Der Fall USA versus Microsoft zeigt: Wir müssen das Schicksal unserer Unternehmensdaten »selbst in die Hand nehmen«

Illustration: Absmeier, Geralt

Diese Woche starteten vor dem US-amerikanischen Supreme Court die Anhörungen in einem Prozess, der mit viel Spannung erwartet wurde. Die US-Regierung verlangt von Microsoft, für Ermittlungsverfahren auch Daten herauszugeben, die sich auf europäischen Servern befinden. Dieser Prozess wirft einmal mehr ein Schlaglicht auf ein großes Problem für Europa: Der exzessive Anspruch US-amerikanischer Behörden auf die Daten von US-amerikanischen Anbietern. Denn viele Unternehmen in der EU wickeln ihre Kundenkorrespondenz, ihre Verkaufsprozesse oder ihr komplettes Geschäft in den Business-Clouds solcher Anbieter ab und müssen deshalb um die Vertraulichkeit ihrer sensiblen Daten bangen.

America First

Nach allem, was durch die Snowden-Enthüllungen an die Öffentlichkeit gelangte, muss man wohl davon ausgehen, dass US-amerikanische Geheimdienste umfassenden Zugang zu den Daten dieser Clouds haben. Und von da aus ist es nur noch ein sehr kleiner Schritt zur Auswertung dieser Daten, um die Position des eigenen Landes im internationalen Wettbewerb zu festigen. Die »America First«-Politik und der protektionistische Kurs der Trump-Regierung macht es nicht gerade unwahrscheinlicher, dass dieser Schritt auch gegangen wird. Wer diese Möglichkeit nicht in Erwägung zieht, ist ähnlich naiv wie derjenige, der noch vor fünf Jahren glaubte, die US-Geheimdienste würden unsere Kanzlerin nicht abhören, weil man so etwas »unter Freunden« nicht tut.

EU-DSGVO

Die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union ist vor diesem Hintergrund zu begrüßen – auch wenn sie hiesige Unternehmen erst einmal vor Herausforderungen in puncto Umsetzung stellt. Schließlich zwingt sie auch Unternehmen außerhalb der EU, ihre Datenschutzstandards und -prozesse anzupassen, sofern sie weiterhin in Europa Geschäfte machen wollen. Zumindest in der Theorie. Denn der aktuelle Microsoft-Fall zeigt, wie schwer es werden wird, das durchzusetzen.

Das Microsoft-Dilemma

Wie die Nachrichtenagentur Reuters berichtet, zeigten konservative Richter des Supreme Court bei den Anhörungen bereits Verständnis für das Anliegen der US-Regierung. Liberale Richter dagegen verwiesen darauf, dass ein Urteilsspruch gar nicht unbedingt nötig sei, da der US-Kongress ohnehin schon neue Gesetze im Sinne der US-Regierung plane. So oder so wird es Microsoft also vermutlich unmöglich sein, in Übereinstimmung mit der DSGVO Kunden in der EU zu bedienen. Da der Software-Riese aber in vielen Bereichen der Business-IT tief verankert ist, ist es sehr unwahrscheinlich, dass er aus dem Markt gedrängt wird. Deshalb muss man wohl erneut einen faulen Kompromiss beim Datenschutz befürchten.

Microsoft steht dabei stellvertretend für die ganzen Silicon-Valley-Giganten, die mittlerweile aus unserem geschäftlichen Alltag nicht mehr wegzudenken sind. Das macht deutlich, dass die EU heute dringender denn je Alternativen zu den US-amerikanischen Platzhirschen braucht. Benötigt werden europäische Anbieter, die keinem US-amerikanischen Konzern angehören, ihre Dienste ausschließlich innerhalb der EU hosten und ihre Lösungen auf dem Fundament der DSGVO aufbauen.

Nachfrage nach europäischen Lösungen

Dabei ist natürlich auch die Politik gefragt. Sie muss Rahmenbedingungen und Anreize schaffen, die die Entstehung solcher Unternehmen fördern. Alleine kann sie es aber nicht richten. Letztlich ist es die Nachfrage, die das Angebot treibt. Je mehr die Unternehmen der EU auf Lösungen aus der EU setzen, desto stärker wird sich dieser Markt entwickeln. Vielleicht dauert es etwas länger, eine geeignete europäische Lösung zu finden, als einfach auf eine gängige amerikanische zu setzen. Und vielleicht muss man auch erst einmal ein paar Abstriche bei der Funktionalität machen. Aber die Sicherheit seines geistigen Eigentums sollte diesen Aufwand wert sein.

Am Ende schützen die Unternehmen dann nicht nur sich selbst, sondern unseren gesamteuropäischen Wirtschaftsraum – und das in doppelter Hinsicht. Unsere Daten sind der wertvollste Rohstoff, den wir haben, und nur, wenn wir die Hoheit darüber nicht aus der Hand geben, kann unsere Wirtschaft auch in Zukunft noch davon profitieren. Und wir stärken so den IT-Standort Europa und sorgen für gute und zukunftsfähige Arbeitsplätze in der EU.

Fabio Marti

Fabio Marti ist Director Business Development bei der Münchner Brabbler AG, die eine Plattform für die vertrauliche digitale Kommunikation von Unternehmen entwickelt.

 

Showdown in Washington: Europas Verbände appellieren an Supreme Court

Der Kampf um die europäische Datensouveränität geht in die nächste Runde. Der juristische Konflikt zwischen den USA und Microsoft um die Herausgabe von Daten auf europäischen Servern wird im Februar abschließend vor dem obersten US-Gericht ausgetragen. Jetzt haben sich 38 Europäische Verbände, darunter der deutsche Bitkom, sowie mehrere Mitglieder des EU-Parlaments in sogenannten Amicus-Briefen an den Supreme Court gewendet.

Worum geht es?

Verhandelt wird der Fall »US v. Microsoft, Case 17-2«. Im Jahr 2016 wollten amerikanische Ermittler per Gerichtsbeschluss persönliche Daten einsehen, die auf Microsoft-Servern gespeichert waren. Das Unternehmen weigerte sich. Die Daten seien in Irland gespeichert und würden nicht der US-Rechtsprechung unterliegen. Ob das der Fall ist, wird jetzt verhandelt. Am 27. Februar findet eine mündliche Anhörung statt, ein Urteil wird im Frühsommer erwartet.

Warum ist das wichtig?

Microsoft befindet sich in einer Zwickmühle. Sollte der Supreme Court entscheiden, dass US-Ermittler Zugriff auf Daten von US-Firmen im Ausland (in diesem Fall der EU) haben, kann das Unternehmen sich gar nicht gesetzeskonform verhalten. Entweder es verstößt gegen europäisches Datenschutzrecht oder widersetzt sich einem Gerichtsurteil in seinem Heimatland. Und was für Microsoft gilt, gilt auch für Amazon, Apple und alle anderen internationalen US-Unternehmen.

Das wäre zum einen ein Desaster für besagte Firmen, zum anderen aber auch eine Katastrophe für die europäische Datensouveränität. Schließlich wollen Vorschriften wie die Datenschutzgrundverordnung gerade verhindern, dass ausländische Dienste Zugriff auf personenbezogene Daten von EU-Bürgern erhalten.

Was machen die Verbände?

Die amerikanische Gesetzgebung erlaubt sogenannte Amicus Briefe, in denen Drittparteien zu einem Prozess Stellung nehmen können. 38 europäische Verbände haben sich jetzt zusammengeschlossen und von dieser Möglichkeit Gebrauch gemacht. Sie weisen vor allem darauf hin, dass ein Urteil im Sinne der Kläger zu großer Rechtsunsicherheit führen wird. Der Amicus-Schriftsatz kann bei Bitkom eingesehen werden.

Was kann ich tun?

Sollte der Supreme Court dem Ansinnen des Justizministeriums nachgeben, wäre damit automatisch auch das Privacy Shield in Frage gestellt. Dieser soll den Schutz von in den USA gespeicherten personenbezogenen Daten garantieren. Die Wirksamkeit war zwar schon immer fraglich, doch ein Urteil würde die letzten Hoffnungen im Keim ersticken.

DSGVO-konform: 5 Tipps für die Auswahl Ihres Cloud-Anbieters

Für Unternehmen in Deutschland und Europa, die auf Nummer sicher gehen wollen, sind folgende Tipps für die Auswahl bei Cloud-Anbietern hilfreich:

Herkunft
Wählen Sie europäische oder lokale Anbieter. So ist gewährleistet, dass die eigene Gesetzgebung maßgeblich ist und fremde Staaten keinen Einfluss auf den Anbieter nehmen. Der Patriot Act beispielsweise ist und bleibt ein Risiko für Daten aus Europa.
Unternehmen, die das Zeichen »IT Security made in Germany« nutzen, verpflichten sich beispielsweise zu zentralen Grundsätzen.

Lokale Datenspeicherung
Daten sollten ausschließlich in lokalen Rechenzentren gespeichert werden.

Zertifizierung
Wählen Sie einen Anbieter, der die Wirksamkeit seiner Sicherheitsprozesse mit Zertifikaten belegt (ISO 27001 inkl. 27018, ISAE 3402).

Vertragliche Vereinbarungen
Wählen Sie nur Cloud-Anbieter, die transparent sind und ADV-Verträge bieten.

Sicherheit der Verarbeitung
Wählen Sie Anbieter, die für Ihre Daten eine durchgängige Verschlüsselung, Vertraulichkeit (etwa Operator- und Administrator-Abschirmung), Nachvollziehbarkeit (Audit Trail), Integrität und Verfügbarkeit gewährleisten.

Weitere interessante Informationen finden Sie auf dem Brainloop-Blog.

EU macht Ernst beim Datenschutz: Für Unternehmens-Apps tickt die Uhr

Warum Datenschutz und Verschlüsselung ein Thema für die Vorstandsetage ist

DSGVO: Datenschutz und Datensicherheit

Datenschutz: Neun von zehn Deutsche halten ihre Privatsphäre im Netz für unzureichend geschützt

Unternehmen fehlen Fachkräfte für Datenschutz

Gestärkte Rechte der Betroffenen und neue Datenschutzerklärung nach DSGVO: Was Unternehmen jetzt tun müssen