Am 16 Juli 2020 war es soweit: Der Europäische Gerichtshof (EuGH) erklärte das bisher für den Datenverkehr zwischen Europa und den USA geltende Abkommen, den so genannten EU-US Privacy Shield, für ungültig. Begründung des EuGH: In den USA können die Unternehmen dazu verpflichtet werden, die – auch in Europa – generierten User-Daten US-Behörden wie der NSA oder dem FBI zur Verfügung zu stellen. Das sei aber mit dem geltenden EU-Datenschutz, insbesondere im Rahmen der EU-Datenschutzgrundverordnung (DSGVO), nicht vereinbar. Der Rechtsschutz der europäischen Anwender könne nicht gewährleistet werden.
Für Unternehmen, die Cloud Computing-Lösungen von US-amerikanischen Anbietern einsetzen, bedeutet dies, dass ihnen die Rechtsgrundlage für diese Nutzung entzogen wurde. Wer nun hoffte, dass es zumindest eine Übergangsfrist geben werde, bis es zur Umsetzung des Urteils kommt, wurde bereits eine Woche nach Veröffentlichung des Urteils eines Besseren belehrt.
Unternehmen, die Cloud Computing-Lösungen einsetzen, sollten also unbedingt sofort handeln und überprüfen, wo die Daten, die sie mit ihren cloudbasierten Lösungen verarbeiten, am Ende landen. Ansonsten riskieren sie die oben skizzierten Sanktionen. Besonders wichtig ist diese Überprüfung bei Cloud-Lösungen, die zwar von einem deutschen bzw. europäischen Anbieter angeboten, aber auf der Cloud-Plattform eines amerikanischen Cloud Service Providers (Amazon Web Services, Google Cloud, Microsoft Cloud, etc.) betrieben werden. Gerade in diesen Fällen muss sichergestellt sein, dass die Daten deutscher bzw. europäischer Nutzer nicht vom Plattform-Betreiber in die USA transferiert werden, z.B. im Zuge der Archivierung oder beim nächtlichen Backup. Denn genau dieser Transfer ist seit der EuGH-Entscheidung vom 16.7.2020 nicht mehr zulässig.
Am besten ist es natürlich, auf einen Cloud Service Provider zu setzen, der von der EuGH-Entscheidung überhaupt nicht betroffen ist. Dies ist beispielsweise bei ZEP der Fall.
- Der ZEP-Anbieter, die provantis IT Solutions GmbH, ist ein deutsches Unternehmen, das damit auch keinerlei Vorgaben von US-Behörden und/oder sonstigen behördlichen Stellen aus den USA erfüllen muss.
- Die in ZEP erfassten und bearbeiteten Daten werden ausschließlich in deutschen Hochleistungsrechenzentren betrieben, die ihrerseits von deutschen Unternehmen betrieben werden. Damit findet zu keiner Zeit ein Datentransfer in die USA und/oder ein Drittland statt. Auch die Rechenzentrumsbetreiber unterliegen ausschließlich deutschem Recht bzw. den Vorgaben der DSGVO.
Damit spielen weder die Privacy Shield-Verordnung noch deren Aufhebung durch den EuGH für ZEP-Nutzer eine Rolle.
Die provantis IT Solutions GmbH wurde im Jahr 2000 mit dem Ziel gegründet, eine webbasierte, branchenunabhängige Standardlösung für Zeiterfassung und Projekt-Controlling speziell in projektorientierten Dienstleistungsunternehmen zu entwickeln und zu vermarkten. Mit ZEP – Zeiterfassung für Projekte – wurde dieses Ziel erreicht.
Heute ist ZEP bereits bei mehr als 900 Unternehmen in Deutschland, Österreich und in der Schweiz tagtäglich erfolgreich im Einsatz. Hierzu gehören Betriebe, die Beratung oder Software-Entwicklung anbieten ebenso wie Ingenieure. Die Unternehmensgröße reicht dabei von Freiberuflern bis hin zu Unternehmen mit mehreren hundert Mitarbeitern.