Das Kürzel DSGVO ist seit Anfang 2018 in aller Munde. Oft und nicht selten populistisch wurde über die EU-Datenschutz-Grundverordnung und ihre möglichen Auswirkungen berichtet. Mit Spannung erwartete man nach dem Stichtag, dem 25. Mai 2018, eine Abmahnwelle oder hohe Strafen gegen Internetkonzerne, für die der Datenschutz bis dato kaum eine Rolle zu spielen schien. Passiert ist seinerzeit nichts, erst zum Jahresende kam auf Seiten der Aufsichtsbehörden Bewegung in die Sache. Im Oktober aktualisierte die Datenschutzkonferenz die Liste der Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung durchzuführen ist. Die Datenschutzaufsichtsbehörden verhängten die ersten Sanktionen. Wir haben übrigens schon einige Blogbeiträge zur DSGVO verfasst – schau einfach mal rein.

Der US-Amerikanische Cloud Act steht im Widerspruch zur DSGVO. In meinem letzten Post «US Cloud Act vs. europäische DSGVO: grenzenlose Cloud-Nutzung stößt an nationale Gesetze» habe ich ausgeführt, welche Schwierigkeiten das für Unternehmen mit sich bringt. Heute möchte ich darauf eingehen, warum die Wahl eines Cloud-Providers aus der EU keine dauerhafte Lösung sein dürfte, und wie Bring You Own Key einen Ausweg aus dem Dilemma bietet.

Im Juni 2019 beginnen Verhandlungen von erheblicher Tragweite für Unternehmen, die ihre Daten in der Public Cloud speichern. Die EU und USA wollen dann einen Rahmenvertrag aushandeln, der den US-amerikanischen Cloud Act („Clarifying Lawful Overseas Use of Data Act“) mit der europäischen DSGVO in Einklang bringt. Wie ein fehlendes Puzzlestück soll das neue Vertragswerk festlegen, unter welchen Umständen staatliche Stellen auf Daten zugreifen können, die auf Servern im jeweils anderen Land gespeichert sind. Dies kann die Daten europäischer Unternehmen betreffen, die bei Public-Cloud-Anbietern wie Amazon Web Services, Google, Microsoft Azure oder Oracle gespeichert sind und verarbeitet werden.

Die meisten Unternehmen erleben die digitale Transformation mittlerweile am eigenen Leib. Die damit verbundenen Change Prozesse werden oft als mühsam wahrgenommen, können aber grosse Chancen bergen. Ein oft übersehener Teilaspekt der digitalen Transformation ist der Datenschutz. Je bedeutender die Daten für den Unternehmenserfolg, desto wertvoller ist er. Dem trägt die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung DSGVO Rechnung. Jedes Unternehmen, das mit persönlichen Daten arbeitet, muss sie schützen. Außerdem muss das Unternehmen belegen, dass es ein berechtigtes Interesse an der Datenspeicherung hat und dafür die Erlaubnis vorliegt. Das ist wie ein Erdbeben für viele Firmen.