Datenschutz durch Datenhoheit
Dass jegliche Daten und insbesondere Kundendaten vor unbefugtem Zugriff geschützt werden müssen, ist nicht neu. Im klassischen Modell, in dem man eine Anwendung selbst betreibt, hat man das unter eigener Kontrolle: Denn alle Daten bleiben "im eigenen Hause" - was natürlich auch Server in externen Rechenzentren beinhalten kann. Die Struktur passt also - jetzt kommt es auf die Qualifikation und Erfahrung des IT-Teams an, gerade wenn dieses viele verschiedene System zu betreiben hat. Damit einher gehen die Themen Kosteneffizienz und Zeitengpässe.
Deswegen werden Hosting und Betrieb heute oft an Spezialanbieter übertragen. Diese agieren entweder als externe Dienstleister für eigene Systeme oder auf höherer Ebene als Software-as-a-Service (SaaS)-Anbieter. Beides sind legitime und effiziente Modelle, bei denen saubere Technik und ein passendes Schutzniveau erwartet werden darf. In beiden Fällen handelt es sich in aller Regel um eine Auftragsverarbeitung im Sinne der DSGVO. Die oft vorhandene Strategie "wir möchten unsere Kundendaten nicht aus der Hand geben" hat also auch mit Vertrauen zu tun.
Es kommt aber noch der rechtliche Aspekt hinzu: Die Auftragsverarbeitung von Personendaten durch Dritte ist an immer strenger werdende Regeln geknüpft (konkret durch die fortschreitende Rechtsprechung zur DSGVO, Stichwort "Schrems2 - Urteil"). Seine Kundendaten an US-amerikanische SaaS-Dienstleister weiterzugeben ist zwar noch immer Praxis – gerade dort, wo Kostendruck vorherrscht. Aber trotz der Einführung sogenannter Standardvertragsklauseln und manchmal sogar der Verlagerung von Serverstandorten in die EU lautet die Einschätzung häufig: "Rechtlich bestenfalls wacklig."