KMUs profitieren von Gaia-X

GAIA-X ist also keineswegs ein Spielzeug für Großkonzerne. Vor allem für KMUs bietet GAIA-X viel Potenzial. Ein Beispiel ist die Möglichkeit, trotz fehlender eigener Infrastruktur und trotz einer überschaubaren Datengrundlage in Bereichen wie Machine Learning oder Künstlicher Intelligenz tätig zu werden. GAIA-X bietet den Rahmen, um gemeinsame Daten-Pools etwa für Analysen und KI aufzubauen.

Wenn Unternehmen GAIA-X-zertifizierte Services nutzen, dann können sie darauf vertrauen, dass diese alle Datenschutzanforderungen erfüllen. GAIA-X macht transparent, welche Anbieter DSGVO-konform sind. Gemeinsame Standards überwinden Grenzen wie etwa unstrukturierte Datenformate und Regularien. In der Vision von GAIA-X suchen sich Unternehmen den Anbieter nach Kriterien wie Firmensitz, Standort des Rechenzentrums, Einhaltung der DSGVO oder Nachhaltigkeit über einen globalen Katalog aus. Vendor-Lock-ins gehören damit der Vergangenheit an – die im US-dominierten Markt vor allem KMUs in ihrer Handlungsfreiheit einschränken, etwa durch Hürden bei einer Datenmigration zu anderen Anbietern.

Reinhardt meint dazu: „Gerade in Europa sind viele innovative kleinere Anbieter auf unterschiedlichen Ebenen aktiv. Es ist nicht so einfach möglich, sie zu verschalten, um da­raus Neues zu erschaffen. Sprich Cloud-Anbieter A mit Datenbankdiensten von Anbieter B verbinden, um darauf wiederum einen KI-Dienst zu betreiben, und dabei die unterschiedlichen Stärken der verschiedenen Anbieter nutzen.“

Im März dieses Jahres hat das oberste französische Verwaltungsgericht Conseil d’Etat ein richtungsweisendes Urteil gefällt. Dabei ging es um die möglichen Zugriffe von US-Behörden auf personenbezogene Daten europäischer Bürger. Frankreichs Impfkampagne ist bei AWS gehostet. Die Anmeldung für Covid-19-Impfungen erfolgt über das Internet, wobei die Online-Plattform Doctolib mit der Verwaltung betraut ist. Doctolib wiederum greift für das Hosten der Daten auf eine AWS-Tochter in den USA zurück. Dabei handelt es sich um personenbezogene Daten, die nach der DSGVO nicht zu einem US-Provider gelangen dürfen, weil der US-Staat potenziell Zugriff darauf hat. Gewerkschaften und Berufsverbände hatten deswegen Klage eingereicht.

Das Verwaltungsgericht wies die Klage ab. Es legte in der Urteilsbegründung dar, dass die Verwendung von AWS als Provider nicht automatisch dazu führe, dass die Verarbeitung der personenbezogenen Daten gegen die DSGVO verstoße. Denn es seien zusätzliche technische Maßnahmen implementiert, die das in den USA unzureichende Datenschutzniveau auf ein angemessenes Maß anheben. Die Daten sind verschlüsselt, und der Schlüssel verbleibt in den Händen einer dritten Partei auf europäischem Boden, sodass AWS selbst keinen direkten Zugriff auf die Daten hat. Diese Vorgehensweise entspricht den Empfehlungen des European Data Protection Boards (EDPB).

Die Folgen dieses Urteils sind nicht zu unterschätzen. Es bestätigt, dass bei US-amerikanischen Unternehmen ein Zugriff durch US-Behörden möglich ist, dies der DSGVO widerspricht und tatsächlich auch vor Gericht landet. Andererseits zeigt es Unternehmen einen Weg auf, wie sich mit technischen Maßnahmen personenbezogene Daten dennoch mithilfe von US-Unternehmen verarbeiten lassen. Das Zauberwort heißt Verschlüsselung.

Das Spannungsfeld zwischen europäischen Unternehmen und dem Umgang mit Daten in den USA wird bleiben. „Die Datenschutzbehörden sind nach meiner Wahrnehmung noch in einer Findungsphase, denn sie müssten in irgendeiner Form der Wirtschaft eine Lösung präsentieren“, so Rauschhofer. Die DSGVO erfordert Schritte, die sich in der Praxis kaum einhalten lassen. Doch es gibt Licht am Horizont. Zum einen könnte unter Präsident Biden bald ein datenschutzfreundlicherer Wind wehen. Bis es so weit ist, können Unternehmen mit Standarddatenschutzklauseln und Garantien der Cloud-Provider gegen Anordnungen durch den CLOUD Act vorgehen und ihr Möglichstes tun, um der DSGVO zu genügen und teure Strafzahlungen zu vermeiden. Ob das ausreicht, werden die Gerichte entscheiden. Das Urteil aus Frankreich belegt auch den Wert einer klug angelegten Verschlüsselung. Und schließlich steht in einigen Jahren vielleicht mit GAIA-X eine europäische Infrastruktur zur Verfügung, die all die Aufregung um DSGVO, Privacy Shield und CLOUD Act abebben lässt.