Die aufstrebenden Jahre der beliebten US-Cloud-Lösungen sind somit wohl am Ende ihrer Blütezeit angelangt. Hohe Bußgeldstrafen bei Datenschutzvergehen sind zwar keine Neuigkeit mehr, wer in Deutschland aber unternehmerisch tätig ist, sollte sich hier genau Klarheit verschaffen. Denn auch deutsche Behörden haben mittlerweile weitreichende Ermittlungen hinsichtlich dieser Thematik aufgenommen.

In diesem Artikel geben wir dir einen kurzen Einblick darin, warum der Datenschutz bei Softwares von US-Anbietern problematisch sein kann. Hierzu erklären wir dir kurz, wie der Datenschutz in der Europäischen Union und in den USA geregelt wird sowie warum die meisten US-Softwares keinen Datenschutz auf europäischem Niveau aufweisen. Am Ende erfährst du auch, welche alternative Lösung dir zur Verfügung steht, um maximalen Datenschutz zu gewährleisten.

Der Begriff „Datenschutz“ gewann innerhalb der letzten Jahre im Zuge der voranschreitenden Digitalisierung an enormer Bedeutung. Auch die Europäische Union wurde aktiv und erließ eine rechtliche Grundlage, um die Daten digitaler Nutzer zu schützen.

Bei der Datenschutz-Grundverordnung – kurz DSGVO – handelt es sich um den Schutz der Persönlichkeitsrechte des Einzelnen. Informationen dürfen seit ihrem Inkrafttreten nur noch mit der Zustimmung der betreffenden Person gesammelt werden. Zudem gibt es jederzeit die Möglichkeit, diese Zustimmung auch wieder zu widerrufen. Die DSGVO standardisiert somit EU-weit die Regeln zum Datenschutz. Das bringt uns jedoch auch schon zum größten Problem bei der Umsetzung dieser rechtlichen Regelung. Die meisten Software-Anbieter sind Unternehmen aus den USA, wo das Thema Datenschutz bekanntlich anders – und viel lockerer – gehandhabt wird, als in den Mitgliedsstaaten der Europäischen Union. Aus diesem Grund musste mit der Einführung der DSGVO eine Lösung gefunden werden, die den Schutz von Nutzerdaten auch in den USA gewährleistet – das sogenannte Privacy Shield.

Das Privacy Shield war ein informelles Abkommen zwischen den USA und der EU. Damit verpflichteten sich amerikanische Unternehmen, die in der DSGVO festgelegten Beschränkungen und Grundsätze, die die Daten der EU-Bürger schützen sollen, einzuhalten. Allerdings wurde das Privacy Shield 2020 vom EuGH gekippt, da die Daten von EU-Bürgern auf US-Servern nicht vor dem Zugriff der dortigen Behörden geschützt waren.

Das Privacy Shield stand nämlich im Widerspruch zu dem 2018 erlassenen Cloud Act in Kombination mit dem Patriot Act von 2001. Diese ermöglichen es US-Behörden, von US-Unternehmen die Herausgabe personenbezogener Daten zu fordern. Davon sind natürlich auch personenbezogene Daten von EU-Bürgern und sensible Firmeninterna betroffen. Da in den USA das nationale US-Recht über dem EU-Recht steht, war eine Einhaltung der DSGVO auf diese Weise nicht möglich.

Eigentlich dürften jetzt theoretisch überhaupt keine Nutzerdaten aus der EU mehr in die USA übertragen werden, praktisch ist das aber nicht möglich. Vor allem während der aktuellen Corona-Krise ist ein rasanter Anstieg der Nutzung von digitalen Tools zur Firmenkommunikation zu verzeichnen. Der Großteil dieser Dienste hat seinen Sitz allerdings in den USA. Von heute auf morgen nun auf all diese Tools zu verzichten, erweist sich klar als nicht so einfach.

In einem ersten Schritt solltest du dir am besten überlegen, welche US-Dienste du nutzt, und welche davon unbedingt notwendig sind. Anschließend überprüfst du bei diesen Diensten zwei wichtige Standorte: 

• Wo befindet sich der Hauptsitz der Firma?
• Wo stehen die Server, beziehungsweise an welchem Ort werden die Daten gespeichert?

Sobald einer dieser beiden Standorte in den USA liegt, ist Vorsicht geboten! Aber auch ein vermeintlicher Firmensitz einer Tochterfirma in Irland sollte dich nicht zu schnell in Sicherheit wiegen. Hier kann es trotzdem zu einer internen Übertragung der Daten in die USA kommen.

Wenn du nun weiterhin vor hast, Software aus den USA zu nutzen, ist es ratsam, einige Dinge zu beachten. Somit kannst du dich zumindest rechtlich etwas absichern. Einige Dienste nutzen bereits EU-Standardvertragsklauseln. Diese Klauseln können hier eine rechtlich gültige Grundlage für den Datentransfer bilden. In diesem Zusammenhang müssen die jeweiligen US-Unternehmen gewährleisten, dass das verlangte, europäische Datenschutzniveau auch in den USA eingehalten wird.

Auch die deutschen Behörden kontrollieren seit der Aufhebung des Privacy Shields vermehrt, ob US-Dienste genutzt werden. Kann man bei solch einer Kontrolle nicht zufriedenstellend und glaubhaft vermitteln:

1. Wieso ein US-Anbieter genutzt wird oder
2. Welche Vorkehrungen getroffen wurden, um die Einwilligungen der betroffenen Personen für die Übertragung ihrer Daten in die USA einzuholen,

so können nicht nur förmliche Anordnungen zu einem Anbieterwechsel, sondern auch empfindliche Geldstrafen drohen.

Eine rechtlich sichere und unkomplizierte Alternative bietet hier insbesondere die Nutzung von heimischen Software-Lösungen. Hierzu mehr im folgenden Abschnitt.

Relation5 bietet einen sicheren Weg für die betriebsinterne Kommunikation und die Aufbewahrung von Mitarbeitergesprächen und Vereinbarungen.

Relation5 hat sich bewusst für den Serverstandort Deutschland entschieden, denn hier unterliegen wir und unsere Dienstleister den strengen deutschen Datenschutzgesetzen. Alle Daten werden ausschließlich auf deutschen Servern mit ISO-27001 Zertifizierung gehostet.

Mit uns können Mitarbeiter sicher über ihr privates Smartphone kommunizieren und Unternehmen müssen ihre Mitarbeiter mit keinem Zweitgerät ausstatten. Somit spart das Unternehmen die Summe für die Anschaffung neuer Geräte und der Mitarbeiter muss sich nicht um zwei Geräte kümmern.
Wir greifen nicht auf die persönlichen Daten des Smartphones zu und umgekehrt teilen wir auch keine mit dem privaten Smartphone. Somit ist relation5 optimal geeignet für Unternehmen mit sensiblen Informationen wie Datenschützer, Steuerkanzleien, Anwaltskanzleien.

Relation5 ist Private first. Mitarbeiter sehen nur Informationen, für die sie auch eine Berechtigung haben. Beispielsweise sind Mitarbeiter nur Teil eines Channels bzw. dieser ist nur für sie sichtbar, wenn der Channel Admin sie hinzugefügt hat

Weiter baut relation5 ein granularen Berechtigungsmanagement um alle Rollen- und Rechteszenarien eines Unternehmens flexibel darzustellen.