Von Homeoffice bis Videokonferenzen beschleunigen derzeit viele Unternehmen ihre betriebliche Digitalisierung. Dabei sollte man allerdings tunlichst nicht auf US-Anbieter setzen, um nicht den Regeln der US-Konzerne zu unterliegen oder gar unbeabsichtigt ins Visier von US-Behörden zu geraten, warnt Detlef Schmuck, Geschäftsführer der Hamburger TeamDrive GmbH. Das Unternehmen bietet einen Hochsicherheitsdatendienst an, der aufgrund seiner Sicherheitseinstufung über betriebliche Belange hinaus sogar für Berufsgeheimnisträger wie Anwälte und Steuerberater geeignet ist. Diese Berufsgruppen sind von Gesetzes wegen zum Stillschweigen verpflichtet. “Unternehmen sollten sich nicht mit weniger zufrieden geben”, meint Detlef Schmuck mit Verweis auf die Risikolage beim Einsatz von US-Anbietern.
Der TeamDrive-Chef nennt drei gute Gründe, warum die deutsche Wirtschaft ihre Daten nicht US-Anbietern anvertrauen sollte:
- Der US Patriot Act erlaubt US-Behörden wie der CIA, der NSA oder dem FBI seit 2001 ohne richterliche Anordnung den Zugriff auf die Server von US-Unternehmen. Dies schließt ausländische Tochterfirmen etwa in Deutschland ausdrücklich ein, selbst dann, wenn deutsche oder europäische Gesetze etwa zum Datenschutz dies explizit untersagen. Teile des Gesetzes waren am 1. Juni 2015 abgelaufen und wurden am 2. Juni 2015 durch die Bestimmungen des USA Freedom Act ersetzt.
- Der USA Freedom Act zwingt US-Unternehmen zur Vorratsdatenspeicherung aller Kundendaten, um sie auf Verlangen an US-Behörden herauszugeben, wenn diese eine potenzielle Gefahr geltend machen.
- Der Cloud Act verpflichtet US-amerikanische Internetfirmen und IT-Dienstleister seit 2018, US-Behörden auch dann Zugriff auf gespeicherte Kundendaten zu gewähren, wenn die Speicherung außerhalb der USA erfolgt, also beispielsweise in Deutschland. Die Behörde kann dem Dienstleister verbieten, seine Kunden über einen solchen Zugriff zu informieren.
“Wer personenbezogene Daten oder Firmengeheimnisse bei einem US-Anbieter speichert, geht immer ein Risiko ein, sich damit gemäß Datenschutz-Grundverordnung strafbar und schadensersatzpflichtig zu machen”, sagt Detlef Schmuck.
EuGH und Privacy Shield
Der TeamDrive-Chef verweist zudem auf die Gefahr, dass der Europäische Gerichtshof (EuGH) den derzeit noch gültigen “Privacy Shield” zwischen der EU und den USA in diesem oder im nächsten Jahr für rechtsungültig erklärt. Das Europäische Parlament hat den “Privacy Shield” bereits als nicht vereinbar mit dem EU-Grundrecht auf Privatsphäre verurteilt. Kippt der EuGH die Vereinbarung, würde die Nutzung von US-Diensten für personenbezogene Daten für europäische Unternehmen per se einen Verstoß gegen den Datenschutz darstellen.
“Die US-Digitalkonzerne haben doch in der momentanen Pandemie schon angefangen, ihre Muskeln spielen zu lassen”, meint Detlef Schmuck. Er nennt beispielhaft die gemeinsamen Vorgaben von Apple und Google bei der Datenhaltung für ein Tracing-System zur Kontaktverfolgung für alle Staaten einschließlich der Bundesregierung. “Das Verständnis der US-Regierung und der US-Konzerne läuft letztendlich darauf hinaus, dass sie die globalen Regeln für die Informationsverarbeitung und Datenspeicherung vorgeben”, sagt der TeamDrive-Chef, und schlussfolgert: “Daher ist es höchste Zeit, sich von dieser Abhängigkeit so schnell und so weit wie möglich zu lösen.”
Detlef Schmuck appelliert: “Die Deglobalisierung ist nicht nur in der Logistik das Gebot der Stunde, sondern auch bei der IT als Herzstück praktisch jeder Firma.”