Wie sieht die Datenschutz-Zukunft der Marketing Tools aus?
Aufstieg und Fall der Cloud
Im 2006en Jahr schuf Amazon die Cloud. Und Amazon sah, dass andere Unternehmen es gut fanden. Und Jahr für Jahr zogen immer mehr Unternehmen mit ihren Daten in die Cloud. Endlose Speicherkapazitäten, skalierbare Rechenleistung, Schutz vor der physischen Zerstörung von Servern, schnellerer Zugriff auf Daten. Es war das Paradies.
Im 2018en Jahr schuf die EU die Datenschutz-Grundverordnung, kurz die DSGVO. Sie musste noch etwas geformt werden, aber den ersten Unternehmen war bereits klar, die schöne Welt der Cloud hat erste Risse in der wunderschönen Fassade. Der kleine Störenfried im Cloud-Paradies war keine Schlange, die einen Apfel anpries. Der Störenfried ist ein ebenfalls im 2018en Jahr entstandener Act. Der sogenannte Cloud Act, lang Clarifying Lawful Overseas Use of Data Act.
Alle ziehen in die US-Cloud, nur die EU macht da nicht mit
Nun schreiben wir das Jahr 2021 und viele nationale und internationale Gerichtsurteile haben dafür gesorgt, dass die zu Beginn noch uneindeutigen Regelungen der DSGVO mittlerweile recht eindeutig geworden sind. Und deshalb ist Ende 2021 eigentlich allen klar, dass nicht nur der direkte Datenaustausch mit Unternehmen in den USA kritisch ist. Auch die Nutzung von Servern us-amerikanischer Unternehmen, die physisch in der EU liegen, ist problematisch. Der Grund dafür ist der Cloud Act. In a nutshell: besteht eine Terror-Gefahr, dürfen us-amerikanische Geheimdienste Daten amerikanischer Unternehmen jederzeit anfordern. Auch auf Daten, die in Europa liegen, können die Unternehmen jederzeit zugreifen.
Cloud-Anbieter wie AWS (Amazon), Azure (Microsoft) oder Google Cloud Platform sind damit eigentlich nicht DSGVO-konform. Natürlich kann man gewisse Schutzmaßnahmen treffen, wie die Verschlüsselung der eigenen Daten, bevor diese in der Cloud abgespeichert werden. Aber es ist keine einhundertprozentige Konformität.
Das DSGVO-Dilemma für Marketing- und Sales-Teams
Wo liegt nun das große Problem? Unternehmen können ihre Daten doch einfach bei einem europäischen Anbieter ablegen oder die Daten in der Cloud extra verschlüsseln. Das stimmt. Aber es gibt noch eine weitere Herausforderung: die Zusammenarbeit mit Unternehmen für Marketingzwecke:
- Facebook & Instagram
- TikTok (China)
- Taboola
- Salesforce
- Adobe
- Amazon
- DocuSign
- PayPal
Dies sind nur einige Big Player, mit denen man fast zwangsmäßig zusammenarbeiten muss, wenn man mediale Sichtbarkeit erreichen oder Sales-Prozesse optimieren möchte. Eine Zusammenarbeit mit all diesen großen Tech-Playern ist eigentlich nicht möglich, wenn man die DSGVO strenger auslegt, die diversen Pixel auf seiner Website einbaut oder Kundendaten direkt in der Datenbank abspeichert.
Auch europäische Dienstleister setzen auf AWS, Azure & Co.
Doch nicht nur amerikanische Unternehmen sind problematisch für den Datenschutz. Egal mit welchem Dienstleister man zusammenarbeiten möchte, fast jeder Dienstleister speichert die Daten der Kunden in AWS oder Azure. Nur in ganz seltenen Ausnahmen erlebe ich, dass Dienstleister Cloud Anbieter aus der EU nutzen. Besonders spannend finde ich den Umgang mit der Rechtslage. Wir beschweren uns oft über die Behäbigkeit von Staat und Gerichten. Doch bei der DSGVO befinden sich viele Unternehmen noch im Tiefschlaf, in der Hoffnung, dass all die Probleme an einem vorbeiziehen werden, wenn man sich ja nicht bewegt.
- Es ist für mich unverständlich, dass Unternehmen wie Salesforce in Europa immer weiter wachsen, obwohl viele personenbezogene Daten in den USA landen.
- Es ist für mich unverständlich, dass europäische Unternehmen nicht auf europäische Cloud-Lösungen setzen (oder die Daten wenigstens verschlüsseln), sondern ihre potentiellen Kunden in eine rechtliche Bredouille zu bringen.
- Es ist für mich unverständlich, dass Dienstleister bis heute keine AVV oder Standardvertragsklauseln unterzeichnen, sich aber selbst als DSGVO-konform deklarieren.
- Es ist für mich unverständlich, dass Anbieter wie Facebook, Amazon, Microsoft und Google lieber Strafen der EU in Milliardenhöhe akzeptieren, anstatt Lösungen zu suchen oder einfach die Datensammelwut zu reduzieren.
- Es ist für mich unverständlich, dass viele Unternehmen immer noch nicht verstanden haben, dass bereits die IP-Adresse eine personenbezogene Information ist und diese beim Austausch von zwei Servern immer mitgegeben wird und somit bereits die DSGVO in Kraft tritt..
Ein erster Schritt, der es vielen Datenschützer:innen in Unternehmen sicherlich leichter machen würde, wäre die Abkehr europäischer Anbieter von AWS, Azure und Co. Zumindest eine vernünftige AVV oder Standardvertragsklauseln und wirkliche Schutzmaßnahmen (z.b. die Verschlüsselung der Daten, bevor diese in die US-Cloud gehen), wären schon ein erster Schritt.
Back to t̷h̷e̷ ̷F̷u̷t̷u̷r̷e̷ On Premise Hosting
Doch kommen wir zur Überschrift und dem bösen Wort der 2020er Jahre: ON PREMISE. Damals, als ich noch zur Schule ging, da kaufte man eine CD-ROM und installierte das Programm einfach auf seinem Computer. Zum Beispiel Adobe Photoshop. Adobe hatte wenig bis keine Informationen darüber, was ich mit dem Programm auf meinem Computer anstelle. Heute gibt es die Adobe Creative Cloud. Diese bietet viele Vorteile für die Nutzer:innen. Sie fördert aber auch die Datensammelwut der Unternehmen und macht eigentlich schon die Nutzung von Tools wie Adobe Photoshop oder Microsoft Word in Unternehmen strafbar.
Eine Welt zwischen On Premise und SaaS (Software as a Service) ist das On Premise Hosting. Der Dienstleister stellt die Software zur Verfügung und die Kunden installieren diese auf ihren eigenen (Cloud) Servern. Als Beispiel würde ich hier Matomo nennen. In der Nutzung zwischen Google Analytics und Matomo gibt es prinzipiell keine Unterschiede. Allerdings gehen die Daten bei Google Analytics direkt an Google. Bei Matomo gehen die Daten auf den eigenen Server. Matomo hat keinen Zugriff auf die Daten, die mein Server verarbeitet (oder zumindest deutlich weniger Zugriff).
Sind On Premise Lösungen von US-Unternehmen ein Lösungsansatz?
Solange amerikanische Tech-Unternehmen eine Vormachtstellung besitzen und solange die USA ein nicht sicheres Drittland für den Datenschutz darstellt, braucht es Lösungen. Auf alle US-Unternehmen zu verzichten stellt sicherlich keine praktikable Lösung dar. Oder sollen wir jetzt alle mit Open Office arbeiten? Wieso stellen Unternehmen, die dazu in der Lage sind, nicht On Premise Hosting Lösungen bereit? Klar kann das nicht jeder Anbieter, aber wie schaut es aus mit:
- Salesforce
- DocuSign
- Adobe Analytics
- Adobe Creative
- Google Analytics
Wenn sie wollten, wäre sowas sicherlich möglich. Natürlich müsste man dann auf Daten verzichten. Aber immer noch besser, als in Zukunft den gesamten europäischen Markt zu verlieren? Einfach kaufen, installieren und fertig. Updates werden z.B. als Download zur Verfügung gestellt und können von Unternehmen manuell eingespielt werden.
Google geht mit GA4 und dem Server Side Tagging schon einen ersten Schritt in die richtige Richtung. Die gesammelten Daten können zunächst auf einem eigenen Server gespeichert werden. Dort entscheidet das Unternehmen, welche Daten an Google Analytics gehen. So könnte man z.B. die IP-Adresse filtern und komplett anonymisierte Daten an Google senden.
Wie ist deine Meinung dazu? Sind On Premise Hosting Lösungen ein Lösungsansatz, um Datenschutzprobleme zu beseitigen? Oder gibt es andere und bessere Lösungen?