Expertenbeitrag

 Henrik Hasenkamp

Henrik Hasenkamp

CEO und Gründer, gridscale

DSGVO, Europa und die Cloud Wie können deutsche Unternehmen ihre Daten schützen?

Von Henrik Hasenkamp

Die weltweit erzeugten Datenmengen wachsen exponentiell, und damit auch der Bedarf nach entsprechendem Datenschutz. Wo stehen Europa und Deutschland hier und wie kann die Cloud Unternehmen dabei helfen, stets auf der sicheren Seite zu bleiben?

Anbieter zum Thema

Nachrichten über Datenlecks und -hacks, in deren Folge teils kritische Daten an unberechtigte Dritte gelangen, werden in den letzten Jahren immer häufiger.
Nachrichten über Datenlecks und -hacks, in deren Folge teils kritische Daten an unberechtigte Dritte gelangen, werden in den letzten Jahren immer häufiger.
(Bild: gemeinfrei / Pixabay )

Der Wert von Daten und Informationen hat den von Öl überstiegen - der digitale Rohstoff ist längst zum wertvollsten Wirtschaftsgut unserer Gesellschaft geworden. Dieser Zustand wird sich weiter zuspitzen, betrachtet man die prognostizierte Entwicklung der weltweiten Datenmenge in den kommenden drei Jahren: das Volumen generierter Daten wird sich bis 2025 verglichen mit 2018 auf über 175 Zettabyte (175 Milliarden Terabyte) mehr als verfünffachen, berichtet Statista. Die Lösung, um diese Mengen beherrschen zu können, heißt für die meisten Unternehmen Cloud. Laut einer Bitkom-Studie nutzen mittlerweile 82 Prozent aller deutschen Unternehmen Cloud-Infrastrukturen zumindest teilweise, Tendenz steigend. Bis 2025 sollen laut Bitkom im Schnitt sogar bereits die Hälfte aller Anwendungen aus der Cloud kommen.

Dabei kann es sich um Public-, Private- oder Hybrid-Clouds handeln, die unternehmenseigene Infrastrukturen und rechtliche Anforderungen mit einbeziehen. Daten vor unberechtigtem Zugriff zu schützen ist dabei entscheidend, da Datenschutzverletzungen zu hohen Strafzahlungen führen können, die gerade für kleine und mittelständische Unternehmen schnell betriebsgefährdend sein können. Auch deutsche Unternehmen stehen vor der enormen Herausforderung, die stetig wachsende Datenmenge regelkonform zu verwalten. Wie können ihr Unternehmen begegnen?

Der Status quo 2022

Nachrichten über Datenlecks und -hacks, in deren Folge teils kritische Daten an unberechtigte Dritte gelangen, werden in den letzten Jahren immer häufiger. Durch die gestiegenen Datenmengen in nahezu jeder Art von Unternehmen gibt es theoretisch keine Branchen und Unternehmensgrößen mehr, die nicht für einen Angriff infrage kämen. Grundsätzlich gilt: Je größer die Menge an kritischen Daten innerhalb einer Organisation, desto mehr lohnt sich ein Hack aus Sicht der Angreiferer und desto aufwendiger ist es für das Unternehmen selbst, internen Datenlecks vorzubeugen. Doch es muss nicht immer ein Leck oder ein Hack sein, der zu Strafzahlungen führt. Schon das Speichern von Informationen an einem falschen Ort kann ausreichen, um eine Datenschutzverletzung zu begehen. Unternehmen aus strenger regulierten Industrien wie der kritischen Infrastruktur sollten hierauf ein besonderes Augenmerk legen: Denn häufig dürfen sie bestimmte kritische Daten beispielsweise nicht auf Public-Clouds ablegen, sondern müssen dafür dedizierte Server nutzen.

Werden diese inhouse gehostet, entfällt die Absicherung über einen externen Provider, weshalb es hier häufig Sinn ergibt, auch lokale Server über die Strukturen von Cloud-Providern zu nutzen, z. B. Virtual Locations oder Private- bzw. Hybrid-Clouds. Sobald Organisationen Cloud-Services nutzen, können sie aber schnell in eine andere Falle tappen: So ist die Speicherung sensibler, beispielsweise personenbezogener Daten in Rechenzentren außerhalb der EU in vielen Fällen nur unter Auflagen möglich. Hierzu gehören Standarddatenschutzklauseln, die in Cloud-Verträgen den Datenverkehr zwischen Importeur und Exporteur regeln und somit Rechtssicherheit gewährleisten. Zudem dürfen sie nicht verändert werden, da ansonsten ihre datenschutzrechtliche Wirkung verloren geht.

Existiert eine solche Klausel im Vertrag nicht und der Cloud-Provider lagert kritische Daten beispielsweise in ein US-amerikanisches Rechenzentrum aus, haftet der Kunde – auch wenn er die Auslagerung gar nicht veranlasst hat und sie ohne sein Wissen geschehen ist.

Dieses Risiko können Unternehmen weitgehend ausschließen, indem sie ihre Daten über europäische oder deutsche Anbieter hosten lassen. Diese nutzen häufig Rechenzentren innerhalb der EU und Deutschland und unterliegen so automatisch hiesigen Datenschutzbestimmungen.

DSGVO und Bundesdatenschutzgesetz

Ein besonderer Vorteil in Deutschland ansässiger IT-Provider ist, dass sich das deutsche Bundesdatenschutzgesetz (kurz: BDSG) zu großen Teilen mit der EU-weit geltenden DSGVO deckt. Das führt dazu, dass Cloud- und andere IT-Anbieter mit deutschem Firmensitz und in Deutschland gehosteten Servern mit die größte Sicherheit beim Schutz von Daten innerhalb der EU bieten können.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Für deutsche und andere europäische Organisationen ist das ein Vorteil im internationalen Wettbewerb, beispielsweise mit den USA oder China.

China oder die USA gehören datenschutztechnisch primär zu den unsicheren Drittländern. Im Vergleich dazu gilt das europäische Datenschutzniveau international als deutlich sicherer. So kann das höhere Sicherheitsniveau von hier gehosteten Daten als positives Argument von Unternehmen für die Gewinnung neuer Kunden und Partner genutzt werden.

Doch auch innerhalb Europas existieren noch zahlreiche unterschiedliche Regelungen, die in den kommenden Jahren vereinheitlicht werden müssen, um den prognostizierten Datenmengen ein handfestes Organisationskonzept gegenüberstellen zu können. Viele Märkte müssen ihre Landesverordnungen optimieren, um näher an die Anforderungen der DSGVO heranzurücken.

Europa ist allerdings keine digitale Insel – in einer globalisierten Welt gilt es, neue Lösungen für den Datenverkehr zwischen der EU und den USA oder China zu finden: Obwohl beide Länder zu den unsicheren Drittländern gehören, kann der Datenfluss durch Standardvertragsklauseln legalisiert werden.

Hinsichtlich dieser Klauseln gab es in den beiden letzten Jahren zwei Änderungen vonseiten der EU, die Unternehmen kennen müssen:

  • Im Zuge des Schrems-II-Urteils vom Juli 2020 wurde beiden Vertragspartnern die Pflicht auferlegt, beim Abschluss von Standardvertragsklauseln darauf zu achten, dass ihre Einhaltung nicht durch lokale Bestimmungen behindert wird.
  • Hinzu kommen neue Standardvertragsklauseln, die im Juni 2021 von der EU beschlossen wurden, am 27.09.2021 für Neuverträge in Kraft getreten sind und ab dem 27.12.2022 auch in Altverträgen eingebunden sein müssen.

Europa ist auf einem guten Weg

Grundsätzlich ist es wichtig, sich von all den Regelungen im Hinblick auf die DSGVO nicht verängstigen zu lassen: Der Datenschutz in Deutschland und Europa ist geregelt und solange Unternehmen die Ressourcen investieren, sich an die bestehenden Anforderungen anzupassen, werden sie langfristig auf der sicheren Seite sein. Etablierte IT- und Cloud-Provider sind darauf spezialisiert, die rechtliche Entwicklung des weltweiten Datenschutzes zu beobachten und so DSGVO-konforme Lösungen anzubieten, die Unternehmen in diesem Prozess unterstützen. Entscheidend hier ist das Datenhosting auf deutschen oder europäischen Servern sowie die Entwicklung individueller, an das einzelne Unternehmen angepasster Speicherlösungen wie Public-Cloud-Strukturen oder individuelle Hybridlösungen für Unternehmen aus kritischen Infrastrukturen oder stark kontrollierten Industrien. Dabei ist es wichtig, die Entwicklungen in der europäischen und auch globalen Gesetzgebung im Auge zu behalten, um auf Veränderungen flexibel reagieren zu können.

Grundsätzlich ist Europa datenschutztechnisch auf einem guten Weg, die noch offenen Baustellen werden aber bald zeigen, ob die Gesetzgebung – vor allem international – mit den steigenden Datenmengen in Einklang zu bringen ist.

(ID:48267503)