Cloud Collaboration

Stolperfalle Cloud Collaboration - Unternehmen sollten sich nicht nur auf namhafte Lösungen verlassen

, München, Uniki | Autor: Roman Leuprecht

Stolperfalle Cloud Collaboration - Unternehmen sollten sich nicht nur auf namhafte Lösungen verlassen

Die Zusammenarbeit von Mitarbeitern lässt sich durch Collaboration-Anwendungen vereinfachen

Von Roman Leuprecht, Co-Founder von Uniki

Als im Zuge des ersten Corona-Lockdowns im Frühjahr 2020 Hunderttausende Büromitarbeiter innerhalb kürzester Zeit ins Home-Office wechseln mussten, waren vor allem direkt verfügbare, schnell einsatzfähige und funktionierende Kollaborationslösungen gefragt.

Roman Leuprecht, Co-Founder von Uniki

Als Anforderungen standen Eigenschaften wie Stabilität, Sicherheit, Leistungsfähigkeit auch in Zugriffs-Spitzenzeiten und Benutzerfreundlichkeit im Raum. Ob und inwieweit diese Lösungen den strengen EU-DSGVO-Vorgaben entsprachen, wurde angesichts der Notwendigkeit, schnellstmöglich wieder produktiv werden zu können, sehr oft hintangestellt. Leider haben sich seitdem viele vermeintliche Interims-Tools als dauerhafte Lösungen etabliert, die ein erhebliches Risikopotential darstellen.

Der Corona-Schock – und die pragmatischen Reaktionen

Vom mehr oder weniger komfortabel ausgestatteten Büro-Arbeitsplatz nicht nur sprichwörtlich über Nacht ins provisorische Home-Office wechseln zu müssen – an dieses Szenario zu Beginn der Corona-Pandemie erinnern sich viele Angestellte, Führungskräfte und IT-Verantwortliche verständlicherweise nur noch ungern. Obgleich die turbulenten Monate im anbrechenden Frühling 2020 erst gut zwei Jahre zurückliegen, hat sich seitdem das Home-Office als feste Größe im Arbeitsalltag von unzähligen Unternehmen etabliert, die Teilnahme an Videokonferenzen und das gemeinsame Remote-Arbeiten über Kollaborations-Programme gehören mittlerweile zur täglichen Routine. Die Digitalisierung der deutschen Wirtschaft hat im Laufe dieser zwei Jahre einen enormen Sprung nach vorne gemacht. Einige Unternehmen hatten schon vor den Corona-bedingten Mobilitäts- und Kontakteinschränkungen nennenswerte Digitalisierungsanstrengungen unternommen – und kamen relativ entspannt durch die Pandemie. Viele andere wurden kalt erwischt und mussten erhebliche Kompromisse im Hard- und Software-Bereich eingehen. Beide Gruppen waren aber auch in großen Teilen in der misslichen Lage, auf Collaboration Suites wie ZOOM oder Microsoft Teams zurückgreifen zu müssen, da DSGVO-konforme Lösungen in Deutschland entweder (noch) nicht im benötigten Umfang zur Verfügung standen oder nicht über die Server-Kapazitäten verfügten, um den explosionsartig angestiegenen Bedarf auch nur ansatzweise bedienen zu können. Es galt die Devise: Gut ist, was funktioniert. ZOOM, Teams & Co. funktionierten dann auch – amerikanische Tools, die auf amerikanischen Servern liefen oder zumindest auf Servern, die dem US-Recht unterlagen und dies bis heute noch tun.

Safe Harbour, Privacy Shield – und weiter?

Sowohl das Safe Harbour als auch das Privacy Shield Abkommen zwischen den USA und der Europäischen Union wurde vom EuGH gekippt – aufgrund mangelnden Datenschutzes und erheblichen Defiziten bei der Durchsetzung von Rechtansprüchen von EU-Bürgern in den Vereinigten Staaten. Seitdem besteht defacto keine Vereinbarung, die die Daten von EU-Bürgern vor dem Zugriff durch US-Behörden schützt, wenn sich diese Daten bereits in den USA befinden, in die USA übertragen werden oder auf Servern liegen, die sich zwar physisch in der EU befinden, aber amerikanischen Unternehmen gehören und somit dem Recht der Vereinigten Staaten unterliegen. Obgleich Microsoft, ZOOM und andere Hersteller von Collaboration Suites erhebliche Anstrengungen in den Bereichen Sicherheit, Datenschutz und Wahrung von Nutzerrechten unternahmen, besteht das Grundproblem weiter: die eingebaute "Hintertür", die es zahlreichen US-Behörden erlaubt, jederzeit auf die Daten von EU-Bürgern zuzugreifen. Gerne wird der Vergleich mit dem sogenannten TSA-Schloss, das die USA bei der Einreise verlangen, gezogen. Die Voraussetzungen für diesen Zugriff sind zudem unnötig schwammig formuliert und liefern ihrerseits seit Jahren den Grund für erhebliche Kritik von unterschiedlichen Seiten.

Latente Abmahngefahr durch die Nutzung von Teams, ZOOM, & Co

Da sich dieser sprichwörtliche Elefant also immer noch im Raum befindet, wenn über den Einsatz von namhaften Kollaborations-Lösungen geredet und weniger brisante Aspekte der Themenbereiche Home-Office, Remote Work und IT-Sicherheit erörtert werden, setzen sich bestehende und zukünftige gewerbliche Nutzer dieser Suites der ständigen Gefahr aus, von Wettbewerbern, Nutzern oder Behörden jederzeit abgemahnt oder verklagt zu werden. Im Unternehmenskontext können Gerichte laut Art. 83 Abs. 5 DSGVO Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erwirtschafteten Jahresumsatzes im vorherigen Geschäftsjahr (je nachdem, welche Summe höher ausfällt) verhängen. Diese saftigen Strafen fallen bei besonders gravierenden Verstößen an, die sich erfahrungsgemäß nicht unbedingt nur auf Einzelfälle beziehen, sondern systembedingt dann auch direkt ganze Benutzergruppen betreffen. Der strengen DSGVO entzieht man sich nicht durch die simple Löschung der Applikationen, kritisch bleibt selbst die kurzeitige Speicherung von personenbezogenen Daten auf Servern, die nicht unter EU-Recht fallen. Waren anfangs die Installationen von ZOOM, Teams & Co. nicht selten nur als aus der Not geborenes Provisorium geplant, wurden im Laufe der Zeit diese Interims-Lösungen immer tiefer in der IT-Infrastruktur verankert. Dementsprechend stehen entsprechende Arbeiten und Kosten auf der Agenda.

Ab 31.12.2022 "echte" DSGVO-Sammelklagen möglich

Aktuell lässt sich im Bereich der Klagen gegen DSGVO-Verstöße und den entsprechenden Urteilen eine zunehmende Professionalität feststellen. Gleichzeitig erkennen manche Kanzleien und Verbände das Umsatzpotential von Klagen gegen DSGVO-Verstöße – insbesondere, wenn sie sich in großen und entsprechen finanzstarken Unternehmen zugetragen haben. Wurden Schadensersatzansprüche bisher noch nach dem Prinzip der individuellen Durchsetzung realisiert – eine Einzelperson verklagt eine Person oder ein Unternehmen auf Schadensersatz, der dann angesichts der Rahmenbedingungen des konkreten Falles verhandelt wird – gehen "Profi-Kläger" inzwischen viel zielführender und effektiver vor: Sie lassen sich Ansprüche abtreten und strengen eine Zessions-Sammelklage an, stoßen als verbände Musterfeststellungsklagen an – oder können mit dem Inkrafttreten der EU-Verbandsklagerichtlinie zum 31.12.2022 dann "waschechte" DSGVO-Sammelklagen auf Schadensersatz stellen. Nahmen Schadensersatzklagen inkl. erfolgreicher Zusprechung seit Inkrafttreten der DSGVO kontinuierlich zu , erwarten Experten ab dem 31.12.2022 dann einen weiteren Zuwachs. Die Gefahr, als Unternehmen oder Gewerbetreibender konkrete Einbußen durch Abmahnung und/oder Klage zu erleiden, steigt also immer mehr an.

Die wirklich sichere Seite

Zieht man die oben erwähnten Aspekte und Risiken sorgsam in Betracht und legt man als Verantwortlicher im Unternehmen fest, diesem latenten Risiko (finanzieller Schaden durch Strafzahlungen, Imageschaden durch Vertrauensverlust) dauerhaft und endgültig aus dem Wege zu gehen, ist letztendlich Konsequenz gefragt. Der Schritt in die rechtlich sichere und uneingeschränkte Datensouveränität und in ein vertrauenswürdiges DSGVO-Schutzniveau führt schlussendlich nur über die ausschließliche Nutzung europäischer Kollaborationslösungen in Rechenzentren europäischer Unternehmen oder – noch besser – eigener Inhouse-Server. Steht der Datenserver physisch am Unternehmensstandort, dann greifen sämtliche Zugriffsversuche von US-Behörden unweigerlich ins Leere. Je länger man diese Maßnahmen aufschiebt, desto länger setzt man sich unnötigen Risiken aus und beschert seiner Compliance-Abteilung schlaflose Nächte.

Über den Autor Roman Leuprecht:

Roman Leuprecht ist technischer Leiter des Start-ups UNIKI. Im Informatik-Studium spezialisierte er sich auf IT-Security und Netzwerktechnik. Anschließend entwickelte er Netzwerkanalyse-Software für deutsche Mittelstands-Unternehmen und Konzerne. Als Mitgründer von UNIKI lässt er sein Know-How in der IT-Security und Netzwerktechnik in die Entwicklung des ELLY-Servers einfließen.

Bildquelle: Pixabay.com, krzysztof-m