Warnungen vor US-Clouds

Die norwegische Datenschutzbehörde hat die klare Empfehlung ausgesprochen, dass Unternehmen eine Strategie vorbereiten sollten, wie sie mit amerikanischen Cloud-Diensten umgehen, falls der Datentransfer in die USA plötzlich nicht mehr zulässig ist. Eine ähnliche offizielle Empfehlung der dänischen Datenschutzbehörde nur einige Tage zuvor betont, dass sich Unternehmen nicht auf den aktuellen Angemessenheitsbeschluss verlassen dürfen, da die rechtliche Lage viel zu unsicher sei.

Dass deutsche Datenschutzbehörden mit einer vergleichbaren Warnung nachziehen, ist wahrscheinlich. Die deutschen Aufsichtsbehörden standen in der Vergangenheit bei vielen Risikoeinschätzungen und Datenschutzinitiativen Seite an Seite mit den europäischen Partnerstaaten. Bereits jetzt lassen Aufsichtsbehörden keinen Zweifel daran, dass deutsche Unternehmen sich nicht auf langfristige Rechtssicherheit beim Einsatz von US-Cloud-Diensten verlassen sollten. Sie haben in der Vergangenheit immer wieder betont, dass der Schutz personenbezogener Daten oberste Priorität hat – auch wenn dies für Unternehmen unbequem in der Umsetzung ist.

Gesamteuropäisches Problem

Das Problem liegt darin, dass für viele US-Clouddienste keine europäischen Alternativen existieren. Beschlüsse oder regulatorische Entscheidungen, die den Transfer sensibler Daten in die USA untersagen, würden die Nutzung vieler Cloud-Dienste, auf die Unternehmen im Tagesgeschäft angewiesen sind, abrupt unterbrechen. Mit einem Verbot der Datenflüsse werden kritische Arbeitsprozesse unterbrochen, was in den meisten Fällen zu Betriebsunterbrechungen und in Folge zu Reputationsschäden führen kann.

Sollten offizielle Regelungen und Handlungsanweisungen in den europäischen Staaten oder aus Brüssel heraus konkretisiert und in einem neuen Regelwerk manifestiert werden, müssen viele Unternehmen sehr kurzfristig handeln – insbesondere dann, wenn geschäftskritische Prozesse ausschließlich mit Cloud-Diensten von US-Unternehmen durchgeführt werden. Die kurzfristigen Konsequenzen derartiger Neuregulierungen sind gravierend. Dazu gehören die sofortige Neubewertung bestehender Verträge mit US-Cloud-Anbietern, die Risikobewertungen für alle Datenflüsse in die USA oder die wesentlich strengere Prüfung bei künftigen Cloud-Projekten, ob diese den Datenschutzanforderungen entsprechen.

Abwarten ist keine Option

Warten ist in der aktuellen Abhängigkeitssituation keine gute Option. Das weitreichende und zu einem Teil berechtigte Vertrauen in die Cloud- und IT-Partner in den USA steht im Moment jedoch zunehmend auf der Kippe und die Wahrscheinlichkeit, dass sich die europäischen Datenschutzorgane zugunsten der Sicherheit der europäischen Wirtschaft aussprechen, ist groß.

Noch haben die Unternehmen gute Chancen, die Weichen zu ihren Gunsten zu stellen. In einem ersten Schritt sorgt eine Dateninventur für das valide Wissen darüber, welche Daten mit welchen Grad an Sensibilität wo verarbeitet und gespeichert werden. Darüber hinaus gilt es zu prüfen, welche Prozesse unausweichlich mit Anbietern aus den USA durchgeführt werden müssen und welche vielleicht anders organisiert oder mit europäischen Anbietern umgesetzt werden könnten. Danach folgen möglichst rasch die Strategie und konkrete Pläne, wie sich kritische Daten kurzfristig schützen lassen. Dabei steht immer die maximale Datensouveränität im Vordergrund, bei der mit geeigneten Technologien und Diensten sichergestellt ist, dass der Schutz und der Zugriff auf Unternehmensdaten stets unter eigener Kontrolle bleiben.

Verschlüsselung erfüllt Regulatorik und Compliance

Da es in einigen Fällen an Alternativen und Optionen zu den US-basierten Cloud-Anwendungen und -Diensten mangelt und keine kurzfristigen Ausweichmöglichkeiten bestehen, ist die gezielte Verschlüsselung ein probates und vor allem sicheres Mittel, um die Regulatorik und Compliance einzuhalten. Bei einer geeigneten Datenverschlüsselung wird sichergestellt, dass der Klartext ausschließlich im Unternehmen verbleibt – auch wenn die Speicherung und Datenverarbeitung weiterhin bei nicht europäischen Anbietern verbleibt. Wichtig dabei ist, dass die Unternehmensdaten bereits vor dem Upload in die Cloud verschlüsselt werden. Erst damit ist der Zugriff auf die Daten durch Dritte ausgeschlossen.

Eine Datenverschlüsselung, welche die Kriterien einer Regulatorik und der Compliance erfüllt, ist allerdings nur dann hilfreich, wenn mit den Daten in der Cloud und in den Applikationen trotz Verschlüsselung uneingeschränkt gearbeitet werden kann. Daher sorgt ausschließlich eine funktionserhaltende Verschlüsselung für Abhilfe und Sicherheit zugleich.

Unternehmen sollen bei der Wahl einer Cloud-Verschlüsselungslösung auf folgende Merkmale achten:

Verschlüsselung vor der Cloud
Die Daten verlassen das Unternehmen nur in verschlüsselter Form.

Schlüsselkontrolle
Nur das Unternehmen besitzt die Schlüssel – kein Cloud-Anbieter, keine Behörde, kein Partner.

Volle Funktionalität
Trotz Verschlüsselung bleiben Funktionen wie Suche, Sortierung und Kollaboration erhalten.

Flexibel einsetzbar
Kompatibel mit Microsoft 365, Salesforce und fast jeder weiteren (auch hybriden) Cloud-Umgebung.

Andreas Steffen

ist CEO von eperi.