EU- native IT Services: DSGVO – konform, aber auch einsetzbar?

EU – native IT Services sind verfügbar, fristen auf dem EU Markt jedoch ein Nischendasein. Teils zu Unrecht, denn es gibt exzellente Lösungsanbieter für alle möglichen Anwendungen.

Leider scheut die Industrie – und leider auch die Verwaltung – davor zurück, entsprechende IT Lösungen einzuführen. Neben mangelndem Verständnis für den Wert ihrer Daten sind fehlendes Wissen im Bereich Digitalisierung und Datenschutz, eine bereits weit fortgeschrittene Implementierung von IT Services bekannter Hyperscaler und die wachsende Integration dieser Anwendungen sowohl untereinander, als auch mit Individuallösungen der Unternehmen eine Barriere, die kaum zu überwinden ist.

Vergehen gehen die DSGVO werden gemäß Bußgeldkatalog sanktioniert. Jedoch ist dieser kaum bekannt. Zuweilen werden spektakuläre Urteile gegen Unternehmen in der Presse veröffentlicht. Erstaunlicherweise hat das keine Auswirkungen auf das Schuld- und Risikobewusstsein von Unternehmern, Entscheidungsträgerinnen oder IT Verantwortlichen.

Wenige nur setzen sich ernsthaft mit dem Thema Datenschutz und Datensicherheit auseinander. Sie verstecken sich hinter selten validierten Befürchtungen um Zusatzkosten für die Einführung neuer Systeme und die Neugestaltung von Schnittstellen, Unterbrechungen des Tagesgeschäfts durch fehlerhafte Migration von Daten, Aufwände für die Schulung der Mitarbeiter und Mitarbeiterinnen und Auswirkungen auf Kerngeschäft des Unternehmens.

Dabei wäre es nicht nur für die Unternehmen, sondern für ganz für Europa essentiell, eigene IT Services zu entwickeln und zu betreiben. Über die Zeit würden sich auch hier in Europa herausragende Kompetenzen im IT Business entwickeln. Es gäbe viel mehr Arbeitsplätze in der Digitalisierung. Softwareunternehmen, IT Infrastrukturbetreiber und IT Dienstleister würden in den EU Staaten Steuern entrichten. Mit den Anforderungen aus Gesellschaft, Industrie und Verwaltung würden EU-spezifische Produkte und Services entstehen, die den Marktteilnehmern Wettbewerbsvorteile verschaffen. Der europäische Wirtschaftsraum könnte eigene Marktbarrieren für IT Services aufbauen und so den Abfluss von Daten, Wissen und Geld maßgeblich verringern. letztlich wäre anzunehmen, dass strafrechtliche Verfolgung von Cyber Crime und Datenmissbrauch nach einem europäischen Wertesystem gestaltet und einfacher durchzuführen wäre.

Es gibt viele Gründe, EU – native IT Services in den Unternehmen, der Verwaltung und Exekutive auszurollen. Aktuelle Tendenzen der Digitalisierung und die Diskussion der politischen Elite lassen jedoch wenig Hoffnung zu, dass wir hier in Europa geostrategische digitale Souveränität erlangen und fachlich an die Weltspitze anschließen werden.

Driven by digitalization oder Driving Digitalization?

Ein Grund für die schleppende Einführung EU-nativer IT Lösungen sind Entscheidungsträger, die sich aus der Verantwortung stehlen. Führungskräfte in Industrie, Verwaltung und Executive setzen sich eher selten ernsthaft mit der DSGVO auseinander. Sie interessieren sich kaum für Motivation und Auswirkungen strategischer Klagen auf den Umgang ihres Unternehmens mit Daten. Oft fehlt es an Vorstellungskraft, dass es neben den bekannten IT Services auch valide Alternativen europäischer Unternehmen gibt. 

Im Regelfall nutzen Mitarbeiter und Mitarbeiterinnen eben jene Anwendungen, die sie von daheim, aus dem Studium oder von einem anderen Unternehmen her kennen. Dabei handelt es sich ganz überwiegend um populäre IT Lösung bekannter U.S. – amerikanischer Hyperscaler. Der Vorteil liegt auf der Hand: die Mitarbeiterinnen und Mitarbeiter finden sich in der neuen Umgebung schnell zurecht und können dem Unternehmen unverzüglich den erhofften Mehrwert bieten. Und weil es eben alle so machen und es so schön rund läuft, will eigentlich kaum jemand wirklich wirklich wissen inwieweit das Verhalten DSGVO-konform ist, oder eben nicht.

Hyperscaler und die Herausgabe personenbezogener Daten

Die Arg- und Sorglosigkeit beim Umgang mit digitalen Daten ist bemerkenswert. Dieses gilt sowohl für Privatpersonen, als auch für Angestellte von Unternehmen. Dabei bietet das Internet hinreichend seriöse Quellen, bei denen sich jede in der Verantwortung stehende Fachkraft, jede Entscheidungsträgerin und jeder leitender Angestellte über den Umgang mit personenbezogenen Daten, Anforderungen an Datenschutz und Datensicherheit gemäß DSGVO und die Eignung von IT Services für die Abbildung bestimmter Services informieren kann.

Beispielhaft genannt seinen Veröffentlichungen des/der Europäischen Datenschutzbeauftragten https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#technical-measures oder Einschätzungen der/des Dateschutzbeauftragten des Landes Rheinland – Pfalz zum zu Microsoft 365 https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/.

Ein kurzer Blick auf die Informationen zeigt, dass Zitat „ Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.“ Zitat Ende – gesehen auf der Seite der/des Datenschutzbeauftragten von Rheinland – Pfalz s.o. am 12.08.2022

Aber auch andere Hyperscaler verdienen durchaus die Aufmerksamkeit der/des Datenschutzbeauftragten in Unternehmen, denn sie erheben direkt oder indirekt über verbundene Unternehmen personenbezogene Daten im großen Stil.

Das nutzen dieser Services kann für ein Unternehmen richtig teuer werden. Ein Blick in den Bußgeldkatalog https://www.datenschutzexperte.de/datenschutz-bussgeldkatalog/ und aktuell verhängte Strafen https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/ kann da durchaus neue Erkenntnisse bringen. Im Sinne des Risikomanagements macht es also durchaus Sinn, sich mit Vor- und Nachteilen genutzter IT Services auseinanderzusetzen. Sonst kann es ein böses Erwachen geben.

In die aktive Rolle kommen: EU-native IT Services als valide Alternativen

Besonders leicht erscheint der Umstieg auf Browser und Suchmaschinen, die den Anforderungen der DSGVO entsprechen. Das kostet nichts, ist schnell gemacht und es bedarf keiner besonderen Schulung der Nutzer und Nutzerinnen. Beispielhaft angeführt sei der Browser Brave (https://brave.com/de/) mit seiner Webconferencing – Einbindung Brave Talk und die in Frankreich entwickelte Suchmaschine Qwant (https://www.qwant.com/) .

Das Ersetzen des MS Office – Pakets erscheint aufwändiger. Umsicht ist insbesondere geboten, wenn Schnittstellen in andere Module des IT Systems neu abgebildet werden müssen. Dennoch gibt es Alternativen. Genannt seinen Libre Office und ONLY Office. Beide Produktfamilien bieten Funktionalitäten, die mit Word, Excel und Powerpoint vergleichbar sind. Es gibt applikationen zum Erstellen von Prozessschaubildern, Organigrammen und Zeichnungen, Datenbank-Anwendungen und Bildbibliotheken. ONLY Office ist sogar als Plug-in in Nextcloud verfügbar und ermöglicht gleichzeitige Bearbeitung der Dokumente von unterschiedlichen Endgeräten aus.

Apropos Nextcloud. Hier eröffnet sich eine ganze Welt von Anwendungen, die das teilen von Daten bei absoluter Datenhoheit garantieren. Darüber hinaus sind sämtliche Group Softwarepakete verfügbar. Email, Chat, Videokonferenzen, KI-Anwendungen, Navigation und vielen andere mehr kann abgebildet werden. Selbst Services, die denen von Youtube ähnlich sind, können bereitgestellt und mit internen oder externen Communities geteilt werden.  

Mittlerweile gibt es sehr gute Service Provider, die Cloudlösungen wie jene der Nextcloud hosten. Manche wie die iphos https://www.iphos.com/?lang=en sind auf KMU spezialisiert und bieten Managed Services für Ticketsysteme, Suchmaschinen und eCommerce an. 

Weitere Services wären:

  • Webconferencing – ClickMeeting (https://clickmeeting.com/de/) – ein polnisches Service
  • Terminplaner – https://www.terminplaner.nrw/; ein Service des Landes Nordrhein-Westphalen
  • Betriebssystem – FreeDSB (https://www.freebsd.org/de/) – Freeware aus Kalifornien

Es gibt sie also, die DSGVO-konformen IT Lösungen. Manche haben europäische Wurzeln und bieten exzellente Servcies. Was es nun braucht ist ein Bewußsein für den Wert der Daten, ein bißchen Interesse für Digitalisierung und den Mut, neue Wege zu gehen. 

Gern berate und begleite ich Sie auf dieser aufregenden Entdeckungsreise. Sprechen Sie mich einfach an!