Kein Weg zurück aus New Work

CEO der Concepture Gruppe auf der FIC 2021 in Lille

Die Arbeitswelt hat sich nachhaltig verändert. Unternehmen, welche die Vorteile von Online-Lösungen für die Kollaboration erst für sich erkannt haben, können sich meist gar nicht mehr vorstellen, jemals wieder „wie früher“ zu arbeiten. Kommunizieren via E-Mail und Telefon? Entscheidungen nur in persönlichen Meetings? Nicht nur haftet dieser Vorstellung etwas der Hauch von Gestern an, auch ist es aus Gründen der Effizienz keine ernsthafte Option mehr.

Doch was ist, wenn diese neue Arbeitsweise mit einem Risiko kommt das viele (noch) gar nicht erkannt haben? Ein Risiko, welches im Zweifel die Existenzgrundlage des Unternehmens bedroht? Im Rahmen des Forum International de la Cybersecurity (FIC 2021) in Lille konnte Manuel Bohé, CEO der Concepture Gruppe, dieses Thema zusammen mit Boris Lecoeur (Direkter Général Cloudflare France), Sébastien Jeanjean (Co Founder, Tixeo) und Paul Giraudon (CTO, Jamespot) unter der Moderation von Luména Duluc (Déléguée générale du Clusif) diskutieren.

Alles im Griff – oder doch nicht?

Wir haben uns so sehr an cloudbasierte Lösungen, wie Office 365, G-Workspace, Salesforce, etc. gewöhnt, dass ein Arbeiten ohne diese Werkzeuge heute für viele kaum noch denkbar ist. Im Laufe der Pandemie und mit den Erfahrungen aus den ersten Monaten des Arbeiten in Home Offices, haben wir uns eingelassen auf virtuelle Whiteboards, Aufgaben- und Projektmanagement-Plattformen, Online Chat, Enterprise Social Networks und natürlich auch auf Videokonferenzen.

Doch nun stellt sich die Frage, welchen Unternehmen wir hier eigentlich Kernelemente unserer Operativen Geschäftsprozesse anvertrauen? Unternehmen verlagern de facto Prozesse, welche sie in der Vergangenheit selbst beherrscht haben in die Hände anderer. Nicht immer klar sind dabei die Umstände, unter welchen dieses geschieht.

Zulässigkeit der Nutzung – das DSGVO-Dilemma 

Nach dem EUGH Urteil „Schrems II“ hatte das European Data Protection Board den Auftrag erhalten, konkrete Vorschläge zur Umsetzung des EU-US Datentransfers zu erarbeiten. Seit dem 18. Juni 2021 liegen diese Vorschläge nun in der finalen Fassung vor. Neben vielen anderen Punkten findet sich hierin auch eine deutliche Aussage zur Speicherung von Personenbezogenen Daten in Clouddiensten. Da der Zugriff von US-Behörden nicht ausgeschlossen werden kann…

  • …ist die Speicherung nur zulässig, wenn die Daten kryptografisch geschützt sind
  • …und der Schlüssel ausschließlich beim Datenexporteur liegt.

Zum heutigen Zeitpunkt gibt es jedoch keine technische Möglichkeit, diesen Forderungen nachzukommen. Zumindest dann nicht, wenn die Software ihre Funktion behalten soll. Denn hierfür benötigen alle derzeit populären Anbieter schlicht die Möglichkeit „clear text“ zu verarbeiten. Hierunter fallen Anbieter wie Salesforce, Monday.com, Atlassian, Smartsheet oder Wrike, oder auch solche Anbieter, welche gerne für die Kollaboration in Dokumenten genutzt werden – wie z.B. Office 365 oder G-Workspace.  Es gibt heute schlicht noch keine Möglichkeit, umfangreiche Datenbankinhalte einerseits unter einen kryptografischen Schutz zu stellen und andererseits für die tägliche Arbeit zugänglich zu halten.


Das „Schrems II-Urteil“ und der daraus resultierende Wegfall des Privacy Shields hat die Praxis vor ein massives Problem gestellt. Die neuen Standardvertragsklauseln sind regelmäßig nur nach einer individuellen Risikoanalyse anzuwenden. Die Empfehlungen der EDSA (europäischer Datenschutzausschuss) fordern von den Verantwortlichen für die Risikoanalyse schwer zu leistende Anforderungen. Wenn die Aufsichtsbehörden hier nicht nachbessern und den Unternehmen verbindliche und in der Praxis umsetzbare, sich am risikobasierten Ansatz der DSGVO orientierende Richtlinien an die Hand geben, wird dies es für Unternehmen außerhalb der EU zunehmend schwer machen, am Markt innerhalb der EU mitzuwirken.

Friederike Scholz, Rechtsanwältin & Geschäftsbereichsleitung Datenschutz bei Concepture

Unter diesen Umständen bleibt die Nutzung von u.A. US-SaaS Anbietern unzulässig. Und auch wenn wir uns mit Google, Microsoft und anderen so sehr vertraut gemacht haben – der Einsatz ihrer Cloud-Dienste ist mit einem Risiko verbunden. Unternehmen die sich bewusst für deren Einsatz entscheiden, sollten sich über das Risiko klar sein, hierfür von einer Datenschutzaufsichtsbehörde eine Bußgeldforderung zu erhalten. 

EU Anbieter mit Sicherheitsrisiko?

In der EU entstehen derzeit erfreulicherweise viele Startups, die in Sachen User Experience sehr gut mit dem Angebot der US-Anbieter mithalten können. Und insofern diese Unternehmen ihre Services auf Plattformen innerhalb der EU laufen lassen, die den Zugriff von US- oder anderen drittländischen Behörden verweigern können, sind diese aus datenschutzrechtlicher Sicht natürlich attraktive Alternativen.

Aber wie sieht das aus Perspektive der Cybersicherheit aus? Ein Startup wird kaum mit dem Cybersecurity-Budget der Tech-Giganten aus dem Silicon Valley mithalten können. Aber das muss es auch gar nicht. Denn die Sicherheitsrisiken wachsen ganz besonders mit der Komplexität der Systeme. So steckt in salesforce.com nunmal deutlich mehr Code, als in der Applikation eines auf eine Anwendung spezialisierten Startup. Und grundsätzlich gilt: je mehr Code, je mehr Angriffsfläche. Andererseits muss man natürlich schon erkennen, dass die Prozesse zur Qualitätssicherung von Code bei den führenden Tech-Unternehmen tendenziell besser etabliert sind. Unter anderem ist der Code-Review hier standardisiert, das Mehr-Augen-Prinzip verpflichtend. Nicht zu vergessen die weltweite Community von White Hats, die sich immer rasch auf ein neues Release stürzt, um darin Schwachstellen nachzuweisen. 

Dem entgegen stehen Startups mit knappen finanziellen und personellen Ressourcen, die sich häufig auf kleine Teams oder einzelne Entwickler verlassen müssen und so manchmal eben auch die Geschwindigkeit der Entwicklung der Sicherheit vorziehen. Und natürlich sind deren Applikationen auch nicht sonderlich attraktiv für White Hats, weil hier für den Fund einer Schwachstelle weder eine große Aufmerksamkeit in der Szene oder gar in der Öffentlichkeit zu erwarten ist und in der Regel von den Firmen auch keine oder zumindest keine attraktive Prämie gezahlt wird. Prinzipiell sind auch kleine und mittelständische Unternehmen in der Lage, Anwendungen mit einem hohen Sicherheitsniveau zu entwickeln und zu betreiben. Aber eben nur dann, wenn Sicherheit eine entsprechend hohe Priorität bekommt. Und ob das bei einem Anbieter der Fall ist, sollte mit einem gründlichen und fachkundigen Blick geprüft werden. Alleine eine Zertifizierung nach ISO/IEC 27001 ist hier für sich stehend nicht aussagekräftig genug.