Deutsche Unternehmen speichern Milliarden sensibler Daten bei US-Konzernen. Wie groß ist die Abhängigkeit wirklich – und wie können Firmen digitale Souveränität zurückgewinnen?
Fast jedes deutsche Unternehmen nutzt heute Dienste von Microsoft, Google oder Amazon – oft für E-Mails, Daten, Backups und sogar die Benutzerverwaltung. Was kaum jemand bedenkt: Damit liegt ein großer Teil der deutschen Wirtschaft faktisch in US-amerikanischen Händen.
„Die Abhängigkeit ist sehr hoch, weil ein Großteil der genutzten digitalen Dienste und Infrastrukturen von US-Anbietern stammt“, sagt Bernhard Plum, Datenschutzbeauftragter an der Hochschule Furtwangen (HFU). Damit gäben Unternehmen und Privatpersonen einen wesentlichen Teil ihrer Kontrolle über Daten, Software und Geschäftsprozesse an ausländische Unternehmen ab.
Wo die Server physisch stehen, ist nicht entscheidend, sondern welchem Recht die Anbieter unterliegen. US-Unternehmen sind durch Gesetze wie den sogenannten Cloud Act verpflichtet, Daten auf Anforderung an amerikanische Behörden herauszugeben – auch dann, wenn diese Daten in europäischen Rechenzentren gespeichert sind.
„Damit liegen sensible Daten, einschließlich personenbezogener Daten und potenzieller Geschäftsgeheimnisse, außerhalb des direkten Einflussbereichs europäischer Datenschutzgesetze“, so Plum. Für Unternehmen bedeutet das ein strukturelles Risiko: Selbst wenn sie die Datenschutz-Grundverordnung (DSGVO) einhalten, können ihre Daten unter bestimmten Umständen ausländischen Behörden zugänglich werden.
Wenn der Zugriff weg wäre
Noch ist ein politisches Abschalten von Diensten wie Microsoft oder Google unwahrscheinlich. Plum schätzt die Lage so ein: Angst vor einer möglichen Abschaltung sei nicht angebracht, aber „Wachsamkeit dagegen schon, insbesondere in der aktuellen politischen Situation wird die Allianz zwischen den USA und der EU auf eine harte Probe gestellt“.
Die Folgen eines solchen Szenarios wären gravierend. „Würden US-Dienste plötzlich abgestellt oder der Zugang eingeschränkt, käme es zu massiven wirtschaftlichen Schäden“, warnt Plum. Noch schwerer wiegt, dass Unternehmen im schlimmsten Fall nicht mehr auf ihre eigenen Daten zugreifen und diese möglicherweise auch von Dritten eingesehen werden könnten.
Hinzu kommt, dass viele Cloud-Anbieter mit Unterauftragnehmern in Drittländern wie Indien oder China arbeiten. Dadurch steigt die Gefahr, dass vertrauliche Informationen unkontrolliert weitergegeben werden – mit möglichen Verstößen gegen Datenschutz, Geheimhaltungspflichten und das deutsche Geschäftsgeheimnisgesetz.
Bewusstsein wächst – Handeln fehlt
„Das Bewusstsein für diese Gefahren scheint zu wachsen, insbesondere bei großen und sicherheitskritischen Unternehmen“, so Plum. Vielen Betrieben sei mittlerweile klar, dass die Nutzung von US-Diensten ein erhebliches Risiko für ihre digitale Souveränität und den Schutz von Betriebsgeheimnissen darstelle. Trotzdem fehle es vielerorts noch an konsequenten Maßnahmen, um diese Risiken zu minimieren.
Unternehmen blieben nicht aus Überzeugung bei ihren bisherigen Anbietern, sondern weil der Ausstieg teuer, riskant und komplex sei. „Aufgrund der Marktmacht der amerikanischen Anbieter war es für europäische Alternativen historisch schwer, in den Markt einzusteigen“, erklärt Stefan Betermieux, Leiter des Informations- und Medienzentrums der HFU.
Europäische Alternativen
Dabei gibt es Alternativen wie Nextcloud, Open-Xchange, Proton, Hetzner oder SAP.„Europäische Anbieter bieten den entscheidenden Vorteil, dass sie nicht dem US-Cloud Act unterliegen und keine Daten an US-Geheimdienste herausgeben müssen“, sagt Plum. Ihre Rechenzentren befinden sich meist ausschließlich in der EU und können die Einhaltung der DSGVO und des deutschen Datenschutzrechts besser gewährleisten.
„Nachteile bestehen teilweise im geringeren Funktionsumfang und der fehlenden globalen Infrastruktur“, räumt Plum ein. Doch gerade in sensiblen Bereichen überwiegen aus seiner Sicht die Vorteile für Datenschutz und Geschäftsgeheimnisschutz.
Betermieux sieht Bewegung im Markt: „Mit einem unsichereren politischen Umfeld aufseiten der USA und politischer Unterstützung der EU könnte die Entwicklung europäischer Alternativen begünstigt werden.“
Was können Unternehmen tun?
Um die digitale Souveränität zu stärken, sollten Unternehmen laut Plum verstärkt auf europäische Anbieter setzen, Daten in eigenen oder europäischen Rechenzentren speichern und offenen Standards nutzen. Bei letzterem handelt es sich um Datei-Formate, die von allen Unternehmen und Privatpersonen über verschiedene Programme genutzt werden können. Zudem empfiehlt er, vertraglich sicherzustellen, dass keine Unterauftragnehmer in unsicheren Drittländern eingesetzt werden und regelmäßig zu prüfen, wo ihre Daten tatsächlich verarbeitet werden. Die klare Dokumentation und Kontrolle der Datenflüsse sei entscheidend, um gesetzliche und vertragliche Verpflichtungen einzuhalten.
Für Privatpersonen gelte das Gleiche. Dass dies nicht nur theoretisch ist, würden aktuelle Berichte über US-Einwanderungsbehörden zeigen, die Social-Media-Konten von Antragstellern prüfen. „Sollten hier ‘unangemessene‘ Posts enthalten sein, kann dies ein Grund zur Abweisung eines Visums sein“, so Plum.
Strukturwandel in Sicht?
Ein vollständiger Ausstieg aus US-Technologien sei anspruchsvoll, aber nicht unmöglich. „Ein hybrider Ansatz kann sinnvoll sein“, erwägt Plum. Dennoch sei ein echter Wandel hin zu digitalen Souveränität und zum Schutz sensibler Daten vor ausländischem Zugriff ein langfristiges Vorhaben. Je nach Ausgangslage könnte die Umstellung in einzelnen Unternehmen mehrere Jahre dauern. Auf gesellschaftlicher Ebene wäre ein echter Strukturwandel ein Vorhaben, das mindestens ein Jahrzehnt an politischer, wirtschaftlicher und technologischer Zusammenarbeit erfordern würde.