Im Gespräch mit Tobias Gerlinger von OwnCloud

Welche Auswirkungen hat das Urteil des EuGH zum Privacy Shield für die Cloud-Nutzung?
Eine Einschätzung von Tobias Gerlinger, CEO und Managing Director der Datenspeicherungsplattform OwnCloud.

com! professional: Branchenverbände wie der Bundesverband Digitale Wirtschaft (BVDW) haben das Urteil des EuGH zum Privacy Shield scharf kritisiert, Sie haben es begrüßt. Wie kommen Sie zu Ihrer Einschätzung?

Tobias Gerlinger: Das Urteil des EuGH ist letztlich nur die Konsequenz aus einem prinzipiellen Problem: Das in der DSGVO festgeschriebene Recht auf den Schutz privater Daten ist mit den Überwachungsgesetzen der USA, etwa dem CLOUD Act, nicht vereinbar.

com! professional: Nun hat der EuGH Transfervereinbarungen per Standardvertragsklauseln weiter zugelassen. Halten Sie das für einen gangbaren Weg?

Gerlinger: Das ändert nichts an dem Grundkonflikt, der nicht heilbar ist. Die DSGVO erlaubt den Transfer personenbezogener Daten nur in Staaten, in denen ein mit der EU vergleichbares Datenschutzniveau herrscht. Das ist in den USA eindeutig nicht der Fall.

com! professional: Wie gehen Unternehmen mit dem Problem um?

Gerlinger: Das ist sehr unterschiedlich. Es gibt Kunden, die dem Datenschutz eine hohe Priorität einräumen, für andere sind Kosteneinsparungen und Bequemlichkeit wichtiger. Ich hatte mit
einem Kunden aus dem Automobilsektor diese Diskussion: Die kostengünstigste Lösung für das Unternehmen wäre es, einfach Microsoft OneDrive zu nutzen, weil es bei Office 365 dabei ist.

com! professional: Microsoft versichert in einem Kommentar zum EuGH-Urteil, dass gewerbliche Kunden weiterhin rechtskonform Daten zwischen der EU und den USA über die Microsoft-Cloud transferieren können. Was halten Sie von dieser Aussage?

Gerlinger: Wir sehen das anders, auch nach Rücksprache mit vielen Anwälten: Die Speicherung von personenbezogenen Daten in amerikanischen Cloud-Services ist derzeit nicht rechtskonform möglich, weil sie gegen europäisches Datenschutzrecht verstößt.

com! professional: Sind die Cloud-Angebote europäischer Provider denn wirklich sicherer? Der CLOUD Act gilt ja genauso für sie, sofern sie Töchter oder Niederlassungen in den USA haben?

Gerlinger: Es macht einen Unterschied, ob ein Unternehmen seinen Hauptsitz in den USA hat oder nur eine Niederlassung. Ein Mitarbeiter einer US-Niederlassung wird in der Regel keinen direkten Zugriff auf Daten europäischer Kunden haben und von seinen europäischen Kollegen nicht den Zugang verlangen können. 

com! professional: Lassen sich Risiken minimieren, indem man die Cloud-Daten verschlüsselt und die Schlüssel selbst verwaltet?

Gerlinger: Das ist natürlich ein gutes Stück besser. Ob dennoch Zugriffsmöglichkeiten bestehen, kann man allerdings nicht ausschließen. Vor allem aber geht die Verschlüsselung auch mit höheren Kosten und einem Verlust an Funktionalität einher. Die Frage ist, ob man dann nicht lieber direkt auf eine europäische Alternative setzen sollte.

com! professional: Das Thema der digitalen Abhängigkeit Europas von den USA wurde schon vor dem Privacy-Shield-Urteil diskutiert. Doch auch AWS, Microsoft, Google und IBM beteiligen sich an der europäischen Inititive Gaia-X. Kommen die US-Geheimdienste da nicht durch die Hintertür auch in die europäische Cloud?

Gerlinger: Ich weiß nicht, wie das funktionieren soll. Spätestens seit dem EuGH-Urteil zum Privacy Shield ist der Konflikt doch offensichtlich. Wie soll Europa digitale Souveränität erlangen, wenn doch wieder alles bei Google und Microsoft gespeichert wird?

com! professional: Welche Rolle spielt die öffentliche Verwaltung für den Erfolg von Gaia-X?

Gerlinger: Eine ganz entscheidende. Solange Behörden weiterhin Microsoft-Lizenzen ausschreiben und ordern, wird es auch bei den Unternehmen wenig Anlass zum Umdenken geben. Sogar die EU-Kommission nutzt Microsoft-Services - in meinen Augen ein absolutes No-Go. Das müsste eigentlich die erste Instanz sein, die auf europäische Ressourcen und digitale Souveränität setzt. Andere Staaten sind da schon viel weiter. In Indien oder dem arabischen Raum gibt es ganz klare Vorgaben, dass bestimmte Arten von Daten nicht außer Landes gehen dürfen. Für die öffentliche Verwaltung sind amerikanische Provider daher tabu. Die amerikanischen Behörden nutzen im Übrigen nicht die öffentlichen Cloud-Dienste, sondern haben eine eigene, mit höchsten Sicherheitsstandards geschützte Government-Cloud.