Im Zuge der Corona-Pandemie haben Zoom, Teams und Co. in deutschen Unternehmen Einzug gehalten. Doch so bequem diese digitalen Tools auch sind, so unscharf ist der Datenschutz dabei. Firmen sollten bei ihren Server- und Datenstrukturen ganz genau hinschauen.

Es gehört zum Basiswissen jeder Wirtschaftsstudentin und jedes Wirtschaftsstudenten bereits im ersten Semester: Monopole sind für eine Marktwirtschaft niemals gut. Das gilt zweifelsfrei auch für den Softwaremarkt, wo seit Jahren und Jahrzehnten US-amerikanische Unternehmen den Ton angeben. Durch die Pandemie in den vergangenen Jahren und den wachsenden Trend zur Remote Work hat sich der Einsatz digitaler Helferlein für ein vernetztes Arbeits-Miteinander gefühlt nochmals exponentiell gesteigert. Doch so praktisch und hilfreich Zoom, Teams und Co. für das dezentralisierte Miteinander in Unternehmen und Organisationen auch sind, so knifflig verhält es sich dabei mit der Sicherheit. Besonders die Daten von Mitarbeitenden, Kundinnen und Kunden steht dabei im Fokus.

Keine Rechtsgrundlage für den Datentransfer in die USA

Kernproblem: Die Anbieter der beliebten Programme fürs digitale Miteinander haben ihren Sitz überwiegend in den Vereinigten Staaten. Doch noch gibt es keine Rechtsgrundlage für die Übermittlung von personenbezogenen Daten aus der Europäischen Union in die USA.

In den vergangenen Monaten haben mehrere Gerichte bestätigt, dass es keine einwandfreie Rechtsgrundlage gibt, um personenbezogene Daten in die USA zu übermitteln – aufgrund des US-Cloud-Act auch selbst dann nicht, wenn der US-Anbieter deutsche Rechenzentren besitzt.

Daher stehen europäische Unternehmen, die die von Microsoft gebündelten Cloud-Dienste nutzen, vor der Gefahr, Strafen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu riskieren. Vor allem stehen Collaborations-Lösungen wie MS Teams oder Zoom in der Kritik von Datenschützern – auch wegen des Einsatzes im öffentlichen Bereich wie in Schulen oder Behörden. Allerdings widersprechen hier die Anbieter den Kritikpunkten vehement und sagen, dass keine personenbezogenen Daten im Ausland verarbeitet würden. Es bleibt abzuwarten, ob es in dieser Sache eine sinnhafte Rechtsgrundlage geben wird.

Ab 31. Dezember 2022 „echte“ DSGVO-Sammelklagen möglich

Laut Roman Leuprecht sieht man bei den Klagen eine zunehmende Professionalität, nachdem Kanzleien und Verbände nun auch das Umsatzpotenzial der DSGVO-Verstöße erkannt haben. Er ist technischer Leiter und Mitgründer des Start-ups UNIKI mit Sitz in München, das sich auf Privat-Cloud-Anwendungen spezialisiert hat. Profi-Kläger gehen nach seiner Beobachtung inzwischen viel zielführender und effektiver vor. Laut dem Experten lassen diese sich Ansprüche abtreten und organisieren im Folgenden Zessions-Sammelklagen oder Musterfeststellungsklagen. Mit dem Inkrafttreten der EU-Verbandsklagerichtlinie zum 31. Dezember 2022 werden sogar DSGVO-Sammelklagen möglich. Dementsprechend wird die Gefahr für Unternehmer immer konkreter.

Wie Firmen auf die wirklich sichere Seite kommen

Der Schritt in die rechtlich sichere und uneingeschränkte Datensouveränität und in ein vertrauenswürdiges DSGVO-Schutzniveau führt letztlich nur über die ausschließliche Nutzung europäischer Kollaborationslösungen in Rechenzentren europäischer Unternehmen oder – noch besser – eigener Inhouse-Server. Dazu rät Leuprecht entsprechende Maßnahmen nicht aufzuschieben, da allein ein Datenserver, der sich physisch am Unternehmensstandort befindet, diese unnötigen Risiken mitigiert.

Sichere Abhilfe schaffen „Private Cloud“ beziehungsweise „Hybrid Cloud“ Lösungen, die durch zentrale Wartung ähnlich sicher und vor allem komfortabel wie Cloud-Dienste sind, und zugleich durch eine Datenspeicherung am Firmenstandort oder in deutschen Rechenzentren das Datenschutzrisiko minimieren.

Quelle Titelbild: Pixabay.com, BenediktGeyer