DSGVO, Europa und die Cloud: Wie Unternehmensdaten sicher bleiben
Deutschland mag in Sachen Datenschutz als Musterschüler gelten, doch Daten bleiben heute selten am innerhalb von Landesgrenzen. Wie Unternehmen sich gegen Datenschutzverstöße absichern können, erklärt gridscale-CEO Henrik Hasenkamp.
Daten und Informationen sind das Gold unserer Zeit – und ihre Menge steigt immer weiter: Global betrachtet wird sich das Volumen generierter Daten bis 2025 verglichen mit 2018 auf über 175 Zettabyte (175 Milliarden Terabyte) mehr als verfünffachen, ergeben Prognosen. Ein großer Teil davon wird auf Informationen fallen, die innerhalb von Unternehmen verarbeitet werden.
Manchmal reicht es aus, Informationen an einem falschen Ort zu speichern, um eine Datenschutzverletzung zu begehen.
Um diese Mengen beherrschen zu können, setzen die meisten Unternehmen auf Cloud-Dienstleistungen, seien es Public-, Private- oder Hybrid-Clouds, die unternehmenseigene Infrastrukturen und rechtliche Anforderungen miteinbeziehen. Der Schutz dieser Daten vor unberechtigtem Zugriff ist essentiell, nicht zuletzt wegen hoher Strafzahlungen, die Unternehmen erwarten, wenn es zu Datenlecks kommt. Auch deutsche Unternehmen sehen sich hier der Herausforderung ausgesetzt, eine stetig wachsende Datenmenge regelkonform zu verwalten.
Datenschutz im Jahr 2022
Das Inkrafttreten der DSGVO liegt nun knapp vier Jahre in der Vergangenheit und immer wieder liest man von Datenlecks und -Hacks, in deren Folge sensible Daten an unberechtigte Dritte gelangen. Besonders die nach einem Hack verhängten Bußgelder können je nach Höhe große finanzielle Schäden bei den betroffenen Firmen hinterlassen.
Doch es muss nicht immer ein Leck oder ein Angriff sein, der zu Strafzahlungen führt. In vielen Fällen reicht es aus, Informationen an einem falschen Ort zu speichern, um eine Datenschutzverletzung zu begehen. Besonders wenn Unternehmen Cloud-Services nutzen, können sie schnell in eine Falle tappen: So ist die Speicherung sensibler (beispielsweise personenbezogener) Daten in Rechenzentren außerhalb der EU in vielen Fällen nur unter Auflagen möglich. Hierzu gehören Standard-Datenschutzklauseln, die in Cloud-Verträgen den Datenverkehr zwischen Importeur und Exporteur regeln und somit Rechtssicherheit gewährleisten.
Existiert eine solche Klausel im Vertrag nicht und der Cloud-Provider lagert kritische Daten beispielsweise in ein US-amerikanisches Rechenzentrum aus, haftet der Kunde – auch wenn er die Auslagerung gar nicht veranlasst hat und letztere ohne sein Wissen geschehen ist. Unternehmen können diesen Fallstrick umgehen, indem sie europäische oder deutsche Anbieter für ihre Zwecke engagieren. Diese nutzen häufig Rechenzentren innerhalb der EU und Deutschlands und unterliegen automatisch hiesigen Datenschutzbestimmungen.
Wettbewerbsvorteil für deutsche Unternehmen
Dabei ist es ein wichtiger Vorteil, dass sich das deutsche Bundesdatenschutzgesetz (BDSG) zu großen Teilen mit der EU-weit geltenden DSGVO deckt, so dass Cloud- und andere IT-Anbieter mit deutschem Firmensitz und in Deutschland gehosteten Servern mit die größte Sicherheit beim Schutz von Daten innerhalb der EU bieten können.
Bundesdatenschutzgesetz und DSGVO widersprechen sich nicht – ein Vorteil für Deutschland.
Aus dieser Deckungsgleichheit von BDSG und DSGVO können deutsche, aber auch europäische Unternehmen einen Wettbewerbsvorteil ziehen. Im Unterschied zu Märkten wie China oder den USA (die datenschutztechnisch primär zu den unsicheren Drittländern zählen), gilt das europäische Datenschutzniveau international als angemessen und sicher. Unternehmen, die heute damit werben, ihre Daten hierzulande zu hosten, können ihren Kund:innen ein Sicherheitsniveau versprechen, das aktuell auf außereuropäischen Märkten so nicht möglich ist.
Allerdings existieren auch innerhalb Europas noch viele unterschiedliche Regelungen, die es in den kommenden Jahren zu vereinheitlichen gilt. Nicht jeder Markt innerhalb der EU bietet eine Landesverordnung, die so gut mit der DSGVO zusammenpasst, wie das Bundesdatenschutzgesetz (BDSG). Hier herrscht Nachholbedarf, gerade im Hinblick auf die bereits genannten stark zunehmenden Datenmengen.
Europa ist auf einem guten Weg
Auch der Datenverkehr zwischen der EU und den USA oder China sollte dringend neu aufgestellt werden: Obwohl beide Länder zu den unsicheren Drittländern gehören, kann der Datenfluss durch Standardvertragsklauseln legalisiert werden. Hierbei handelt es sich um Verträge, die von der EU vorgegeben wurden und die den Datenaustausch regeln. Allerdings dürfen sie nicht verändert werden, da sonst ihre datenschutzrechtliche Wirkung verloren geht.
Hinsichtlich dieser Klauseln gab es in den beiden letzten Jahren zwei Änderungen von Seiten der EU, die Unternehmen kennen sollten:
- Im Zuge des Schrems II-Urteils vom Juli 2020 wurde beiden Vertragspartnern die Pflicht auferlegt, beim Abschluss von Standardvertragsklauseln darauf zu achten, dass ihre Einhaltung nicht durch lokale Bestimmungen behindert wird.
- Hinzukommen neue Standardvertragsklauseln, die im Juni 2021 von der EU beschlossen wurden, am 27.09.2021 für Neuverträge in Kraft getreten sind und ab dem 27.12. dieses Jahres auch in Altverträgen eingebunden sein müssen.
Grundsätzlich ist Europa datenschutztechnisch auf einem guten Weg, aber die noch offenen Baustellen werden bald zeigen, ob die Gesetzgebung – vor allem international – mit den steigenden Datenmengen in Einklang zu bringen ist.
Hybride Clouds als sinnvolle Lösung
Für einzelne Unternehmen und Organisationen kommt es jetzt darauf an, sich in diesem teils noch unklaren Terrain so gut wie möglich abzusichern. Etablierte Cloud-Provider sind darauf spezialisiert, die rechtliche Entwicklung des weltweiten Datenschutzes zu beobachten. Hierdurch können sie DSGVO-konforme Lösungen anbieten, die Unternehmen dabei unterstützen, die Daten ihrer Kund:innen und Partner:innen langfristig zu schützen, sei es in Form hundertprozentiger Public-Cloud-Strukturen oder als individuelle Hybrid-Lösungen. Hybrid-Clouds, in denen bestimmte Informationen aus gesetzlichen Gründen nur lokal gespeichert werden dürfen, können zum Beispiel für Unternehmen aus stark reglementierten Industrien sinnvoll sein.
Investieren Unternehmen ein wenig Zeit in den bedachten Aufbau von Speicherlösungen über in Deutschland oder der EU gehostete Server, steht einem DSGVO-konformen und sicheren Umgang mit den internen Datenschätzen theoretisch nichts im Weg. Zusätzlich verringert sich das Risiko für ungewollte Datenschutzverletzungen langfristig. Dabei ist es allerdings wichtig, die Entwicklungen in der europäischen und auch globalen Gesetzgebung im Auge zu behalten, um auf Veränderungen flexibel reagieren zu können.