Providern ist: Fast zwei Drittel (63 Prozent) wünschen sich den Hauptsitz ihres Anbieters im Rechtsgebiet der EU – beinahe allen Befragten (96 Prozent) ist die Konformität zur DSGVO am wichtigsten. Um die digitale Transformation erfolgreich zu beschreiten, führt zugleich kein Weg an State-of-the-Art Datacentern vorbei – ob Unternehmen direkt Colocation-Flächen nutzen und/oder auf Leistungen von Service Providern aus Rechenzentren zurückgreifen: Sie müssen eine sichere, hochperformante und -skalierbare IT-Infrastruktur bieten, die über weltweite Konnektivität verfügt und über die sich Nutzer untereinander vernetzen und austauschen können, Stichwort digitale Eco-Systeme. Internationale Zertifizierungen nach ISO- oder ISEA-Norm, die die Sicherheit von Technik und Prozessen garantieren, spielen dabei ebenso eine Rolle wie umfassende SLAs (Service-Level-Agreements) sowie höchste Energieeffizienz.
Die EU hat hier in den letzten Jahren deutlich aufgeholt und bietet mittlerweile in Sachen Performance, Sicherheit, Kapazität und Umweltbewusstsein eine hervorragende Infrastruktur an Rechenzentren, die auch dank Initiativen wie GAIA-X absehbar weiterwachsen wird. Sicher ist aber ebenso, dass in der EU beim Thema Service und Software Provider noch viel zu tun ist, um mehr Alternativen zu den dominierenden US-Anbietern bereitzustellen. Neben eigenen IT-Services aus der EU besteht demnach eine Alternative in der verstärkten Zusammenarbeit zwischen Datacenter-Betreibern mit Sitz in der EU und US-amerikanischen Service Providern, um dem geforderten und erforderlichen Sicherheitsbedürfnis nachzukommen. Ein wichtiger Schritt hin zur Daten- bzw. digitalen Souveränität.
Checkliste: Auf was ist zu achten?
Mit der vorliegenden 3-teiligen Blogreihe wollten wir Ihnen einen umfassenden und gleichzeitig kompakten Überblick über die rechtlichen und historischen Hintergründe zum Thema geben. Denn wie in Teil 2 angemerkt kommt es neben infrastrukturellen und rechtlichen Bedingungen auch darauf an, sich die notwendigen Kompetenzen anzueignen, um vollumfängliche Datensouveränität zu erlangen. Zum Schluss möchten wir Ihnen daher noch einmal in Form einer Checkliste zeigen, worauf Sie bei der Wahl eines Rechenzentrumbetreibers zur Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten achten sollten.
- Datacenter in und aus der EU
Die höchste Rechtssicherheit für Ihre Daten erlangen Sie, wenn sowohl das Rechenzentrum als auch der Betreiber aus der Europäischen Union stammt. Die hier vorgehaltenen Daten liegen in diesem Fall nicht nur geographisch, sondern auch juristisch außerhalb des Wirkungskreises des USA PATRIOT Act sowie des CLOUD Act und unterliegen stattdessen vollständig der DSGVO. - US-Provider ja, aber nur über EU-Datacenter
Sie können problemlos die Services von US-Anbietern nutzen und DSGVO-konform sein, sofern der zuvor genannte Punkt garantiert ist. Das bedeutet, dass die Daten das Rechenzentrum auch zur Weiterverarbeitung nicht verlassen dürfen, um sie in einem Datacenter, das Punkt 1 widerspricht, zwischenzuspeichern. - Um welche Daten handelt es sich?
Nicht alle Daten, die Sie als Unternehmen nutzen oder verarbeiten, unterliegen der DSGVO. Die EU-Verordnung betrifft ausdrücklich personenbezogene Daten natürlicher Personen von EU-Bürger:innen. Was unter dem Begriff zu verstehen ist, haben wir in Teil 1 aufgezeigt – die genaue Definition finden Sie unter Artikel 4, Punkt 1 der DSGVO. Demzufolge können Daten, die nicht dem Schutz der Verordnung unterliegen, auch auf Datacentern von nicht-EU-Providern vorgehalten werden. Beachten Sie allerdings zweierlei: Garantieren Sie den Schutz personenbezogener Daten auch von Nicht-EU-Bürger:innen nach den Kriterien der DSGVO, stellt das einen wertvollen USP dar, den Sie gegenüber Ihren Kunden anbringen können. Zudem bieten europäische Anbieter aufgrund der EU-Verordnung in der Regel ein höheres Sicherheitsniveau, das Sie beim Thema Wirtschaftsspionage im Hinterkopf behalten sollten. - Die richtige Technik macht‘s
Bei der Auswahl eines Datacenter-Betreibers kommt es selbstverständlich auch darauf an, dass die eingesetzte IT-Infrastruktur dem neuesten Stand der Technik entspricht, hohe Leistungsspitzen und Kapazitäten zur Verfügung stehen, eine 100%ige Uptime-Garantie gewährleistet wird und die entsprechenden Normen dafür zertifiziert sind. Weltweite Konnektivität, die Möglichkeit, sich über digitale Eco-Systeme untereinander zu vernetzen und von anderen Mitgliedern zu profitieren, sind ebenfalls Punkte, die Sie beachten sollten, um sich als Unternehmen zukunftssicher und wettbewerbsfähig aufzustellen. - Wirtschaftsmacht EU
Mit einem Bruttoinlandsprodukt von fast 14 Billionen Euro (2019) und rund 450 Millionen Einwohner:innen (beides ohne das Vereinigte Königreich und Nordirland) gehört die Europäische Union zu den weltweit potentesten Wirtschaftsräumen. Damit das auch in Zukunft so bleibt und um eine schnelle Erholung von der Corona-Krise zu ermöglichen, hat die EU-Kommission mit „Next Generation EU“ das größte Investitionsprogramm ihrer Geschichte beschlossen – es umfasst ein Volumen von 750 Milliarden Euro. Darin enthalten sind 672,5 Milliarden Euro, die unter anderem den ökologischen und digitalen Wandel voranbringen sollen. Damit ebnet Brüssel den Weg, um den Platz der Europäischen Union als einen führenden Player der Digitalisierung auszubauen – für mehr Wirtschaftswachstum, Wohlstand und eine insgesamt positive Zukunftsperspektive für alle Bürger:innen.
Zusammen mit einem der weltweit strengsten Datenschutzgesetze, einer blühenden Datacenter-Landschaft und stetig wachsenden digitalen Kompetenzen stellen die Europäische Union insgesamt und ihre Rechenzentrumsanbieter im Einzelnen einen bedeutenden Faktor bei der digitalen Transformation im 21. Jahrhundert dar. Für Unternehmen innerhalb und außerhalb der EU lohnt es sich, dieses Potenzial zu nutzen.