Azure- und AWS-Alternative für sicheres Hosting eines Business Messengers
Warum wird aktuell so viel über Alternativen zu AWS, Azure & Co. diskutiert? Und welche Rolle spielt dies, bei der Auswahl einer Kommunikationslösung für die eigene Organisation? Alle Hintergründe und worauf es beim Hosting von Kommunikationslösungen zu achten gilt, erfahren Sie in diesem Blogbeitrag.
Der Anbietermarkt im Bereich Software as a Service (SaaS) wächst exponentiell und die Nachfrage nach flexiblen und skalierbaren Infrastrukturen steigt stetig. So weit, so gut. Parallel jedoch steigt auch die Zahl von Hackerangriffen und Vorfällen, welche die Cybersicherheit von Organisationen im Gebrauch von SaaS-Lösungen gefährden. Dabei ist vielen Organisationen nicht bewusst, dass sie mit ihren IT-Lösungen ins Visier von Cyberkriminellen geraten können oder sich selbst rechtlich auf sehr dünnes Eis begeben. Denn bei der Entscheidung für eine Kommunikationslösung steht Effizienzsteigerung meist im Vordergrund, obwohl Sicherheit und Compliance ebenso wichtige Auswahlkriterien sind – und diese eigentlich sogar priorisiert werden müssten.
Das Problem mit den US-Anbietern
Dass es für Organisationen mit Hauptsitz in Deutschland oder innerhalb der Europäischen Union einer Azure- und AWS-Alternative bedarf, liegt daran, dass es keine Rechtsgrundlage gibt, um Daten in den USA oder von US-Unternehmen verarbeiten zu lassen. Laut Artikel 44 EU-Datenschutzgrundverordnung (DSGVO) ist der transatlantische Datentransfer nämlich nur dann zulässig, wenn die USA ein angemessenes Datenschutz-Niveau aufweisen würden – was sie nicht tun – oder ein sogenannter Angemessenheitsbeschluss (gemäß Artikel 45) vorliegt. Einen solchen gab es bis 2015 in Form des Safe-Harbor-Abkommens und mit dem Nachfolge-Modell, auch als Privacy Shield bekannt, bis Juli 2020: Damals erklärte der Europäische Gerichtshof (EuGH) auch diesen Beschluss für ungültig.
Erst Safe Harbor, dann Privacy Shield – keine Chance für ein angemessenes Datenschutzniveau
Warum verfügen die USA als Nicht-EU- oder EWR-Land – sogenanntes Drittland – aus Sicht der DSGVO nicht über ein ausreichendes Datenschutzniveau? Grund dafür sind Gesetze wie der US-CLOUD-Act, der es den dortigen Behörden und Geheimdiensten gestattet, Zugang zu jedweden Daten zu erlangen, die sich in Besitz, in Obhut oder unter Kontrolle eines US-Unternehmens oder deren Tochtergesellschaften befindet – selbst, wenn diese die Daten in europäischen Rechenzentren hosten. Dass das hiesige Verständnis von Datenschutz nicht mit den Ansichten der USA vereinbar ist, liegt vermutlich daran, dass Datenschutz hierzulande als Grundrecht auf informationelle Selbstbestimmung verankert ist. In den USA dagegen im Wirtschafts- und Wettbewerbsrecht verortet und oftmals in Form von freiwilligen Erklärungen von einzelnen Branchen oder Unternehmen umgesetzt wird. Eine datenschutzrechtliche Annäherung der USA und Europa ist daher auch zukünftig nicht zu erwarten. Detaillierte Hintergründe erfahren Sie im kostenfreien Whitepaper unseres Cloud-Partners IONOS Cloud.
Ein Datentransfer in die USA oder die Nutzung von US-Cloud-Diensten, welche die Daten in europäischen Rechenzentren hosten, ist somit nicht mehr auf Basis eines internationalen Abkommens möglich. Alle Verarbeitungsverträge, die sich heute noch auf das Privacy Shield berufen, müssen demnach angepasst werden. Oftmals wissen aber Anwenderorganisationen, die eine Software oder Kommunikationslösung im Einsatz haben, gar nicht, auf welcher Rechtsgrundlage ihre Daten vom Anbieter gehostet werden oder dieser sie hosten lässt.
Halten wir also fest:
#1 Ein US-basiertes Cloud-Computing ist nicht DSGVO-konform – selbst dann nicht, wenn die Server in Deutschland stehen.
#2 Organisationen sollten ihre Verträge mit Cloud-Anbietern und Software-Herstellern prüfen lassen, um etwaige Risiken auszuschließen.
Die Verantwortung obliegt den Organisationen selbst, die die Datenverarbeitung beauftragen
Es steht fest, eine Organisation, die einen Cloud-Anbieter beauftragt oder eine cloud-basierte Kommunikationslösung einsetzt, ist (im Sinne der DSGVO) auch dafür verantwortlich ist, dass die Datenverarbeitung rechtskonform erfolgt. Laut EuGH sind auch nach Wegfall des Privacy Shields folgende Optionen gegeben, um den Datentransfer in die USA zu legitimieren:
1. Organisationen können die Standardvertragsklauseln der EU-Kommission verwenden, wenn diese inhaltlich unverändert und mit jedem einzelnen Verarbeiter separat geschlossen werden sowie eine Prüfung erfolgt ist, dass die Betroffenenrechte (der Personen, um deren schützenswerte Daten es letztlich geht) im Drittland ein EU-gleichwertiges Schutzniveau genießen.
2. Es ist auch möglich, dass sich Organisationen eigene verbindliche Datenschutzvorschriften nach Artikel 47 DSGVO auferlegen.
3. Alternativ müssen Organisationen die ausdrückliche Einwilligung aller betroffenen Personen einholen, deren Daten übermittelt werden – also aller Nutzer einer Kommunikationslösung innerhalb- und womöglich außerhalb der Organisation. Hier dürfte aber die rechtssichere Formulierung dessen kein Leichtes werden.
Tatsächlich ist davon auszugehen, dass ein DSGVO-konformer Datentransfer in die USA oder die Datenverarbeitung durch US-Unternehmen auf Basis der Standardvertragsklauseln kaum möglich ist.
Die bessere Option: Eine Microsoft Azure- und AWS-Alternative nutzen
Um dieser ganzen Problematik entgegenzuwirken und sich nicht in rechtliche Grauzonen zu manövrieren, sollten Kommunikationslösungen auf einer holistischen DSGVO-konformen Infrastruktur aufgebaut sein. Datenschutz bezieht sich letztlich nur auf personenbezogene Daten, wohingegen die Anforderungen hinsichtlich Datensicherheit wirtschaftliche Daten, Informationen aus Forschung und Entwicklung oder Telemetrie-Daten einschließen. Beim Thema Sicherheit geht es zusätzlich auch um die Gewährleistung des Organisationsbetriebs und der Kommunikation in Krisen- und Notfallsituationen. Laufen bestimmte Dienste einer Organisation in der Cloud von Microsoft oder AWS, sind Alternativen als eine Art Sicherheitsnetz nötig, um bei einem Ausfall dieser Cloud-Strukturen wichtige Prozesse – unter anderem Kommunikationsprozesse – aufrechterhalten zu können. Gründe für eine Downtime großer Cloud-Anbieter können neben Naturgewalten, Störungen der kritischen Infrastruktur (KRITIS) sowie chemische, biologische, radiologische und nukleare Gefahren (CBRN) sein, aber eben auch Hackerangriffe oder menschliches Fehlverhalten.
Bei der Erwägung einer Azure- und AWS-Alternative müssen sich Organisationen zwei Fragen stellen:
1. Bedarf es einer gänzlichen Ablösung aller Systeme, die auf diesen oder anderen US-amerikanischen Cloud-Lösungen basieren?
2. Benötigt die Organisation eine souveräne Parallel-Lösung – insbesondere für die Kommunikation – um diese in Krisen- und Notfallsituationen sicherstellen zu können?
Alternativen oder Ergänzungen für Cloud-Computing- und -Speicherlösungen
Organisationen, die tagtäglich mit sensiblen und personenbezogenen Daten agieren, sollten eine Azure- und AWS-Alternative für das Hosting ihrer Systeme und Kommunikationslösungen ernsthaft prüfen. Ansonsten ist es zumindest ratsam, eine unabhängige Lösung für die sichere Notfallkommunikation zu etablieren. Denn dann kann auch in Krisensituationen oder im Fall von Cyberattacken die volle Funktionsfähigkeit der Cloud-Computing- oder Cloud-Speicherlösungen gewährleistet werden, damit die interne Kommunikation zu keiner Zeit unterbrochen wird und die Organisation weiter handlungsfähig bleibt. Teamwire bietet als Kommunikationslösungsanbieter in beiden Fällen eine zuverlässige Alternative zu Cloud-Diensten wie AWS, Azure & Co.
Zero Trust und europäische Anbieter als Azure- und AWS-Alternative
Unser Business Messenger Teamwire wird beispielsweise unter anderem über eine Public Cloud gehostet und Kunden angeboten. Die Public Cloud stammt von IONOS Cloud, dem führenden europäischen Anbieter für eine souveräne Cloud-Plattform. Darüber hinaus gibt es die Möglichkeit, Teamwire in einer Private Cloud zu betreiben – mit hundertprozentiger Einhaltung der DSGVO durch die selbst-hostende Organisation. Damit behalten Organisationen die volle Datenkontrolle „inhouse“ und können alle Compliance-Richtlinien einhalten. Zudem haben wir uns als Anbieter mit Hauptsitz in Deutschland die Einhaltung der DSGVO auf die Fahne geschrieben, um den Anwendern zu jeder Zeit absoluten Datenschutz zu garantieren. Dabei setzen wir als Teamwire nicht nur auf europäisches Cloud-Computing und das Zero-Trust-Modell, sondern arbeiten auch auf Cloud-Speicher-Ebene mit dem deutschen Anbieter Dracoon zusammen.
10 gute Gründe, warum Teamwire eine der sichersten Kommunikationslösung ist
- Hosting am Standort der Wahl des Kunden (Public Cloud, Private Cloud, On-Premises)
- Public Cloud-Lösung mit einer Azure- und AWS-Alternative: IONOS Cloud
- Ausfallsichere und hochskalierbare Serverinfrastruktur
- Hoher Schutz gegen Cyberangriffe
- Absolute Datensouveränität und Datenhoheit beim Kunden
- Führende Sicherheits- und Datenschutzrichtlinien für maximale Kontrolle
- Gewährleistung der DSGVO-Konformität
- Jahrelange Erfahrung im Bereich der kritischen Infrastrukturen
- Namhafte Referenzen von großen Organisationen (z.B. Bayerische Polizei)
- Sehr schneller und einfacher Roll-out
Fazit: Ohne Sorge um eine Azure- und AWS-Alternative
Wie eingangs geschildert, ist nicht allen Organisationen klar, auf welcher Grundlage sie ihre Kommunikationslösungen betreiben. Nicht selten fehlt die Transparenz seitens der Lösungsanbieter. Auch sind die Erklärungen zu Datenschutz und Sicherheitsstandards teils schwer auffindbar oder kaum zu verstehen. Organisationen, die sich für Teamwire entscheiden, können sich hundertprozentig darauf verlassen, dass die Sicherheit der Daten bei uns an oberster Stelle steht. Unser Anliegen ist es zudem, den Einsatz von Teamwire so zuverlässig und sorgenfrei wie möglich zu gestalten. Indem wir für unseren Business Messenger eine DSGVO-konforme Basis schaffen, auf Azure- und AWS-Alternativen setzen und diese um weitere Sicherheitsmaßnahmen ergänzen, können wir alle etwaigen Zweifel hinsichtlich Datenschutz, -sicherheit und -souveränität ausräumen – und damit auch sensible Organisationen wie öffentliche Einrichtungen und Behörden überzeugen.
In unserem Praxisbericht „Die Kommunikation einfach einfacher machen“ über die Stadt Zirndorf zeigen wir, mit welchen Anforderungen nach einer Kommunikationslösung gesucht wurde und wie die Stadtverwaltung heute von einer sicheren und DSGVO-konformen Kommunikation profitiert.
Praxisbericht kostenfrei herunterladen >>>
Wir sind für Sie da
Sie sind daran interessiert, Teamwire als Kommunikationslösung (auf Basis einer Azure- oder AWS-Alternative) in Ihrer Organisation zu etablieren? Gern stehen wir Ihnen für all Ihre Fragen zur Verfügung. Vereinbaren Sie einfach ein unverbindliches Beratungsgespräch.
Gerne können Sie sich auch zu weiteren Themen in unserem Blog Bereich informieren. Lesen Sie z.B. wie Enterprise Messaging die Team Kommunikation verbessert und damit die Unternehmenskommunikation evolutioniert oder was die Nachteile von Microsoft Teams und Slack für Enterprise Messaging sein können.