Digitale Souveränität

Die Annektion Grönlands, Strafzölle gegen die EU, verbale Angriffe auf die NATO – US-Präsident Donald Trump schreckt gegenwärtig scheinbar vor nichts zurück. Ein Hebel des Präsidenten: die Abhängigkeit Europas von US Tech-Konzernen.

Das Vertrauen in eine Kooperation zwischen der EU und den USA sinkt in diesen Tagen beständig. Dabei kommt kein mittleres oder großes Unternehmen hierzulande ohne Software-Anwendungen aus den USA aus. Auf drei von vier Rechnern in Europa ist Windows von Microsoft installiert, in der Regel zusammen mit Word, Excel, Powerpoint, Teams und Outlook.  Diese IT-Systeme sind in der Regel so gestaltet, dass sie personenbezogene Daten in die USA übertragen. Dort stehen sie einem rechtlich nicht kontrollierten Zugriff durch staatliche Stellen offen. Zusätzlich können die berechtigten staatlichen Stellen US-amerikanische Anbieter zwingen, ihnen personenbezogene Daten aus Europa, auf die sie – direkt oder etwa über Tochterunternehmen – Zugriff nehmen können, zu übergeben.

Doch was passiert, sollten Microsoft, Amazon, Apple oder Google den Stecker ziehen?

Digitale Souveränität ist daher das Schlagwort der Stunde. Digitale Souveränität ist die Fähigkeit, unabhängig, selbstbestimmt und sicher über Technologien, Daten und Prozesse zu entscheiden. Sie umfasst sowohl die technische als auch die rechtliche Kontrolle über digitale Prozesse.

Um unabhängiger zu werden, hat die EU bereits Gesetze wie den Digital Service Act oder den Digital Markets Act erlassen, um die Tech-Unternehmen zu regulieren. Um Abhängigkeiten zu reduzieren, hat die EU weiterhin eine Open-Source-Strategie ins Leben gerufen. Auch die Förderung von europäischer KI-Forschung gehört zu den Maßnahmen, mit denen Europa seine technologische Unabhängigkeit stärken will.

Wie können Unternehmen ihre digitale Souveränität stärken?

Der erste Schritt auf dem Weg zu mehr digitaler Unabhängigkeit besteht darin, die eigene IT- und Cloud-Landschaft genau zu analysieren. Machen Sie sich bewusst, wo Ihre Daten aktuell gespeichert sind, welche Systeme und Dienste Sie nutzen und welche Anbieter hinter diesen Diensten stehen.

Lassen Sie sensible Daten extern verarbeiten, lohnt sich ein genauer Blick in die Systeme und digitalen Geschäftsprozesse.

Wir empfehlen Ihnen, Ihre Daten möglichst in Deutschland oder mindestens im rechtssicheren EU Raum zu speichern bzw. zu verarbeiten – das sichert nicht nur DSGVO-Konformität, sondern schützt Sie auch vor dem ungewollten Zugriff durch Drittstaaten.

Kriterien für europäische Lösungen

• Datenspeicherung in der EU: Stellen Sie sicher, dass alle Daten ausschließlich in europäischen Rechenzentren gespeichert werden. Dadurch bleibt die Datenverarbeitung innerhalb der EU und unterliegt den dort geltenden Datenschutzgesetzen.
• DSGVO-Konformität: Der Anbieter muss alle Anforderungen der europäischen Datenschutz-Grundverordnung erfüllen. Dies garantiert, dass personenbezogene und sensible Unternehmensdaten rechtskonform geschützt werden.
• Transparenz: Achten Sie darauf, dass der Anbieter offen über Datenflüsse, Sicherheitsmaßnahmen und Vertragsbedingungen informiert. Transparenz ist entscheidend, um Risiken zu erkennen und die Kontrolle über Ihre Daten zu behalten.
• Interoperabilität: Die genutzten Systeme sollten offene Schnittstellen und Standardprotokolle unterstützen. So können Sie problemlos zwischen Plattformen wechseln oder neue Tools integrieren, ohne von einem Anbieter abhängig zu werden.
• Sicherheitszertifizierungen: Vertrauenswürdige Anbieter verfügen über Zertifikate wie ISO 27001, C5-Zertifikate oder BSI-Anerkennungen. Diese bestätigen geprüfte Sicherheitsstandards.

Auch wenn Sie nicht von heute auf morgen Ihre Dienstleister vollständig umstellen können, sollten Sie folgende Maßnahmen beachten:

• Hybrid-Lösungen: Kombinationen aus europäischen und US-Diensten unter strikter Trennung der Datenverarbeitung können eine praktikable Lösung sein.
• Verschlüsselung als Schutzmaßnahme: Verwendung eigener Schlüssel zur Verschlüsselung der Daten in Cloud-Anwendungen, etc. Somit sind beim Dienstleister ausschließlich pseudonyme Daten hinterlegt.

Aktuelle Entwicklungen

Est vor wenigen Tagen ist in Brandenburg die AWS European Sovereign Cloud gestartet worden. Das Kernversprechen der neuen Cloud-Infrastruktur lautet: komplette Isolation. Die Server der neuen AWS European Sovereign Cloud seien physisch und rechtlich von den Rechnern des Mutterkonzerns getrennt, heißt es. Vertragspartner ist eine neu gegründete, rein europäische AWS-Tochtergesellschaft.

Dieser Schritt zielt direkt auf die größte Sorge europäischer Datenschützer ab: Den theoretischen Zugriff von US-Behörden über den CLOUD Act auf Daten der europäischen Nutzer. Dieses Gesetz verpflichtet US-Unternehmen, bei rechtmäßigen Anfragen ihrer Strafverfolgungsbehörden auch auf im Ausland gespeicherte Daten zuzugreifen, sofern sie Kontrolle darüber haben. Theoretisch kann das auch Kundendaten einer europäischen Tochtergesellschaft betreffen.

Durch die lokale Datenhaltung inklusive aller Metadaten soll sichergestellt werden, dass keine Datenströme – auch nicht versehentlich oder zu Administrationszwecken – die EU-Grenzen verlassen.

Ein ähnliches Angebot bietet auch Microsoft: mit der Sovereign Public Cloud soll dafür Sorge getragen werden, dass Daten von EU-Kunden ausschließlich in Europa gespeichert und verarbeitet werden. Microsoft setzt hier insbesondere auf eine Verschlüsselung und Schlüsselverwaltung durch den Kunden selbst. Das Sicherheitsmodul unterliegt so der vollständigen Kontrolle durch den Nutzer.

Beide Anwendungen richten sich gegenwärtig vor allem stark regulierte Sektoren wie den öffentlichen Dienst, das Gesundheitswesen und Finanzdienstleister. Sie sind aktuell noch nicht für Unternehmen aller Branchen verfügbar.

Fazit

Datenschutz bedeutet Vertrauen: dieses entsteht durch transparente Prozesse, technische Schutzmaßnahmen, rechtlich belastbare Vereinbarungen und Kontrollmöglichkeiten. Dies mag keine einfache Aufgabe sein, aber eine lösbare.

Unser Angebot

Um mit Ihnen gemeinsam ein wenig Licht ins Dunkle zu bringen, bieten wir Ihnen am 18.02. ein Webinar zum Thema US-Dienstleister (Microsoft, AWS & Co.) – datenschutzrechtliche Anforderungen an. Die Teilnahme am Webinar ist für die Beschäftigten unserer Datenschutzmandanten in der monatlichen Pauschale enthalten. Weitere Informationen finden Sie hier