04.03.2021 Created by Alexander Matthäus

GAIA-X, Datenschutz & Datenkontrolle: Was ist machbar für Unternehmen?
Für Unternehmen, die sich von GAIA-X einen echten Mehrwert in Sachen Datenschutz und digitaler Souveränität erhofften, wird der gegenwärtige Kurs des Vorhabens enttäuschend sein. Die letzten Monate haben gezeigt: Derzeit scheint leider wenig Verlass auf die Haupttreiber des Projekts zu sein, wirklich sicherzustellen, dass GAIA-X auch halten wird, für was es in diesen Schlüsselbereichen angetreten ist. Ob sich ein Umdenken bei den Entscheidungsträgern aus Politik und Wirtschaft einstellen wird, ist ungewiss. Verlassen sollte man sich darauf jedenfalls nicht. Grund genug für Unternehmen, nicht ausschließlich auf GAIA-X als digitalen Heilsbringer zu setzen, sondern im Rahmen der eigenen Möglichkeiten selbst aktiv zu werden – denn es gibt durchaus Handlungsspielraum, selbst etwas zu tun.

 

Wo steht GAIA-X? Ein Zwischenfazit für Unternehmen

Das Projekt GAIA-X wurde mit großen Erwartungen ins Leben gerufen und es mangelte den Initiatoren im Vorfeld nicht an Ambitionen. Mittlerweile ist jedoch mehr dazu bekannt, welche Mitglieder bei dem Projekt mitmischen. Nur wenige Wochen vorher war bezüglich der generellen Aufnahme von Mitgliedern die Haltung der deutschen Bundesregierung als einer der Haupttreiber publik geworden. Für Befürworter des Projekts weicht in der Folge so allmählich die Begeisterung – Ernüchterung macht sich breit. Besonders für Unternehmen, die sich echten Datenschutz nach geltendem europäischen Recht und digitale Souveränität über ihre Daten wünschen, sind die Entwicklungen der letzten Monate besorgniserregend. Für die ursprünglich ausgegebenen Ziele des Projekts lassen sie nämlich eher wenig Hoffnung zu:

Was Unternehmen von GAIA-X noch erwarten können, lesen Sie hier.

  • Sollte sich die aktuelle Sichtweise der Bundesregierung aus ihrer Stellungnahme zu GAIA-X in Zukunft fortsetzen oder gar bestätigt werden, kann GAIA-X trotz aller Förderung und allen ursprünglichen Absichten keine echte Abhilfe zum gekippten Privacy Shield sein. Die rechtliche Grundproblematik im Datenumgang bei US-Hyperscalern wird von der deutschen Politik bewusst ausgeklammert. Es stellt sich daher die Frage, wie groß letztlich der Wille auf politischer Ebene ist, die eigene Gesetzgebung in Form der DSGVO auch wirksam durchzusetzen. Zudem: Ohne echten Datenschutz entfiele für GAIA-X zusätzlich ein wichtiger Wettbewerbsvorteil gegenüber den etablierten US-Anbietern.
  • Die wirtschaftlichen Entscheidungsträger im Verwaltungsrat von GAIA-X gaben grünes Licht für die Mitgliedschaft des US-Unternehmens Palantir, das sich – allen öffentlichen Verlautbarungen zum Trotz – bislang keineswegs durch Datenschutz oder die Wahrung von Privatsphäre hervorgetan hat.

Wer sorgt also letztlich dafür oder stellt gar sicher, dass mit GAIA-X ein „digitales Ökosystem“ nach europäischen (Datenschutz-) Standards geschaffen wird, das diesen Namen auch verdient?



Hoffnungen schwinden zwar, doch die Herausforderungen bleiben: Was können Unternehmen für Datenschutz und digitale Souveränität konkret tun?

Auch falls GAIA-X hinter den Erwartungen zurückbleiben wird – und danach sieht es derzeit leider in der Tat aus – die Herausforderungen für europäische Unternehmen bleiben weiterhin bestehen. Unternehmen müssen daher selbst aktiv werden und trotz des allgegenwärtigen Trends, möglichst viel auszulagern und in die Cloud zu schieben, die Kontrolle über ihre Daten behalten oder zurückerlangen. Damit sie selbst darüber bestimmen können, wer Zugriff und Einsicht auf diese erhält, und damit unberechtigte Dritte außen vor bleiben. Es gilt nicht nur, sich um echten Datenschutz und DSGVO-Compliance (gerade auch im internationalen Datenverkehr), zu kümmern, um etwaige Strafzahlungen zu vermeiden. Ureigenstes Interesse ist es auch, das geistige Eigentum der Firma zu schützen – ihre Daten.

Die Erfahrung hat gezeigt, dass es für Unternehmen und ihre Arbeit dringend mehr Unabhängigkeit von Anbietern und Plattformen bedarf. Es mag verlockend sein, Komplettpakete diverser Anbieter in Anspruch zu nehmen. Unternehmen, die diesen Weg einschlagen, geraten so aber auch in Gefahr, etwaige Kostenersparnisse später teuer bezahlen zu müssen. Sie begeben sich nämlich in Abhängigkeiten, die sich nicht so einfach rückabwickeln lassen. Ein späterer Wechselprozess ist extrem kosten- und arbeitsintensiv. Jeglichen Freiraum, den Unternehmen abgegeben haben, gibt es nur zu einem sehr hohen Preis wieder zurück. Aus diesem Grund muss es von Unternehmen wohlüberlegt sein, jegliche eigene Souveränität an Dritte abzugeben. Sie müssen sich im Klaren darüber sein, welche Implikationen es hat, für die erfolgreiche Verrichtung der eigenen Arbeit und ihrer Abläufe auf externe Anbieter angewiesen zu sein. Sie sollten, wo immer möglich, die Kontrolle über die eigenen Daten behalten.

Auch unabhängig von GAIA-X müssen Unternehmen daher eine Risikoabwägung durchführen:

  • Wo werden Unternehmensdaten gespeichert und verarbeitet? Gibt es Datenströme, eventuell auch über Drittanbieter, die Datenschutzverletzungen und Strafzahlungen nach sich ziehen können? Gibt es ausreichend Kontrolle über firmeneigenes geistiges Eigentum und ist dieses wirksam geschützt?
  • Was kann on premises betrieben und somit selbst kontrolliert werden – und was ist hierfür unpraktikabel oder zu teuer?
  • Der Trend geht klar zur Cloud – und hier sind US-Anbieter führend. Die Cloud ist letztlich jedoch, vereinfacht gesagt, auch bloß der Server eines anderen. Unternehmen müssen sich dessen bewusst sein und ihre Optionen deshalb genau abwägen: Wem vertrauen sie Daten an und welche Kontrollfunktionen sind sie bereit, an andere zu übergeben?

Bereits seit Jahren stetig steigend: Der Trend zur Cloud.Bereits seit Jahren stetig steigend: Der Trend zur Cloud.

  • Welche Software setzt man ein, die ihren Zweck erfüllt und von den Anwendern auch genutzt werden wird? Können hierbei Abhängigkeiten entstehen, die zu einem Lock-in führen?

Je nach Unternehmen und Geschäftsfeld werden mehr oder weniger Begehrlichkeiten anderer geweckt, dementsprechend ist das Schutzbedürfnis individuell und in Relation auszutarieren. Es gilt gleichwohl die Erfahrung, dass der leider immer noch häufig genutzte Ansatz vornehmlich über den Preis zu gehen – und nicht die Sicherheit – Unternehmen unterm Strich sehr teuer zu stehen kommen kann. Hier muss dringend umgedacht werden. Außerhalb der firmeneigenen Firewall sind Daten besonders gefährdet. Für den sicheren Austausch von Daten ist es aufgrund von DSGVO-Konformität und dem Schutz geistigen Eigentums notwendig, dass Unternehmen eine sichere Kommunikationslösung einsetzen.

Unternehmen, die Wert auf Datenschutz und Datenkontrolle legen, scheinen gegenwärtig nicht umhin zu kommen, möglichst viel bei sich selbst zu betreiben. Diese Option gilt es bei der Anschaffung von geschäftskritischen IT-Lösungen besonders zu berücksichtigen, denn Unternehmen müssen in der Lage sein, sich bestmöglich auszurüsten – passend zugeschnitten auf die individuellen Anforderungen und Wünsche. So können sie selbstbestimmt und effektiv agieren und haben die größtmögliche Gewissheit darüber,

  • wo ihre Daten gespeichert sind,
  • was mit diesen geschieht und
  • wer Zugriff auf sie hat.

Letztlich bestimmt die weitere Ausgestaltung von GAIA-X in der Umsetzung, ob das Projekt über eine bloße Absichtserklärung hinausgehen und wirklich Datenschutz nach europäischem Standard ermöglichen wird. GAIA-X ist zwar nach wie vor eine Alternative, jedoch wird sich mit der Zeit zeigen, ob diese lohnender oder sicherer sein wird und Unternehmen einen echten Mehrwert bietet: verbesserte Compliance, hohe Sicherheit und einen fairen Preis. Nur, wenn die Nutzer des Projekts wirklich profitieren, wird GAIA-X auch langfristig in Anspruch genommen werden. Nur, wenn es europäische Unternehmen erfolgreich weiterbringt und auf eine neue Stufe der Wettbewerbsfähigkeit hebt, wird es selbst eine Erfolgsgeschichte werden.

Angesichts der jüngsten Entwicklungen sind jedoch Zweifel angebracht. Es ist zwar durchaus möglich, dass das Projekt GAIA-X in einigen Jahren als Inkubator Früchte trägt, beispielsweise für mehr europäische Dienstleister in Software und Hardware. Es wäre auch wünschenswert, wenn es sein Potenzial als Plattform nutzt, um künftig Chancen für KI oder Quantencomputer zu realisieren. Unternehmen haben aber keine Zeit zu warten oder auf eine Kursänderung zu hoffen; ihre aktuellen Herausforderungen gilt es jetzt zu meistern. Sie sollten daher selbst aktiv werden und Sorge dafür tragen, dass sie es sind, die entscheiden, was mit ihren Daten geschieht.

Themen

Über diesen Blog

Mit unserer Software Cryptshare ermöglichen wir es unseren Kunden vertrauliche E-Mails und Dateien beliebiger Größe, jederzeit, sicher und nachvollziehbar auszutauschen.

Auf unserem Blog schreiben wir über E-Mailverschlüsselung, Cyberkriminalität, Sicherheitslücken, Schadsoftware, Datenschutz uvm. Kurzum: Alles rund um Datensicherheit.

Folgen Sie uns

         

Mitgliedschaften & Auszeichnungen

Unter Berücksichtigung von

Sichere und geprüfte Prozesse – Cryptshare ist ISO 27001 zertifiziert.
Karlsruher Sicherheitsinitiative
Teilnehmer der Allianz für Cyber-Sicherheit
Bundesamt für Sicherheit in der Informationstechnik
Software made in Germany
Teletrust - IT made in Germany

Was ist Cryptshare?

Cryptshare ist eine Kommunikationslösung. Sie ermöglicht es vertrauliche E-Mails und Dateien beliebiger Größe, jederzeit, sicher und nachvollziehbar auszutauschen. Mehr erfahren

Produkt

Expertenwissen

Unternehmen

Cryptshare

Folgen Sie uns

Copyright by Cryptshare AG

  Impressum / Privatsphäre und Datenschutz