Montag, 16. September 2024

IT-Sicherheit: Vorsicht vor US-Anbietern in der Krise

Hamburg. (tds) Von Homeoffice bis Videokonferenzen beschleunigen derzeit viele Unternehmen ihre betriebliche Digitalisierung. Dabei sollten IT-Verantwortliche besser nicht auf US-Anbieter setzen – um nicht den Regeln der US-Konzerne zu unterliegen oder gar unbeabsichtigt ins Visier von US-Behörden zu geraten. Davor warnt Detlef Schmuck, Geschäftsführer der Hamburger TeamDrive GmbH. Das Unternehmen bietet einen Hochsicherheitsdatendienst an, der aufgrund seiner Sicherheitseinstufung über betriebliche Belange hinaus auch für Berufsgeheimnisträger wie Anwälte und Steuerberater geeignet ist. Diese Berufsgruppen sind von Gesetzes wegen zum Stillschweigen verpflichtet. «Unternehmen sollten sich nicht mit weniger zufrieden geben», sagt Detlef Schmuck mit Verweis auf das Risiko beim Einsatz von US-Anbietern. Der Fachmann nennt drei Gründe, weshalb die deutsche Wirtschaft ihre Daten nicht US-Anbietern anvertrauen sollte:

  1. Der US Patriot Act erlaubt US-Behörden wie der CIA, der NSA oder dem FBI seit 2001 ohne richterliche Anordnung den Zugriff auf die Server von US-Unternehmen. Dies schließt ausländische Tochterfirmen etwa in Deutschland ausdrücklich ein, selbst dann, wenn deutsche oder europäische Gesetze etwa zum Datenschutz dies explizit untersagen. Teile des Gesetzes waren am 01. Juni 2015 abgelaufen und wurden am 02. Juni 2015 durch die Bestimmungen des USA Freedom Act ersetzt.
  2. Der US Freedom Act zwingt US-Unternehmen zur Vorratsdatenspeicherung aller Kundendaten, um sie auf Verlangen an US-Behörden herauszugeben, wenn diese eine potenzielle Gefahr geltend machen.
  3. Der US Cloud Act verpflichtet US-amerikanische Internetfirmen und IT-Dienstleister seit 2018, US-Behörden auch dann Zugriff auf gespeicherte Kundendaten zu gewähren, wenn die Speicherung außerhalb der USA erfolgt, also zum Beispiel in Deutschland. Die Behörde kann dem Dienstleister verbieten, seine Kunden über einen solchen Zugriff zu informieren.

«Wer personenbezogene Daten oder Firmengeheimnisse bei einem US-Anbieter speichert, geht immer ein Risiko ein, sich damit gemäß Datenschutz-Grundverordnung strafbar und schadensersatzpflichtig zu machen», sagt Detlef Schmuck.

Der Fachmann verweist zudem auf die Gefahr, dass der Europäische Gerichtshof (EuGH) den derzeit noch gültigen «Privacy Shield» zwischen der EU und den USA in diesem oder im nächsten Jahr für rechtsungültig erklärt. Das Europäische Parlament hat den «Privacy Shield» bereits als nicht vereinbar mit dem EU-Grundrecht auf Privatsphäre verurteilt. Kippt der EuGH die Vereinbarung, würde die Nutzung von US-Diensten für personenbezogene Daten für europäische Unternehmen per se einen Verstoß gegen den Datenschutz darstellen.

«Die US-Digitalkonzerne haben doch in der momentanen Pandemie schon angefangen, ihre Muskeln spielen zu lassen», sagt Detlef Schmuck. Er nennt beispielhaft die gemeinsamen Vorgaben von Apple und Google bei der Datenhaltung für ein Tracing-System zur Kontaktverfolgung für alle Staaten einschließlich der Bundesregierung. «Das Verständnis der US-Regierung und der US-Konzerne läuft letztendlich darauf hinaus, dass sie die globalen Regeln für die Informationsverarbeitung und Datenspeicherung vorgeben», sagt der Fachmann, und schlussfolgert: «Daher ist es höchste Zeit, sich von dieser Abhängigkeit so schnell und so weit wie möglich zu lösen.»

Detlef Schmuck appelliert: «Die Deglobalisierung ist nicht nur in der Logistik das Gebot der Stunde, sondern auch bei der IT als Herzstück praktisch jeder Firma.»

Nachtrag: Was Schmuck gar nicht erwähnt, für bundesdeutsche Unternehmen aber von großer Bedeutung ist: das rechtskonforme Agieren nach der Datenschutzgrundverordnung (DSGVO).