Das Problem, von dem du nicht wusstest, dass du es hast
Wenn dein Unternehmen Rechnungen, Bestellungen, Lieferscheine oder irgendein Dokument mit Kundendaten über eine herkömmliche Messaging-App versendet, passieren diese Daten Server, die wahrscheinlich nicht in Europa stehen. Oder wenn doch, gehören sie einem Unternehmen, das ausländischer Gesetzgebung unterliegt. Die DSGVO hat dazu etwas zu sagen.
Europäische Datenschutzvorschriften verlangen zu wissen, wo deine Daten sind, wer Zugang hat und unter welcher Gerichtsbarkeit. Wenn du eine Messaging-App mit einem zentralen Server nutzt, passieren deine Dokumente eine Infrastruktur, die du nicht kontrollierst. Die Daten deiner Kunden werden gespeichert — selbst wenn nur vorübergehend — auf Maschinen eines anderen Unternehmens, in einem anderen Land, unter anderen Gesetzen.
Was sich ändert, wenn es keinen Server gibt
Bei einer Peer-to-Peer-Kommunikation gehen die Daten direkt vom Gerät des Absenders zum Gerät des Empfängers. Sie passieren keinen zwischengeschalteten Server. Sie werden auf keiner Drittanbieter-Infrastruktur gespeichert. Das Dokument verlässt deinen Computer in Lugo und kommt auf dem Computer deines Kunden in Barcelona an. Oder Berlin. Oder Lissabon. Aber es passiert niemals Silicon Valley.
Das ist kein unbedeutendes technisches Detail. Hier geschieht DSGVO-Konformität nicht durch Aufwand und guten Willen. Sie geschieht, weil die Architektur einen Verstoß unmöglich macht. Es gibt keinen internationalen Datentransfer, weil es keinen Transfer an Dritte gibt. Die Daten sind auf deinem Gerät und dem deines Gegenübers. Nirgendwo sonst.
Wen das betrifft
Wenn du als Anwalt einen Vertrag per Messaging an einen Mandanten schickst, passieren die Vertragsdaten einen Server. Wenn du als Steuerberater eine Steuererklärung teilst, passieren diese Daten einen Server. Wenn du als Arzt einen Befund an einen Patienten schickst, passieren die Gesundheitsdaten einen Server. In all diesen Fällen delegierst du die Verwahrung vertraulicher Informationen an ein Unternehmen, das du nicht gewählt hast und nicht kontrollierst.
Es ist nicht so, dass du absichtlich etwas falsch machst. Es ist so, dass das Werkzeug, das du nutzt, dir keine andere Wahl lässt. Der einzige Weg, damit deine beruflichen Daten nicht über Server Dritter laufen, ist eine direkte Kommunikation. Ohne Vermittler. Von deinem Bildschirm zu ihrem.
Automatische Konformität
Mit P2P-Kommunikation musst du nicht prüfen, wo die Server deines Messaging-Anbieters stehen. Du musst die Einhaltung des Privacy Shield oder der EU-Standardvertragsklauseln nicht verifizieren. Du musst keine Klausel in deine Datenschutzerklärung aufnehmen, die erklärt, dass deine Daten 'außerhalb des Europäischen Wirtschaftsraums verarbeitet werden können'. Nichts davon trifft zu, weil kein Dritter deine Daten verarbeitet.
Konformität hängt nicht vom guten Willen irgendjemandes ab. Sie hängt nicht von einem Auftragsverarbeitungsvertrag mit einem Anbieter ab. Sie hängt nicht davon ab, dass ein amerikanisches Unternehmen seine Verpflichtung gegenüber europäischer Gesetzgebung einhält. Sie hängt von der Architektur ab. Und Architektur ist überprüfbar, unveränderlich und ändert nicht ihre Meinung.
Die Frage für dein nächstes Audit
Wenn dich das nächste Mal jemand fragt, wo die Daten deiner Kunden sind, ist die bestmögliche Antwort: 'Auf meinem Gerät und auf ihrem. Nirgendwo sonst.' Kein hundertseitiger Bericht nötig. Kein DPO, der Anbieterverträge prüft. Der Datenschutz deiner Kunden ist durch Design garantiert, nicht durch Versprechen.