Im Mai 2016 ist die EU Datenschutzgrundverordnung in Kraft getreten. Bis zum 25. Mai 2018 müssen alle Unternehmen weltweit, die personenbezogene Daten von EU-Bürgern nutzen, ihre Prozesse und internen Richtlinien zur Handhabung von Daten an diese EU-Verordnung anpassen. Danach können saftige Geldstrafen für die Nichteinhaltung verhängt werden. Anbieter und Nutzer von Cloud-Dienstleistungen müssen sich besonders darauf einstellen.
Die EU - ein schwieriger Markt für Unternehmen
Die EU steuert rund ein Viertel des gesamten Welthandels bei und ist damit auch für Unternehmen außerhalb der EU ein interessanter Absatzmarkt. Gleichzeitig ist der Wirtschaftsraum mit 28 souveränen Mitgliedsstaaten, 28 Steuersystemen, 11 Währungen, 24 Amtssprachen und mindestens ebenso vielen Mentalitäten auch eine riesige Herausforderung für den Markteintritt. Auch gibt es kaum Medien, die über alle Mitgliedstaaten hinweg große Popularität genießen. Sowohl Massenmedien als auch Fachmedien finden in den meisten Fällen ihr Publikum nur innerhalb des jeweiligen nationalen Rahmens oder eines Sprachraums. Auch der Datenschutz war eine schwierige Angelegenheit. Zwar gab es die EU-Datenschutzrichtlinie. Aber sie wurde in den einzelnen Mitgliedsländern abweichend umgesetzt, so dass am Ende immer noch erhebliche Unterschiede bestanden. So ist es kein Wunder, dass viele US-Unternehmen, die in der EU Geschäfte machen möchten, ihre europäische Hauptniederlassung im Vereinigten Königreich oder in Irland platzierten. Dafür gibt es mindestens drei wesentliche Gründe:
- Englisch als gemeinsame Sprache
- Im Vergleich zu anderen EU-Ländern minimale Datenschutzanforderungen
- Geringere Steuer- und Abgabenlast als in vielen anderen EU-Mitgliedsstaaten
Die EU-Datenschutz-Grundverordnung bringt Vorteile, aber auch viel Arbeit
Zumindest die Gesetzgebung zum Datenschutz ist nun seit Mai 2016 vereinheitlicht. Auch im Vereinigten Königreich, dass den Austritt aus der EU plant, gilt die neue EU-Verordnung bis auf weiteres. Der Vorteil für Unternehmen liegt auf der Hand: Statt die Geschäftsprozesse an bis zu 28 nationale Datenschutzrechtsprechungen beständig anzupassen, reicht es nun, die EU-Verordnung einzuhalten. Dies ist eine riesige bürokratische Entlastung für jedes international agierende Unternehmen - und so auch für Anbieter von Cloud-Lösungen.
Die einheitliche Regelung birgt für jedes Mitgliedsland unterschiedliche Konsequenzen bei dessen Umsetzung. Weil die Verordnung ein Konstrukt ist, das alle Mitgliedsländer akzeptieren müssen, orientiert es sich zwangsläufig an den bisher strengsten nationalen Datenschutzgesetzen innerhalb der EU. Für Länder wie Irland und UK bedeutet dies, ihr Datenschutzniveau erheblich anzuheben. Doch auch Länder mit hohem Datenschutzniveau wie z.B. Deutschland müssen nun neue Konzepte der Verordnung implementieren oder bestehende vergleichbare Konzepte an die EU-Verordnung anpassen. Diverse nationale Gesetzgebungen aus verschiedenen Bereichen stehen mit der neuen Regelung in Konflikt. Es wird einige Zeit dauern, diese Missstände zu beheben. Aber auch die Wirtschaft hat noch viel zu tun: laut einer Bitkom-Studie haben erst acht Prozent der Unternehmen in Deutschland erste Schritte zur Compliance mit der neuen Verordnung unternommen. Der Cloud-Security-Anbieter Skyhigh Networks hat weltweit rund 20.000 Cloud-Dienstleister analysiert. Nur vier Prozent sind derzeit in der Lage, die Datenschutzbestimmungen der EU-Datenschutz-Grundverordnung einzuhalten.
Hier sind einige Pflichten für Unternehmen, die personenbezogene Daten verarbeiten oder speichern:
- Meldepflicht von Cyberangriffen an die Behörden binnen 72 Stunden.
- Datenschutz-Folgenabschätzung: Dies betrifft Bereiche, in denen besonders sensible Daten gehandhabt und ausgewertet werden. Dabei gibt der zuständige Datenschutzbeauftragte eine Bewertung zur Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung im Vergleich zum Risiko der Verletzung von Persönlichkeitsrechten ab.
- Privacy By Design: Die verwendete Technik zur Datenspeicherung und -verarbeitung berücksichtigt bereits den Schutz persönlicher Daten.
- Datenportabilität: Einzelpersonen können von Unternehmen die Herausgabe sämtlicher persönlicher Daten über sie verlangen. Unter Umständen müssen Unternehmen diese Daten auf Wunsch des betreffenden Kunden an Mitbewerber übergeben.
- Recht auf Vergessen: Unternehmen müssen auf Wunsch der betroffenen Personen sämtliche persönlichen Daten über diese Personen löschen und die Unternehmen, mit denen diese Informationen geteilt wurden, über diesen Wunsch informieren.
- Auskunftspflicht: Die Kunden müssen im Detail informiert werden, wie ihre personenbezogenen Daten vom Unternehmen genutzt werden und wer der Ansprechpartner bei Disputen ist.
- Speicherort: Daten von EU-Bürgern müssen innerhalb der EU oder Ländern mit vergleichbarem Schutzniveau gespeichert werden.
- Opt-In: Der Kunde muss jedem neuen Zweck und Mittel der Verarbeitung seiner Daten aktiv zustimmen.
- Verantwortung für den Datenschutz: Der Kunde und der Dienstleister, dem die Daten überlassen werden, können sich darauf verständigen, wer wann, wie und unter welchen Umständen für den Datenschutz verantwortlich ist.
Mögliche Auswirkungen auf das Cloud-Geschäft durch die EU-Datenschutz-Grundverordnung
Einerseits wird es für multinationale Unternehmen einfacher, sich an die geltenden Datenschutzgesetze zu halten, andererseits haben kleinere Firmen nicht genug eigene Ressourcen, die strengen Vorgaben der Verordnung selbst einzuhalten. Cloud-Dienstleister können hier Abhilfe schaffen, indem sie den Großteil der Verantwortung für den Datenschutz für ihre Kunden übernehmen. Für diese Cloud-Dienstleister bedeutet es aber auch einen höheren Aufwand zur Einhaltung der Datenschutzbestimmungen, der entweder in Form von höheren Preisen an die Kunden weitergegeben werden muss oder dazugehörige Prozesse in günstigere EU-Länder ausgelagert werden müssen, um Kosten zu sparen. Es wäre also denkbar, dass einige Cloud-Dienstleister größere Outsourcing- und Shared Service-Center in den östlichen EU-Ländern errichten. Durch den Zwang der Datenspeicherung innerhalb der EU könnte es auch zu einem größeren Bedarf an Rechenzentrenkapazität kommen. Da einzelne Cloud-Dienstleister diese Kapazitäten EU-weit nutzen können, fällt ihnen auch eine Skalierung des Cloud-Geschäfts leichter. Auch für Kunden wird der Markt transparenter, da sie die Cloud-Dienstleister nun besser miteinander vergleichen können.
Da die meisten großen Cloud-Dienstleister aus den USA kommen, ist es spannend, wie sie gedenken, die EU-Verordnung einzuhalten. Unternehmen wie Microsoft versuchen schon seit längerem, sich an lokale Rahmenbedingungen anzupassen. Doch für manchen Anbieter könnten die drohenden Strafen bei Nichteinhaltung der strengen Vorschriften zu abschreckend sein und konzentriert sich daher lieber auf seinen Heimatmarkt. Für deren Europäische Bestandskunden bedeutet dies: schnell einen alternativen Anbieter finden, der die Daten übernimmt. Hier bietet sich eine Chance für europäische Cloud-Dienstleister. Da für Irland und das Vereinigte Königreich der aus US-Sicht so wahrgenommene Standortvorteil des lockereren Datenschutzes wegfällt, könnten sich die entsprechenden US-Firmen entscheiden, ihre Niederlassungen für den EU-Binnenmarkt näher an ihre Kunden auf dem Festland zu platzieren.
Welche Auswirkungen auf das Cloud-Geschäft sehen Sie?
Diskutieren Sie mit uns und den anderen Lesern, hier im Blog oder auch auf Google+.
Bildquelle: © vege - Fotolia.com