Interview: Digitale Souveränität juristisch betrachtet mit Anwalt Brian Scheuch
Um genau darüber zu sprechen, habe ich mir juristische Unterstützung geholt. Brian Scheuch ist Rechtsanwalt mit Schwerpunkt IT-Recht und Datenschutz, unterstützt mittwald seit Jahren in allen datenschutzrechtlichen Fragen und schreibt u. a. für den IT-Rechtsberater. Im Interview ordnet er ein, wo digitale Souveränität aus juristischer Sicht beginnt, wo typische Fallstricke lauern und warum gerade Agenturen gut beraten sind, ihre Tool- und Hosting-Landschaft kritisch zu prüfen.
Hallo Brian, aus deiner Sicht als erfahrener Jurist: Welche Rolle spielt „Digitale Souveränität“ für dich? Ist es grundsätzlich ratsam, sich als Unternehmen souverän aufzustellen? Gibt es Fallstricke?
Juristisch bedeutsam ist die Frage, ob ich meine Dienste und Infrastrukturen selbst oder durch Dritte betreibe. Ist das der Fall, gibt man natürlich viel Verantwortung ab. Gerade Agenturen nutzen eine ganze Tool- und Dienstelandschaft, bei der digitale Souveränität relevant ist: etwa Projektmanagement-Tools, CRM-Systeme, E-Mail- und Kollaborationslösungen, Analyse- und Tracking-Tools, Newsletter-Software, Design- und Prototyping-Tools oder KI-Dienste. Das können z. B. Tools wie Microsoft Office 365, Figma oder GitHub sein. Auch das komplette Outsourcing der IT mit Remote Support, also klassische IT-Dienstleister-Tätigkeiten fallen hier rein. Juristisch kniffelig ist es immer, wenn Dienstleister in Drittstaaten außerhalb der EU beauftragt werden. Hier kommen dann noch politische Sondersituationen hinzu, denkt man z. B. an etwaige Embargos oder Strafzölle. Am Ende des Tages ist es eine Kosten-/Nutzen-/Risikoabwägung.
Gerade Agenturen nutzen eine ganze Tool- und Dienstelandschaft, bei der digitale Souveränität relevant ist: etwa Projektmanagement-Tools, CRM-Systeme, E-Mail- und Kollaborationslösungen, Analyse- und Tracking-Tools, Newsletter-Software, Design- und Prototyping-Tools oder KI-Dienste.
Da gibt es einiges zu beachten. Welche Rolle spielt deiner Meinung die DSGVO, wenn Unternehmen souverän bleiben wollen? Ist sie eher hilfreich oder kann sie auch ausbremsen?
Grundsätzlich ist die eigene Datensouveränität erst mal hilfreich, da ich für Daten, die ich selbst verwalte z. B. keine separate Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) benötige. Da dann auch ein Drittstaatentransfer wegfällt, müsste ich auch kein Data Transfer Impact Assessment durchführen. Aber selbst, wenn ich mich dazu entscheide „unsouverän“ zu bleiben, hilft mir die DSGVO zumindest für den europäischen Datentransfer, da hier ein einheitlicher Rechtsrahmen gilt.
Das klingt logisch. Wo siehst du aktuell die größten Hürden rund um Datenschutz und Hosting für Unternehmen?
Einerseits haben wir beim Speicherort (z. B. USA) immer ein Risiko, dass eine neue Schrems-Entscheidung herbeigeführt wird und man sich dann sehr schnell rechtlich neu aufstellen muss. 2020 wurde durch ein Urteil des Europäischen Gerichtshofs (EuGH) das EU-US Privacy Shield für ungültig erklärt. Man stellte fest, dass Datentransfers in die USA nicht das notwendige EU-Schutzniveau bieten. Ein Webhoster mit Standort in Deutschland ist da von Vorteil.
Bleiben wir also in der EU. Welche Fragen sollten Unternehmen unbedingt stellen, bevor sie Dienste oder Tools in der EU nutzen?
Es sollte geklärt werden: Ist ein AV-Vertrag vorhanden, welche Subdienstleister sind involviert, insbesondere außerhalb der EU und gibt es eine Haftungsbeschränkung und ist diese ausreichend, um das Risiko ausreichend abzudecken?
Für Agenturen ist das besonders relevant, da sie häufig mit vielen Tools, Kundensystemen und externen Dienstleistern arbeiten. Ohne saubere Dokumentation wird eine Auskunftsanfrage schnell zu einem organisatorischen Problem.
Jetzt aber mal reinfolgen!
Abonniere Tipps für CMS und Dev-Tools, Hosting Hacks und den ein oder anderen Gag. Unsere schnellen Takes für dich per E-Mail.
Welche Rolle spielen AV-Verträge und das Verarbeitungsverzeichnis für die digitale Souveränität von Agenturen und Unternehmen?
AV-Verträge sind dann verpflichtend, wenn ein Dritter personenbezogene Daten in meinem Auftrag verarbeitet. Dass ist z. B. dann der Fall, wenn ich statt On-Premise-Hosting auf Cloud-Hosting setze. Das Verarbeitungsverzeichnis dokumentiert eben diese Verarbeitungstätigkeit. Einfach zu pflegen ist das zum Beispiel mit dem AV-Manager von mittwald. Mit ihm lassen sich sowohl AV-Verträge als auch das Verarbeitungsverzeichnis anlegen, alles komplett in Deutschland gehostet. Für Agenturen ist das Verarbeitungsverzeichnis kein reines „Pflichtdokument“, sondern eine zentrale Übersicht: Wer verarbeitet welche Daten, wo liegen sie und wer ist verantwortlich? Das schafft Handlungssicherheit im Alltag. Der AV-Manager erstellt für dich ein solches Verarbeitungsverzeichnis.
Dokumentation bzw. Archivierung ist ja auch so ein Knackpunkt: Wie trägt eine revisionssichere und datenschutzkonforme E-Mail-Archivierung aus deiner Sicht dazu bei, die digitale Souveränität von Unternehmen zu stärken?
Was viele nicht wissen: E-Mails können Handelsbriefe im Sinne des HGB darstellen und speziellen Aufbewahrungspflichten unterliegen. Um dieser Verpflichtung nachzukommen, ist es natürlich wichtig, selbst die Kontrolle über die zu archivierenden E-Mails zu haben. Ein Dienstleister, der sich um die GoBD-konforme E-Mail-Archivierung kümmert, nimmt da sehr viel Arbeit ab. Das gilt natürlich nicht nur für Agenturen, sondern auch deren Kunden.
Welche Themen kommen denn beim Datenschutz in den nächsten zwei Jahren auf Agenturen zu? Worauf sollte man sich einstellen?
Der Datenschutz unterliegt einem stetigen Wandel. Der Fokus dürfte nunmehr auf dem „Digitalen Omnibus“ der EU liegen, wo auch einige datenschutzrechtliche Pflichten erleichtert werden. Dazu verfasse ich zurzeit noch einen eigenen Artikel. Noch interessanter dürften die datenschutzrechtlichen Implikationen beim Einsatz von KI sein. Man muss genau abwägen, welche KI man nutzt und ob man eventuell auf eigene LLM zugreifen möchte, wenn man die „Datenhoheit“ behalten möchte.
Was ist dein wichtigster Rat für Teams, die 2026 souveräne digitale Prozesse aufbauen wollen?
Das alte Sprichwort „Drum prüfe wer, sich ewig bindet ...“ kommt mir in den Sinn. Hat man einmal die Souveränität ausgelagert, sind Wechsel der Auftragnehmer oder gar eine Rückkehr zu einer komplett eigenen Infrastruktur, mit hohen Kosten verbunden.
Danke für deine Einschätzungen, Brian!
