In einer Welt, in der Daten das neue Gold sind, stellt sich die Frage: Wer bewacht Ihren digitalen Tresor? Vor allem jetzt, da Donald Trump in den Vereinigten Staaten wieder an der Macht ist, gerät der Schutz personenbezogener Daten stark unter Druck, und das betrifft auch europäische Unternehmen, Regierungen und Bürger.
1. Der bröckelnde Schutz der Privatsphäre in den USA
In den Vereinigten Staaten gibt es kein übergreifendes nationales Datenschutzgesetz wie in Europa. Stattdessen gibt es fragmentierte sektorale Vorschriften mit großen Lücken beim Schutz personenbezogener Daten. US-Behörden wie die NSA können im Rahmen von Überwachungsgesetzen Daten von Unternehmen wie Google, Microsoft, Amazon und Meta anfordern.
Was die Situation besonders besorgniserregend macht: Die wichtigste US-Regulierungsbehörde in diesem Bereich, das Privacy and Civil Liberties Oversight Board (PCLOB), wurde praktisch abgeschafft. Nachdem drei kritische Mitglieder von Präsident Trump entlassen wurden, ist nur noch ein Mitglied übrig. Und das, obwohl diese Aufsichtsbehörde dafür sorgen sollte, dass die europäischen Datenschutzrechte in den USA geachtet werden.
Trump hat zudem eine präsidiale Anordnung unterzeichnet, die das gesamte Data Privacy Framework (DPF) in Frage stellt. Dieses Abkommen sollte eigentlich einen sicheren Datenaustausch zwischen Europa und den USA gewährleisten, doch nun droht auch es - wie seine Vorgänger - zerstört zu werden.
Gertjan Westerlaken, Datenschutz- und Sicherheitsbeauftragter Johan.nlDass die USA eine weitere Aushöhlung der Privatsphäre zulassen, geht auch aus ihrem jüngsten Haushalts- und Steuergesetz hervor, Trumps 'One big, beautiful bill'. Dieses Gesetz, das kürzlich vom Repräsentantenhaus verabschiedet wurde, lässt der KI freie Hand. So dürfen die US-Bundesstaaten in den nächsten 10 Jahren keine eigenen Gesetze zur Eindämmung der künstlichen Intelligenz erlassen. Und jeder weiß: KI-Plattformen florieren nur dank ihres massiven Datenhungers. Und welche Daten das sind, weiß auch jeder: Ihre Daten, Ihre persönlichen Daten."
2. Wie hat Europa dies geregelt?
In der Europäischen Union gibt es die Allgemeine Datenschutzverordnung (GDPR ) - international bekannt als General Data Protection Regulation (GDPR). Dieses Gesetz ist streng, einheitlich und gilt für alle EU-Mitgliedstaaten. Außerdem hat die AVG extraterritoriale Wirkung: Unternehmen außerhalb der EU müssen sie ebenfalls einhalten, wenn sie Daten von EU-Bürgern verarbeiten.
Außerdem gilt in Europa der Grundsatz der Datenspeicherung: Personenbezogene Daten dürfen nur dann außerhalb der EU gespeichert werden, wenn das betreffende Land ein gleichwertiges Schutzniveau bietet. Die EU prüft dies sorgfältig und hat in der Vergangenheit erklärt, dass die USA in diesem Punkt versagt haben. Zweimal schon hat der Europäische Gerichtshof ein Datenabkommen mit den USA für ungültig erklärt.
Mit dem AVG ist Europa im Grunde eine einzige Gerichtsbarkeit, was bedeutet, dass Daten innerhalb der EU frei bewegt werden können, solange sie ordnungsgemäß gesichert sind. Anders als in den USA kann die Regierung hier nicht einfach Ihre Daten anfordern, ohne dass ein Richter eingreift oder eine Rechtsgrundlage vorliegt.
Gertjan Westerlaken, Datenschutz- und Sicherheitsbeauftragter Johan.nl Das AVG ist eine starke europäische Antwort auf die Notwendigkeit, persönliche Daten zu schützen. Da Johan.nl in der gleichen Zeit gegründet wurde, in der auch das AVG entstand, haben wir die Grundsätze des 'privacy-by-design' von Anfang an in unsere Software, Prozesse und Arbeitsverfahren integriert. Daher ist unsere Plattform von Natur aus sicher und vollständig AVG-konform.
Seit seiner Gründung werden unsere Kundendaten bewusst ausschließlich auf Servern in niederländischen Rechenzentren gespeichert. Gleichzeitig erfordert der Aufbau einer sicheren und skalierbaren Plattform manchmal Entscheidungen, bei denen ausländische Technologie nicht vollständig vermieden werden kann.
So nutzen wir beispielsweise neben unseren niederländischen Servern auch Cloudflare als zusätzliche Sicherheitsebene. Natürlich tun wir dies unter strengen Bedingungen und mit zusätzlichen Maßnahmen, um die maximale Kontrolle über unsere Daten zu behalten. So werden beispielsweise unsere SSL-Zertifikate über Cloudflare ausschließlich auf europäischen Servern verwaltet, so dass sensible Informationen innerhalb der EU bleiben.
Auf diese Weise verbinden wir globale technologische Stärke mit europäischen Werten des Datenschutzes - ein Ansatz, der im heutigen geopolitischen Klima wichtiger denn je ist."
3. Wie hoch ist das Risiko von US-Softwareanbietern für die Forschung?
Für die Durchführung von Umfragen - z. B. zu Gesundheit, Kundenzufriedenheit oder politischen Maßnahmen - verwenden Organisationen häufig US-Tools wie SurveyMonkey, Google Forms, Microsoft Forms, Qualtrics oder QuestionPro. Doch hier gibt es einige Risiken:
- Die mit diesen Tools gesammelten Daten landen regelmäßig (unsichtbar) auf US-Servern.
- Wenn Sie mit sensiblen personenbezogenen Daten arbeiten (z. B. im Gesundheitswesen, in Behörden oder im Bildungswesen), kann dies ernsthafte Risiken für den Datenschutz mit sich bringen - und möglicherweise rechtliche Konsequenzen für Ihr Unternehmen.
Was bedeutet das konkret für Ihre Organisation?
Wenn Sie mit US-Software personenbezogene Daten sammeln oder verarbeiten, gehen Sie ein Risiko ein:
- Verletzung der europäischen Datenschutzbestimmungen.
- Der Zugang zu den eigenen Daten ist gefährdet, zum Beispiel wenn die USA plötzlich bestimmte Zugänge sperren.
- Sie riskieren rechtliche Sanktionen seitens der europäischen Regulierungsbehörden.
- Ihre Daten werden in KI-Trainingsmodellen verwendet, so dass Sie den Datenschutz immer weniger im Griff haben.
Fazit: Europäische Daten gehören nach Europa
Die Botschaft ist klar: Schützen Sie Ihr Unternehmen, Ihre Mitarbeiter und Ihre Kunden, indem Sie sich bewusst für AVG-konforme Software entscheiden, deren Daten in der EU gespeichert und verwaltet werden. Es gibt zahlreiche europäische Alternativen für Forschungs- und Datenverarbeitungstools, die unsere Datenschutzbestimmungen einhalten.
In einer Zeit, in der die Privatsphäre unter Druck steht, ist es von entscheidender Bedeutung, dass man die Kontrolle über seine eigenen Daten nicht verliert.
Gertjan Westerlaken, Datenschutz- und Sicherheitsbeauftragter Johan.nl:"Letztendlich geht es sowohl beim Datenschutz als auch bei der Informationssicherheit um ein einfaches Motto: 'Sage, was du tust; tue, was du sagst, und beweise es'.
Wir konnten die Versprechen und Grundwerte unserer Datenschutzerklärung in unserer Organisation und unserer Software vollständig umsetzen, weil wir uns vom ersten Tag an immer wieder dieselbe Frage stellen: 'Trägt dies zum Datenschutz unserer Kunden bei?' Wenn nein: weg damit. Wenn ja: tun Sie es!Und was die Nachweisbarkeit betrifft: Seit 2018 ist Johan b.v. nach ISO 27001 zertifiziert. Seitdem hat Johan b.v. jedes Jahr nachgewiesen, dass es die strengen Anforderungen in Bezug auf Sicherheit und Datenschutz erfüllt. Darüber hinaus ist Johan b.v. auch nach NEN 7510 zertifiziert - der niederländischen Norm für Informationssicherheit im Gesundheitswesen. Diese Zertifizierung unterstreicht, dass Johan b.v. die höchsten Sicherheitsstandards bei der Verarbeitung von Gesundheitsdaten einhält."
Möchten Sie sicherstellen, dass Ihr Unternehmen wirklich AVG-sicher ist?
Lassen Sie uns gemeinsam einen unverbindlichen Blick darauf werfen. Wir helfen Ihnen gerne, Ihre Softwarenutzung zu verstehen und beraten Sie über sichere, leistungsstarke europäische Alternativen. Nehmen Sie Kontakt auf mit support@johan.nl.