Thought Leadership
Sollte das transatlantische Datenschutzabkommen kippen, stehen viele Cloud-Strategien auf dem Prüfstand. Warum Unternehmen jetzt Risiken bewerten, Exit-Pläne entwickeln und künftige Cloud-Projekte möglichst europäisch denken sollten.
Die Datenschutzgrundverordnung (DSGVO) sorgt seit ihrer Einführung regelmäßig für Unmut. Nun will die Europäische Kommission sie vereinfachen: In ihrem Omnibus-Paket zur Bürokratiereduktion hat sie eigens eine neue Unternehmensklassifikation geschaffen, Unternehmen dieser Kategorie sollen von bestimmten Verpflichtungen der DSGVO ausgenommen werden. Auch die deutsche Regierung hat das Thema auf der Agenda. Im Koalitionsvertrag heißt es, man wolle „alle vorhandenen Spielräume“ nutzen, um kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu entlasten. Geschehen ist bislang wenig – was angesichts der geopolitischen Lage nicht überrascht.
Dabei ist jetzt kein schlechter Zeitpunkt für eine Reform und Erleichterungen wären sinnvoll. Es heißt zuweilen, wenn man Deutschland in einem Satz beschreiben wolle, würde dieser lauten: Und was ist mit dem Datenschutz? Höchste Zeit, zu einer anderen Beschreibung zu gelangen.
Fällt das Data Privacy Framework?
Für Unternehmen ist das Thema Datenschutz derzeit aber nicht nur wegen der geplanten Reformen relevant, sondern vor allem auch wegen der Themen Cloud und digitaler Souveränität. Aktuell basieren Datentransfers in die USA auf dem sogenannten Data Privacy Framework, das zwischen der Europäischen Union (EU) und der Biden-Regierung vereinbart wurde. Dieses Abkommen bildet das Rückgrat vieler IT-Architekturen in Europa. Doch genau dieses Rahmenwerk steht auf der Kippe. US-Präsident Donald Trump hat bereits deutlich gemacht, dass er mit dem Abkommen wenig anfangen kann. In Washington gilt es als unnötige Selbstbeschränkung – und als potenzielles Druckmittel.
Ein Wegfall des Data Privacy Frameworks hätte weitreichende Folgen. Datentransfers in die USA wären dann zwar nicht per se untersagt, aber mit wesentlich mehr Aufwand verbunden. Da sie nicht mehr automatisch datenschutzrechtlich abgesichert wären, müssten Unternehmen auf sogenannte Standardvertragsklauseln zurückgreifen. Zusätzlich ist eine individuelle Risikobewertung vorgeschrieben: Wie sicher ist das Datenschutzniveau im Empfängerland im Vergleich zur EU? Für die USA fällt diese Bewertung negativ aus – nicht zuletzt wegen des sogenannten Cloud Act, der US-Behörden weitreichenden Zugriff auf Daten von US-Unternehmen erlaubt, unabhängig davon, wo die Server physisch stehen.
Digitale Souveränität: Europäische Alternativen können (noch) nicht mithalten
Die Cloud-Infrastrukturen nahezu aller europäischer Unternehmen sind stark mit den großen US-amerikanischen Anbietern Microsoft, AWS oder Google verwoben. Diese Schwachstelle der mangelnden Souveränität ist nicht neu, durch die geopolitische Situation wird sie nun aber akut und offen diskutiert. Denn kippt das Data Privacy Framework, stünden Unternehmen plötzlich ohne datenschutzrechtliche Grundlage für ihre Cloud-Nutzung da. Das wäre nicht nur ein juristisches, sondern vor allem ein praktisches Problem. Bei vielen Unternehmen ist die Nutzung der Cloud elementarer Bestandteil zentraler Geschäftsprozesse. Die Verflechtung ist tief, und sie ist über Jahre gewachsen. Ein Wegfall des Frameworks würde bedeuten, dass diese Infrastruktur auf unsicherem Boden steht. In besonders sensiblen Branchen – etwa im Gesundheitswesen, in der Finanzindustrie oder bei öffentlichen Auftraggebern – kann im schlimmsten Fall sogar die gesamte digitale Handlungsfähigkeit auf dem Spiel stehen.
Unternehmen müssen sich also mit Alternativen befassen. Das Problem: Diese sind rar. Zwar gibt es in Europa einige interessante Cloud-Anbieter, aber eine vollwertige, technologisch ausgereifte Komplettlösung, die mit der Leistungsbreite und -tiefe der US-Hyperscaler mithalten kann, existiert hier bislang nicht. Der Reifegrad der großen US-Anbieter ist schlicht sehr hoch – und das Ergebnis jahrzehntelanger Entwicklung und Milliardeninvestitionen. Diese Lücke lässt sich nicht kurzfristig schließen.
Die Antwort liegt in der Risikoabwägung
Hinzu kommt: Ein Wechsel ist nicht nur funktional anspruchsvoll, sondern auch wirtschaftlich und organisatorisch komplex. Viele Unternehmen haben längst auch in der Cloud neue Monolithen geschaffen, mit teils unklaren Abhängigkeiten und Schnittstellen. Ein Transfer in andere Systeme würde nicht nur hohe Lizenz- und Migrationskosten verursachen, sondern auch Parallelbetrieb und personelle Zusatzressourcen erfordern. Zudem könnte bei einem Wechsel Funktionalität aufgegeben werden.
Dennoch müssen Unternehmen sich der Lage stellen – auch wenn das Data Privacy Framework noch gilt. Die Eintrittswahrscheinlichkeit seines Wegfalls ist hoch, die Unsicherheit im Umgang damit ebenso. Zuständigkeiten zwischen IT, Datenschutz und Compliance sind oft unklar, am Ende ist es jedoch eine strategische Entscheidung auf Leitungsebene. Grundlage dafür muss eine fundierte Risikoabwägung sein: Welche Systeme sind betroffen? Was passiert, wenn sie kurzfristig nicht mehr rechtskonform betrieben werden können?
Risiken minimieren, Handlungsspielräume schaffen
Unternehmen müssen sich diesen Fragen systematisch widmen und alle möglichen Szenarien analysieren. Je nach resultierender Risikobewertung ergibt sich daraus der nötige Handlungsbedarf. Möglicherweise müssen sensible Anwendungen oder Datenbestände dringend in europäische Infrastrukturen überführt werden, vielleicht steht die finanzielle Belastung (noch) nicht im Verhältnis zum Risiko. Frei nach der Faustregel: Übersteigt die Risikosumme die Transferkosten, muss gehandelt werden. Zusätzlich sollte alles, was neu in die Cloud geht – wo möglich – von Anfang an in einer europäischen Infrastruktur gedacht und umgesetzt werden. Das minimiert Risiken, schafft Handlungsspielräume und stärkt langfristig die Unabhängigkeit.
Darüber hinaus sollten Unternehmen mögliche Exit-Strategien dringend identifizieren und prüfen. Die Finanzbranche muss sich mit diesem Thema ohnehin beschäftigen. Die DORA-Verordnung der EU schreibt für den Finanzsektor vor, Exit-Strategien für kritische IT-Dienstleister zu implementieren und zu testen. Aber auch andere Unternehmen sollten sich vorbereiten – über den Datenschutz hinaus aus Resilienz- und Sicherheitsgründen. Denn Investitionen in Resilienz und digitale Souveränität lohnen sich: nicht nur als Reaktion auf mögliche politische Umbrüche, sondern als strategische Vorbereitung auf eine Zukunft, in der digitale Infrastruktur zunehmend als kritischer Erfolgsfaktor verstanden wird. Wer heute vorsorgt, wird morgen nicht überrascht.
