Nach Schrems II: Cloud-Souveränität wird operativ. – August 2020 im E-Government-Rückblick.

Ein Monat nach dem Schrems-II-Urteil. Was ist passiert? Wenig Konkretes. Viel Diskussion.

Datenschutzbehörden haben Stellungnahmen veröffentlicht, die im Kern bestätigen, was das Urteil sagt: Datenübermittlungen in die USA ohne angemessene Schutzmaßnahmen sind rechtswidrig. Konkrete Sanktionen: noch nicht. Konkrete Handlungsanleitungen: begrenzt.

Microsoft hat angekündigt, Datenspeicherung und Verarbeitung in Europa ausbauen zu wollen. Was das bedeutet: Die Daten könnten in Frankfurt oder Amsterdam liegen, aber der Anbieter bleibt ein US-Unternehmen, das dem CLOUD Act unterliegt. Europäische Server lösen das Schrems-II-Problem strukturell nicht.

Was Behörden jetzt wirklich tun können

Die Frage, die nach Schrems II alle beschäftigt, ist praktisch: Was tue ich jetzt, am Montag, mit meinen Microsoft-Verträgen?

Die pragmatische Antwort: Nichts Überstürztes. Schrems II hat keine Übergangsfrist definiert. Datenschutzbehörden haben angekündigt, Beschwerden nachzugehen, nicht proaktiv alle Behörden zu prüfen. Es gibt Zeit für eine geordnete Strategie.

Was eine geordnete Strategie erfordert: Erstens eine Datenklassifikation. Welche Daten verarbeite ich in welchen Systemen? Sensible Kategorien (Gesundheit, Sozialdaten, Personalakten) sind sofort priorisiert, andere können warten. Zweitens eine Alternativenbewertung für die priorisierten Systeme. Was gibt es in Europa? Was kann von GAIA-X -zertifizierten Anbietern bezogen werden? Drittens ein Migrationspfad, der in Jahren, nicht Wochen denkt.

Wer all das in einem Monat abschließen will, scheitert. Wer es in drei Jahren plant, schafft es.

Was an Microsoft-Kritik fair ist und was nicht

Die Kritik an Microsoft nach Schrems II ist manchmal schärfer als berechtigt. Microsoft ist kein böser Akteur. Es ist ein US-Unternehmen, das US-Recht unterliegt. Dass der CLOUD Act US-Behörden Datenzugriff erlaubt, ist eine Konsequenz der US-Rechtslage, nicht einer Kooperationsbereitschaft von Microsoft.

Was fair zu kritisieren ist: Der Lock-in, den Microsoft-Produkte in vielen Verwaltungen erzeugt haben. Wer 20 Jahre auf Microsoft-Produkten aufgebaut hat, kann nicht in zwei Jahren migrieren, auch wenn er das wollte. Dieser Lock-in ist das eigentliche Problem, nicht Microsoft als Anbieter.

Was das für Beschaffungsentscheidungen heute bedeutet: Jede neue Lösung, die eingeführt wird, sollte ein dokumentiertes Exit-Szenario enthalten. Nicht als Drohung gegen den Anbieter, sondern als Sicherheitsnetz gegen zukünftige Rechtsentwicklungen, die niemand vorhersagen kann.

Hat Sie das Thema interessiert?

Wenn Sie eine Cloud-Strategie entwickeln, die Schrems-II-konform und operativ machbar ist: Über das Kontaktformular unten bin ich erreichbar.

cloud-souveraenitaetdigitale-souveraenitaetdatenschutzvendor-lock-inmicrosoftbig-techverwaltungsdigitalisierungopen-sourcefoederale-architektur