Digitale Souveränität – Was der Ausfall von Microsoft uns zeigt

Als am Mittwoch Vormittag mehrere wichtige Dienste von Microsoft ausfielen, stand bei vielen Unternehmen weltweit der Betrieb still. Genaue Zahlen zu den Ausfällen wurden zwar nicht genannt, allerdings meldete die Ausfallverfolgungs-Website Downdetector Tausende von Vorfällen auf allen Kontinenten. Zu viele europäische Unternehmen hängen stark von US-amerikanischen Konzernen ab, so auch schon eine Unternehmensbefragung des ZEW Mannheims. Die gab an, dass über 80% der Unternehmen in mindestens einem vorgegebenen Technologiefeld etwas oder stark abhängig von nicht-europäischen Anbietern fühlen. Das wird zu einem Problem, wenn der Zugang zu diesen Technologien unterbrochen wird oder nicht länger verfügbar sind. Zu den betroffenen Diensten am Mittwoch gehörten dabei die Bürokommunikations-Plattform Teams und der E-Mail-Service Outlook.com sowie Exchange und sorgten dafür, dass weder die Kommunikation intern noch mit den Kunden funktionierte. Für so manchen war das vielleicht eine augenöffnende Erfahrung, was den Status der Abhängigkeit seines Unternehmens von den US-Konzernen betrifft. Was können wir also tun, um uns digital souveräner aufzustellen?   Was ist digitale Souveränität? Der Begriff „Souveränität“ beschreibt die Unabhängigkeit und Autonomie eines Staates, einer Gesellschaft oder eines Individuums. Mit der Digitalisierung der Welt ergeben sich neue Möglichkeiten und Einschränkungen, die globale Auswirkungen auf unsere Souveränität haben. Die digitale Souveränität beschreibt daher „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“. Im europäischen Kontext bedeutet das insbesondere sich unabhängiger von einzelnen Anbietern und Produkten zu machen und die Resilienz der Unternehmen und des Staates durch die Austauschbarkeit von Komponenten zu erhöhen.   Warum ist digitale Souveränität so wichtig? Der Ausfall von Microsoft macht es deutlich. Alles an einen Anbieter abzutreten, kann im Zweifelsfall verheerende Folgen haben. Der Mangel an europäischen Alternativen wird in vielen Unternehmen aus den Sektoren Hardware, Infrastruktur und Software-Anwendungen deutlich. Die Unternehmensbefragung des ZEW Mannheims gibt an, dass 16 Prozent der Informationswirtschaft und 19 Prozent des Verarbeitenden Gewerbes darauf angewiesen sind, nicht-europäische Anbieter zu nutzen. Seit dem Ende des Privacy Shields wird die Abhängigkeit von US-amerikanischen Anbietern allerdings noch zunehmend kritisiert, da die Unternehmen die Kontrolle der Daten nicht mehr gewährleisten können. Doch obwohl die Abhängigkeit von den Techgiganten aktuell sogar mit der Gefahr von hohen Bußgeldern verknüpft ist, planen nur wenige Unternehmen Maßnahmen. Als Gründe für die Zurückhaltung der Unternehmen werden immer wieder entweder die möglich hohen Wechselkosten und die fehlenden Ausweichmöglichkeiten genannt. Helfen kann dabei aber schon eine Ausweitung des Anbieterportfolios.   Gegenseitige Abhängigkeiten sind akzeptabel, einseitige Abhängigkeiten aber müssen unbedingt vermieden werden. – Achim Berg, Präsident des Digitalverbands Bitkom Im Rahmen einer Abhängigkeitsanalyse kann man den eigenen Grad der Abhängigkeit des Unternehmens ermitteln. Als Daumenregel kann man hierbei sich folgende zu Rate ziehen: Wenn der Anbieter nicht abhängig von einem selber ist, dann nicht mehr als eine Dienstleistung an diesen auslagern. Umso größer die Abhängigkeit des Anbieter von dem eigenem Unternehmen, umso mehr Dienstleistungen können abgegeben werden. Problem: Nur große Konzerne können von sich behaupten, dass Unternehmen wie Microsoft oder Google von einem selber abhängig sind.   Alternativlosigkeit der Unternehmen behindert die Souveränität Die Studie „Digitale Souveränität“ vom ZEW ist nur ein Teil eines umfassenden Forschungsauftrags mit dem Titel „Messung des Digitalisierungsgrades der deutschen Wirtschaft“, den das BMWi für zunächst drei Jahre vergeben hat. Die deutsche Verwaltungscloud-Strategie bildet dabei die Grundlage für die Schaffung gemeinsamer Standards und offener Schnittstellen. Bereits bestehende föderale Cloud-Lösungen der Öffentlichen Verwaltung sollen miteinander vernetzt und flexibel gestaltet werden ganz nach dem Grundsatz „build once, run everywhere“. So soll auch die Schaffung eines Digitalen Binnenmarktes in Europa, bestehende Barrieren im digitalen Bereich abbauen. Das schafft einheitliche rechtliche Rahmenbedingungen beim Verbraucherschutz und Datenrecht mit einem sinnvollen Ausgleich zwischen schützenswerten persönlichen Daten und der Nutzung für digitale Anwendungen in Europa. Digitale Souveränität bedeutet also Alternativen zu schaffen und einen offenen, wettbewerbsfähigen Markt zu unterstützen und die Handlungsfähigkeit nicht nur für den Fall eines weiteren Ausfalls sondern für die Zukunft sicherzustellen. Das alles verknüpft mit den europäischen Rechts- und Wertevorstellungen. Es hilft nicht nur den Unternehmen, sondern auch Behörden und Staat. Denn die Souveränität eines Staates soll sicherstellen, dass die Bürger*innen den staatlichen Behörden vertrauen können, ohne dabei Gefahr zu laufen, dass Wirtschaftsunternehmen oder die Interessen anderen Staaten Einfluss nehmen.     MEHR FACTS & TIPPS ZUM THEMA Lesen Sie auch: Microsoft und die DSGVO – Eine Übersicht US amerikanische Cloud Anwendungen und die DSGVO Stolperfalle Cloud Collaboration – Unternehmen sollten sich nicht nur auf namhafte Lösungen verlassen Die Macht der Tech-Monopole  

Microsoft und die DSGVO – Eine Übersicht

Immer wieder taucht Microsoft zurzeit wegen Datenschutzunstimmigkeiten in den Schlagzeilen auf. Seit dem Kippen des Privacy Shield Abkommens in 2020 hat der Konzern mit den Anforderungen der europäischen Datenschützer zu kämpfen; besonders die cloudbasierte Version Microsoft 365 (bis vor kurzem noch Microsoft Office 365). Grund dafür sind die Datenübermittlungen in die USA, die durch die Zugriffsmöglichkeiten der US-Behörden durch den CLOUD Act in ein rechtliches Abseits gerutscht sind. Trotz diverser Versuche von Microsoft, die Sicherheitslücken zu schließen, gibt es von deutschen Datenschutzbehörden kein grünes Licht; M365 bleibt datenschutzwidrig.   Was bisher geschah Oktober 2020: Kurz nach dem Scheitern des Rechtsabkommens Privacy Shield veröffentlicht die Datenschutzkonferenz (DSK) eine Bewertung von Microsofts Office 365 und stuft es aufgrund von Transparenzproblemen als nicht datenschutzkonform ein. Aus der Untersuchung der Datenschutzbestimmungen der Microsoft-Onlinedienste (Data Processing Addendum) und der Online Service Terms (OST) ging nicht eindeutig hervor, welche Daten tatsächlich verarbeitet werden, insbesondere die Daten, die in den USA im eigenen Interesse verarbeitet werden.   September 2022: Seitdem hat Microsoft Veränderungen an deren Datenschutzbestimmungen vorgenommen. Zuletzt aktualisierte Microsoft auch die Fassung des Auftragsverarbeitungsvertrags im September 2022, wobei die Standardvertragsklauseln (SVKs) auf die, vom EuGH bereits im September 2021 veröffentlichten, neuen SVKs aktualisiert. Da die Frist für die alten SVKs am 27. Dezember dieses Jahres auslaufen, wurde es dafür sowieso höchste Zeit. Außerdem präzisierte Microsoft die Angaben, zu welchen Zwecken die Daten genutzt werden. Der US-Konzern erläutert so etwa, statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu aggregieren und Statistiken zu erstellen.   Oktober 2022: Deutsche Datenschutzbehörden bleiben bei ihrer Meinung. Microsofts Office 365 ist und bleibt DSGVO-widrig. Nach wie vor bietet Microsoft nicht genug Transparenz in den Nutzungsbedingungen. Da auch der Behördenzugriff durch den CLOUD Act weiterhin nicht auszuschließen ist, stellt das ein weiteres Sicherheitsrisiko dar. Da Unternehmen deswegen nicht nachweisen können, dass sie die Software datenschutzkonform nutzen, möchte Thüringens Landesschutzbeauftragter Lutz Hasse über die Umsetzung des Beschlusses der DSK reden. Konsequenz könnte sein, dass die Nutzung der Software untersagt wird. Vor allem an Schulen und in öffentlichen Behörden ist die Nutzung eigentlich nicht mehr möglich.   November 2022: Frankreich macht es vor. Wie das IT-Newsportal „Siecle Digital“ berichtet, untersagt der französische Bildungsminister den Einsatz der kostenlosen Office Programme an Schulen. Möglich also, dass wir bald dem Beispiel Frankreichs folgen. Vielleicht wird das Urteil sogar auf Behörden und Unternehmen ausgeweitet.     Du willst mehr darüber erfahren, warum die Nutzung von US-Providern wie Microsoft nicht ohne Weiteres möglich ist? Dann lass Dir auch die folgenden Artikel nicht entgehen: US amerikanische Cloud Anwendungen und die DSGVO Stolperfalle Cloud Collaboration – Unternehmen sollten sich nicht nur auf namhafte Lösungen verlassen Die Macht der Tech-Monopole  

US-amerikanische Cloud Anwendungen und die DSGVO

Cloud-Dienste sind aus den meisten Unternehmen nicht wegzudenken, allen voran beliebte US-amerikanische Anwendungen. Ob als Team-Chat, Online-Dokumentenspeicher, Customer Relationship Management System oder multifunktionale Kollaborations-Plattform. Alle eint ihre Innovationskraft auf die Arbeitswelt. Nicht verwunderlich also, dass einer Studie von Bitkom Research 2019 zufolge 3 von 4 Unternehmen Rechenleistungen aus der Cloud nutzen. Jedoch wird eine erhebliche Anzahl an europäischen Unternehmen seine Cloud Strategie von Grund auf neu ausrichten müssen. Denn das EU-Recht manövriert bewährte US-Cloud-Dienste ins rechtliche Abseits. Und das mit wenig Hoffnung auf eine langfristige Lösung der Problematik, die es uns Europäern erlauben würde, US-Dienste wieder guten Gewissens zu nutzen. Was sind die Hintergründe und wie können Unternehmen jetzt umdenken?   Rechtliche Hintergründe – DSGVO vs. Cloud Act Im März 2018 trat in den USA eine neue Verordnung in Kraft, der CLOUD Act. Während die EU seit 2016 mit der Datenschutz-Grundverordnung, vereinfacht gesagt, die Absicht verfolgt, Personen und deren Daten zu schützen, zielt der CLOUD Act in die entgegengesetzte Richtung ab: Per Gesetz wurde geregelt, dass amerikanische Behörden Zugriff auf personenbezogene Daten der US-Cloud-Dienste haben mit der Begründung organisierte Kriminalität besser bekämpfen zu können. Konkret heißt das, dass US-Behörden ohne richterlichen Beschluss zu allen Daten, seien es Chats, Bilder oder sämtliche Dokumente, die wir bei Amazon, Dropbox, Google, etc. liegen, Zugang haben. Das bedeutet beispielsweise, dass jeder Privatnutzer von Dropbox, jeder Angestellte eines Unternehmens, das Microsoft Teams verwendet oder auch jeder Kunde eines Unternehmens, das Kundendaten in einer US-Cloud verarbeitet, seine Privatsphäre verliert.   EU – Datengrenze und – Rechenzentren – Falsche Versprechen? Wie oft die Behörden den Weg der Datenabfrage gehen, ist zwar nicht ganz klar, allerdings ist allein die Tatsache, dass sie diese Option haben, stark bedenklich. Dass unter so einer Entwicklung nach und nach das internationale Geschäft leiden wird, sehen auch die US-Konzerne mit kritischem Auge. So gab Microsoft bekannt, dass sie in der ersten Hälfte 91 Anfragen von der Strafverfolgungsbehörde erhalten hatten, wovon sie zwar 42 Fälle, und damit weniger als die Hälfte, vor Gericht abweisen konnten, alle restlichen jedoch gestattet wurden. Da Herausgabeanordnungen aber auch häufig mit der Anweisung, diese geheim zu halten, einhergehen, bleibt zu befürchten, dass das nur die Spitze des Eisbergs ist. Es wird zwar weiterhin von verschiedenen Cloud-Anwendungsanbietern damit geworben, dass für den Schutz der Daten garantiert wird z.B. durch den Bau von Rechenzentren in Europa oder die Einführungen einer „Datengrenze“ für EU-Kunden, bei der Daten nur in der EU gespeichert und verarbeitet werden, allerdings ändert dies nichts an der Tatsache, dass sie als US-Unternehmen weiterhin dem CLOUD Act unterliegen. EU-Rechenzentrum hin oder her.   Warum Sie sich als Unternehmen nicht wegdrehen können Die USA behandelt damit den Datentransfer und -schutz rechtlich konträr zu EU-Verordnungen, denn laut DSGVO ist eine Übertragung personenbezogener Daten an Drittländer nur zulässig, wenn hierfür ein Rechtshilfeabkommen zwischen dem Drittland und dem EU-Mitgliedsstaat vorliegt. Im Klartext heißt das, dass Kundendaten, die auf Servern von US-Providern gespeichert sind, auch wenn diese innerhalb der EU liegen, durch den CLOUD Act zu der Herausgabe verpflichtet sind auch wenn die örtlichen Gesetze etwas anderes besagen. Eine Zwickmühle, denn Europäische Unternehmen sind rechtlich an das gebunden, was lokal gilt, also die DSGVO Regelungen. Problem dabei ist, dass ohne rechtliches Abkommen der Datenexporteur sich selbst für die Rechtmäßigkeit des Datentransfers verantworten muss oder man riskiert ein Bußgeld, dass bis zu 20 Mio. € betragen kann 4 % des jährlich weltweiten Umsatzes.   Wird sich das Blatt noch wenden? Aufgrund dieser Unterschiede in der Rechtsverordnung, gab es schon Versuche ein transatlantisches Datenschutzabkommen zu vereinbaren. Sowohl „Safe Habor“ und „Privacy Shield“ wurden jedoch vom Europäischen Gerichtshof für ungültig erklärt, da diese letztlich eigentlich nicht gesetzeskonform waren. Das neu kommende Abkommen „Trans-Atlantic Data Privacy Framework“, scheint aber auch nur eine verschärfte Variante des Privacy Shields zu sein, denn der US-behördliche Zugriff ist weiterhin nicht ausgeschlossen. Auch der Jurist Max Schrems, der auch schon die beiden ersten Abkommen zu Fall brachte, äußerte bereits scharfe Kritik an der Durchführungsverordnung. Auch die Möglichkeit von Workarounds wie eine eigene Verschlüsselung widerspräche den Gesetzen, den US-Konzerne ausgeliefert sind. Teilweise ist das auch nicht ohne weiteres in ein bestehendes Angebot integrierbar vor allem, wenn es sich um komplexe Programme handelt wie z.B. Google Analytics. Sobald das Programm „mitdenken“ muss, sei es Graphen erstellen, Verkaufsberichte bereitstellen oder eine Suchanfrage über mehrere Anwendungen hinweg tätigen soll, müssen die Daten auf dem Server im Klartext vorliegen, ansonsten werden Cloud-Programme unbrauchbar.   Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes Europäer weiterhin ausspionieren lassen will. – Max Schrems   Auch die Möglichkeit von Workarounds wie eine eigene Verschlüsselung widerspräche den Gesetzen, den US-Konzerne ausgeliefert sind. Teilweise ist das auch nicht ohne weiteres in ein bestehendes Angebot integrierbar vor allem, wenn es sich um komplexe Programme handelt wie z.B. Google Analytics. Sobald das Programm „mitdenken“ muss, sei es Graphen erstellen, Verkaufsberichte bereitstellen oder eine Suchanfrage über mehrere Anwendungen hinweg tätigen soll, müssen die Daten auf dem Server im Klartext vorliegen, ansonsten werden Cloud-Programme unbrauchbar.   Warum die lokale Cloud für viele Unternehmen die passende Lösung ist Das Verschlafen der Digitalisierung in vielen Bereichen hat zu einer Abhängigkeit von den technologisch fortgeschritteneren US-Anbietern geführt, daher liegt die Lösung bereits vor unserer Nase: mit einer lokalen Cloud holen Betriebe ihre Daten und Cloud-Anwendungen zu sich. Sie sind unabhängig von US-Diensten, ohne auf die klassischen Cloud Merkmale, wie Zugriff von überall, Flexibilität, hohe Performance und Support verzichten zu müssen. Gerade für uns bei Uniki ist Datenschutz mit der wichtigste Treiber und ideologischer Grundpfeiler unseres Produkts. Wir sind mehr als stolz darauf, mit unserem Hybriden Cloud System eine Datenschutz-konforme Alternative zu vielen US-Diensten anbieten zu können.        

Datensicherheit im Home-Office

– Warum Arbeitgeber Ihre Pflichten nicht länger vernachlässigen dürfen. Aktuell arbeiten 61%* aller deutschen Unternehmen von Zuhause. Remote Working ist mittlerweile zur Selbstverständlichkeit geworden. Doch viele Arbeitgeber haben der Datensicherheit und dem Datenschutz in den letzten Monaten wenig Aufmerksamkeit geschenkt. Was sind die gesetzlichen Pflichten und welche Stolperfallen gilt es zu umgehen? Fakt ist, besonders im Home-Office muss dem Abgreifen von sensiblen Daten vorgebeugt werden. Das trügende Sicherheitsgefühl Der Ausdruck sensible Daten klingt zunächst wage – als könne eine Einstufung nach subjektivem Risikoempfinden erfolgen. Eine erste Stolperfalle! Reden wir über Datenschutz im Home-Office, betrachten wir vor allem personenbezogene Informationen, die klar definiert sind: ein Profilbild im Unternehmens-Chat, der Teilnehmer-Name eines Kunden in der Videokonferenz, erfasste (remote) Arbeitszeiten und vieles mehr. Ist der Schutz solcher Daten nicht gewährleistet haftet der Arbeitgeber. Verstöße gegen europäische Datenschutzbestimmungen werden ernst genommen: bis zu 4 % des jährlichen Umsatzes können als Strafzahlung fällig werden. Aktuelle Entwicklungen: Viele beliebte Cloud-Tools sind inzwischen illegal Es musste schnell gehen Anfang des Jahres. Beliebte US-amerikanische Cloud-Tools wurden dankend angenommen und zügig implementiert. Doch vieles hat sich seitdem geändert. Personenbezogene Daten dürfen seit August nicht mehr in den USA verarbeitet werden. Auch von US-Anbietern betriebene Rechenzentren in Europa sind keine datenschutz-konforme Option mehr. Jedoch arbeiten bei deutschen Unternehmen aktuell 60 Prozent der Belegschaft im Home-Office. Das Potential liegt sogar bei 80 Prozent. Cloud-Dienste sind dementsprechend essentiell geworden. Unternehmen sind nun verpflichtet umzudenken und auf sichere und legale europäische Alternativen zu setzen. Nur so können Home-Office und Mobile Working langfristig ohne negative Auswirkungen gelingen.   Mangelnde Datensicherheit-Standards im Homeoffice „Unser Unternehmen ist zu klein und uninteressant, um gehackt zu werden.“ Ein gefährlicher Trugschluss! Gerade im Kontext Home-Office, lauern hier neue Stolperfallen. Eine kleine Anekdote aus unserem Unternehmen: Unsere Kunden sind IT-Leiter und Geschäftsführer. Normalerweise spielt ein Algorithmus unsere Online-Ads auf relevanten Business Portalen aus. Seit April sehen wir deutliche Hinweise, dass die Kinder unserer Zielgruppe am Arbeits-Gerät aktiv sind. Zwar ist dies oft nicht gestattet, in der Realität aber an der Tagesordnung. Jedes Unternehmen kann gehackt werden. Und ein unachtsamer Klick genügt dafür. Checkliste für mehr Datensicherheit im Home-Office 1. Sichere Infrastruktur bereitstellen Um datenschutz-konform zu arbeiten, sollte ganzheitlich auf europäische Cloud-Anwendungen umgestellt werden. Das gilt gleichermaßen für Datei-Sharing-Plattformen, Chatprogramme, Videokonferenz-Systeme, E-Mail-Verkehr, u.v.m. Die Grundlage für vollständige Kontrolle über die Daten kann beispielsweise eine lokale, private Cloud-Plattform bieten. 2. Technische Möglichkeiten voll ausschöpfen Gute Zusammenarbeit im Unternehmen beruht auf Vertrauen. Trotzdem empfiehlt es sich, Zugangsrechte auf ein Minimum zu beschränken. Hintergrund ist im Zusammenhang mit Home-Office einmal mehr die Cyberkriminalität: selbst hinter dem Download-Link der Hausaufgaben für die Kinder kann sich ein Phishing-Angriff verbergen. Denn Betrüger nutzen die neue Ausgangssituation schamlos aus. Fakt ist: hat ein Mitarbeiter begrenzte Zugriffsrechte, können auch Cyberkriminelle nur begrenzt Daten ableiten oder gar verschlüsseln und sperren. Das Risiko minimiert sich außerdem durch den Einsatz eines Passwortmanagers, Einführen von 2-Faktor-Authentifizierung und täglichen automatisierten Backups. 3. Mitarbeiter ausrüsten, sensibilisieren & schulen Es gibt viele Empfehlungen für hohe Sicherheitsstandards im Home-Office. Doch nicht jeder Mitarbeiter hat die Möglichkeit, diese auch umzusetzen. Oft steht kein gesondertes absperrbares Heimbüro zur Verfügung. Sprechen Sie mit Ihren Mitarbeitern, informieren Sie sich über die Voraussetzungen, klären Sie über Risiken auf und schulen gezielt. Mit den richtigen Vorkehrungen ist in jedem Setting sicheres Home-Office möglich. Häufig entwickelt sich jedoch eine sogenannte Schatten-IT. Etwa wenn ein privater USB-Stick oder kostenlose Datei-Sharing Plattformen zum Einsatz kommen. Der Grund: Mitarbeiter behelfen sich eigenhändig und sind sich der Risiken oft nicht bewusst. Stellen Sie also für jeden Workflow eine sichere Alternative zur Verfügung. Denn erfolgreiches und IT-sicheres Home-Office kommt nicht ohne den Einsatz zusätzlicher Kollaborations-Tools aus. Stimmt das ganzheitliche, datenschutzkonforme und IT-sichere Remote-Working Setup, ist der erste wichtige Schritt getan. Sensible Daten können beruhigt von überall aus bearbeitet werden.

Das gekippte Privacy Shield Abkommen: Ausmaße & Folgen einfach erklärt

Im Juli ging ein großer Aufschrei durch die EU. Das Privacy Shield – ein Abkommen mit den USA zur Datenverarbeitung – wurde für ungültig erklärt. Eine große Zahl an Diensten wurde sozusagen über Nacht illegal. Jedoch gingen viele schnell zum Business As Usual zurück – ertappt? Die wenigsten Firmen sind sich über die Ausmaße bewusst. Spitzer Teaser: Es ist nichts mehr wie es war! Abmahnungen und hohe Strafzahlungen für uns Nutzer werden leider nicht ausbleiben. Vielmehr hat die Abmahn-Welle bereits begonnen. Sanfte Kritik von einer Firma, die für Datenschutz steht? Wie passt das zusammen? Gerade für uns bei Uniki ist Datenschutz mit der wichtigste Treiber und ideologischer Grundpfeiler unseres Produkts. Wir sind mehr als stolz darauf, mit unserer Cloud Plattform eine datenschutz-konforme Alternative zu vielen US-Diensten anbieten zu können. Daher sollten wir gerade mehr als happy sein. Wir sehen aber auch die Hilflosigkeit vieler Betriebe und die zwangsläufige „Wird-schon-gut-gehen-Mentalität“. Kaum einer greift das komplexe Thema rund um das Privacy Shield sofort, kann so flink handeln, wie es die Rechtslage verlangt oder adäquate Alternativen finden. Oft ist man auch an bestimmte Tools gebunden, die man nur schwer abschaffen kann. Dazu kommt, dass neben eindeutig US-amerikanischen Anwendungen, auch europäische Dienste betroffen sind. Wir sind folgenschwer von amerikanischer Technologie abhängig Wer nutzt im beruflichen Kontext absolut keine US Software, wie zum Beispiel das beliebte Kommunikations-Tool Slack oder OneDrive von Microsoft? US-Dienste dominieren den Markt. Dazu kommt: selbst europäische Software Anbieter sind sehr verflochten mit US-Diensten und Rechenzentren, wie denen von AWS. Man muss sich das so vorstellen: Nehmen wir an, ein Berliner Tech-Unternehmen hat eine Personal-Software entwickelt. Dabei handelt es sich um ein klassisches SaaS-Produkt (Software as a Service). Das heißt, das Tool wird nicht in Ihrem Büro betrieben, sondern das Berliner Unternehmen kümmert sich um den Ort des Software Betriebs, also um das „zu Hause“ Ihrer Daten. Nun haben aber die Daten der vielen Kunden keinen Platz auf dem hauseigenen Server im Berliner Büro. Eine große Instanz in einem Rechenzentrum, z.B. in Frankfurt, muss angemietet werden. Wer sind die Hauptakteure hinter diesen Rechenzentren? Meist stecken die US-Anbieter Amazon, Microsoft und Google dahinter. Und warum? Die Dienste funktionieren, sind groß und locken mit kostenlosem Guthaben. Sie stellen dadurch leider nach wie vor europäische Cloud Services wie das französische OVH oder das deutsche Gridscale in den Schatten. Denn die Möglichkeiten, Schnittstellen und auch das Wirtschaftliche sind einfach nicht von der Hand zu weisen. Das ist es, was den Direktkunden, den Kunden der Berliner Personal-Software und auch Ihnen wichtig ist: Es muss funktionieren. Nachvollziehbar! Hintergründe – Staatliche Stellen aus den USA haben Zugriff auf unsere Daten In Europa verfolgen wir Datenschutzgrundsätze, die nicht mit dem amerikanischen Gesetz zu vereinen sind: Wir haben alle ein Recht auf Privatsphäre, auch im beruflichen Kontext. Jedoch ist in den USA der Datenschutz nicht einmal allgemeingültig geregelt. Der Grundsatz dort: staatlichen Stellen möglichst einfache und umfassende Zugriffsbefugnisse auf sämtliche Daten zu gewähren. Das wiederum ist in Abschnitt 702 des „Foreign Intelligence Survaillance Act“ (FISA) für die sogenannten „Electronic Communication Service Provider“ geregelt. Also solche Dienste, die irgendeine Art von Kommunikation/Datenaustausch ermöglichen und etwa via Internet übermitteln. Beispiele dafür sind Dokumente, Bilder, E-Mails, Chat-Nachrichten und Videokonferenzen. Im Rahmen dieser Gesetzesgrundlage verpflichten sich US-Dienste dieser Kategorie dazu, Hintertüren für US-Behörden offen zu halten. Auch für die Daten der Kunden aus der EU. Die Regelung steht hierarchisch über jeder anderweitigen vertraglichen Absprache mit den Nutzern des Dienstes. Dementsprechend gibt es keinen Weg diese Hintertüren zu schließen – weder für Sie als Nutzer von Cloud-Diensten wie Dropbox, Slack, OneDrive & Co., noch für diese Unternehmen. In diesem Sinne mag es eher verwundern, dass das Privacy Shield Abkommen 4 Jahre durchgehalten hat – ein angemessenes Schutzniveau nach EU-Maßstäben, war für unsere Daten wohl zu keinem Zeitpunkt vorhanden. US-Rechenzentrum in Deutschland, das ist doch (rechts-)sicher – oder? Ein US-Rechenzentrum mit Standort Deutschland macht noch keinen legalen Verarbeitungs- und Speicherort daraus – wird es auch so bald nicht mehr. Denn die US-Behörden haben auch außerhalb des US-Territoriums besagte Hintertür. Auch hier können sich weder die US Rechenzentren in Europa dagegen wehren noch das Berliner Tech-Unternehmen mit seiner auf AWS gehosteten Personal-Software.   Aber überall steht doch, dass es sicher ist? Was stimmt denn jetzt? Hochgestochene technische Aussagen zu ISO- Standards, Zertifizierungen, Verschlüsselungs-Standards und das Prädikat „Datenschutz made in Germany“ klingen erstmal gut, beruhigend und vertrauenswürdig. Aus rein rechtlicher Sicht sind diese Aspekte aber nach Ende des Privacy Shield Abkommens bei vielen Diensten nicht mehr relevant. Folglich helfen sie Ihnen bei Abmahnungen und anschließend vor Gericht rein gar nichts. Ob Ihre Daten sicher im eigentlichen Wortsinn sind, also nicht im Klartext einsehbar, können wir so pauschal nicht beantworten. Denn auch hinter sehr vielen Verschlüsselungs-Versprechen steckt meist keine vollständige und wahre Ende-zu-Ende Verschlüsselung. Gerade als Laie lässt man sich hier leicht irreführen. Zuletzt hat das die Diskussion um Videokonferenzen sehr deutlich gezeigt. An irgendeinem Punkt sind die Daten meist ungeschützt, zum Beispiel wenn der Schlüssel erst im Rechenzentrum generiert wird oder die Übertragung im Rechenzentrum selbst im Klartext erfolgt. Wir schließen daraus: Sicher – vielleicht in manchen Fällen. Rechtssicher – definitiv nicht, wenn von US Firmen betriebene Rechenzentren oder amerikanische Tools wie Dropbox und Slack dahinterstecken. Denn an dem Punkt, an dem Daten im wahrsten Sinne des Wortes abgreifbar werden, ist ein Schutz der Daten nicht gewährleistet. Wegen FISA 702 muss man hier auch definitiv mit dem Zugriff staatlicher Stellen rechnen. Was bedeutet das für mein Unternehmen? Es gibt genau 2 Karten, die Sie spielen können. Die eine ist ein Glücksspiel – Sie gehen das Risiko ein abgemahnt zu werden, Strafen zu zahlen und verpflichten sich womöglich zur unpassendsten Zeit innerhalb von Wochen Ihre Unternehmens-IT umzustellen. Die legale Karte heißt Bestandsanalyse, Änderungen und bewusstes Entscheiden für echten Datenschutz nach europäischen Überzeugungen. Warum die lokale Cloud für viele Unternehmen die passende Lösung sein wird Der Grund steckt schon im Namen: mit einer lokalen Cloud holen Betriebe ihre Daten und Cloud-Anwendungen zu sich. Sie sind unabhängig von US-Diensten, ohne auf die klassischen Cloud Merkmale, wie Zugriff von überall, Flexibilität, hohe

Produktiv im Homeoffice – Diese Tools bringen das gesamte Unternehmen nach Hause

Die Zeit ist reif für Home-Office und mobiles Arbeiten. Einige Firmen haben diesen Trend schon früh aufgespürt und ihre IT Infrastruktur entsprechend angepasst. Denn schließlich öffnet diese Art zu arbeiten viele neue Türen und steigert die Attraktivität des Arbeitgeberprofils. Dass viele Unternehmen im Jahr 2020 ihre IT schnell aufstocken mussten, liegt auf der Hand. Doch jetzt ist die Zeit, sich langfristig aufzustellen. Denn nicht alle Lösungen haben sich hinsichtlich Verfügbarkeit, Vollständigkeit, IT-Sicherheit und Datenschutz bewährt. Das ganzheitliche Konzept des Hybriden Clod Systems von Uniki hilft dabei, all diese Aspekte abzudecken und mit einem breiten Anwendungs-Portfolio Mitarbeiter im Homeoffice perfekt anzubinden. Denn die technische Umsetzbarkeit allein ist noch lange kein Garant für produktives und angenehmes Arbeiten im Homeoffice. Mobiles Arbeiten benötigt mehr als nur Zugriff auf Dokumente und E-Mails. Stichworte: Teamwork, Koordination der Aufgaben, unkomplizierte Absprachen und auch Team-Spirit. Als die Gründer von Uniki vor einigen Jahren an der optimalen IT Infrastruktur für kleine und mittelständische Unternehmen gefeilt haben, hatten sie bereits die Idee der einen Lösung für alle IT Probleme. Das Hybride Cloud System wurde somit noch um viele nützliche Anwendungen und Tools erweitert: 1. Seafile & OnlyOffice – Datenaustausch & Online Office Mit Seafile entsteht die Basis für erfolgreiches Homeoffice. Denn jeder Mitarbeiter erhält von zu Hause aus Zugang zu sämtlichen Daten und Dokumenten. Dank der Echtzeit-Synchronisation, wird immer auf die aktuellste Version einer Datei zugegriffen. Die Verbindung zum lokalen Server im Büro wird entweder über gewohnte Netzlaufwerke oder über den Browser hergestellt. Weitere Funktionen stärken die Zusammenarbeit in Teams und mit Externen, egal wo die Beteiligten sich befinden: So können mit wenigen Klicks Freigaben an Kollegen und an externe Partner eingerichtet werden. Wird gemeinsam an Word, Excel oder PowerPoint Dokumenten gefeilt, bietet das integrierte Online-Office die perfekte Möglichkeit dazu.   2. Uniki Tasks – Projektmanagement Die beste Möglichkeit, um aus der Ferne Aufgaben im Team zu koordinieren, ist ein Projektmanagement-Tool – eine „To Do Liste“ für Teams. Mit Hilfe von Uniki Tasks bleibt der Aufgaben- oder Projektfortschritt jederzeit geordnet im Blick. Deadlines werden nicht verpasst, selbst wenn alle Kollegen von zu Hause aus an den Aufgaben feilen. Zunächst legt man einzelne Aufgabenkarten an. Anschließend erfolgt die direkte Zuweisung an entsprechende Kollegen. Zusätzlich findet sich Platz für Checklisten und wichtige Informationen zum jeweiligen Task. 3. Uniki Chat & Jitsi Meet – Kommunikation & Videokonferenzen Produktiv im Homeoffice mit dem passenden Chat-Tool. Uniki Chat ist eine vertrauliche Alternative zu Skype, Slack, WhatsApp & Co. Mit Hilfe dieses Tools wird die direkte Kommunikation aufrechterhalten, als befände sich das Team im selben Raum. Neben dem Versenden von Nachrichten, ermöglicht Uniki Chat im Zusammenspiel mit Jitsi Meet das Abhalten von Videokonferenzen im Team und mit Externen. Möchte man den Kollegen direkt am eigenen Monitor etwas zeigen, steht die Funktion zum Teilen des Bildschirms zur Verfügung. Um sich schnell auszutauschen und abzustimmen, werden geschlossene Gruppen, unternehmensübergreifende Kanäle oder Direktnachrichten verwendet. 4. Bitwarden – Passwortmanager Der Fokus des Konzepts Passwort Manager liegt auf Sicherheit. Ferner punkten sie mit vielen Features, die Logins und das gemeinsame Nutzen von Zugangsdaten einfacher und bequemer werden lassen. Wenig spricht dagegen, sehr vieles spricht dafür. Es gibt unzählige Optionen: kostenlose Passwort Manager, Passwort Manager in der Cloud des Anbieters, lokal auf dem Rechner gespeicherte Datenbanken. Ein Favorit, der möglichst alle denkbaren Benefits abdeckt, muss her! Einer, der besonders für Teams geeignet ist! Für unser Unternehmen hat sich nach langer Recherche ein klarer Sieger herauskristallisiert: Bitwarden – lokal auf dem eigenen Unternehmensserver integriert, aber durch die Private Cloud überall verfügbar. 5. Kimai – Zeiterfassung Stempeln war gestern, denn aus dem Homeoffice ist die lokale Stempeluhr nur schwer zu erreichen. Mit Kimai können Arbeitszeiten überall aufgezeichnet werden. Jedes Endgerät kann dazu herangezogen werden, egal ob Laptop, Tablet oder Smartphone. Es stehen verschiedene Zeiterfassungsmodi zur Verfügung. Wird zum Beispiel die „digitale Stechuhr“ genutzt, wählt man zu Beginn des Arbeitstages den Play Button aus und die Uhr läuft im Hintergrund. Optional können zusätzliche Tätigkeitsinformationen hinterlegt, sowie Projekt- und Kundenbudgets direkt verknüpft werden. 6. Uniki Mails – E-Mail Server, Team Kalender & Kontakte Homeoffice Zeit bedeutet Zeit für Unabhängigkeit – auch von großen Anbietern. Bei Uniki erhalten Sie im Zusammenspiel mit Uniki Mails Ihren privaten Mail Server, die eigene digitale Poststelle. Jeder einzelne kann bequem zu Hause am Schreibtisch oder unterwegs per Smartphone auf E-Mail-Postfächer zugreifen. Nachdem Home-Office besonders viel Abstimmung bedarf, können zudem Kalender und Kontakte gemeinsam genutzt werden. So sind alle Informationen ständig griffbereit und die Terminplanung erfolgt effizient. Egal ob Outlook, Apple Mail, Browser oder ähnliches, für alle gewohnten Zugänge ist die Anbindung möglich. Wir beraten Sie gerne bezüglich der schnellen und produktiven Umsetzung Ihrer Homeoffice Lösung. Sie erreichen uns unter (+49) 89 – 215 364 671.