Zurück zum Blog

Kann man ein Online-Geschäft ohne US-Cloud betreiben?

Published on: 2022-8-24 Kann man ein Online-Geschäft ohne US-Cloud betreiben?

Die Abkehr von US-basierten Cloud-Diensten ist eine Herausforderung. Kann man es schaffen?

Ja! Aber es wird Sie ein wenig Zeit und Forschung kosten.

Es besteht eine Kluft zwischen Dienstleistern und Kunden. Die Suche nach einem geeigneten Anbieter ist aus mehreren Gründen schwierig, die ich in den einzelnen Abschnitten beschreiben werde.

Motivation

Warum sollten Sie sich dafür interessieren, Ihr Unternehmen ohne Datentransfer in die USA zu betreiben?

Die USA sind, wie China, Russland und viele andere Länder, kein [DSGVO-gerechtes Land] (https://adequate.country/). Daher müssen Sie zusätzliche Sicherheitsmaßnahmen ergreifen, wenn Sie personenbezogene Daten in diese Länder übermitteln.

Als es noch den Privacy Shield gab, konnte die Übermittlung in die USA mit SCC, den Standardvertragsklauseln, abgesichert werden. Aufgrund der Überwachungsgesetze in einigen Ländern - auch in den USA - bieten SCCs jedoch keinen ausreichenden Schutz. Infolgedessen gibt es keine legale Möglichkeit, personenbezogene Daten in die USA, nach China oder Russland zu übermitteln, es sei denn, sie werden Ende-zu-Ende verschlüsselt.

Plötzlich spielt es eine Rolle, wer Ihr E-Mail-Anbieter ist, wer Ihre Support-Plattform betreibt und wo Sie Ihre Betriebsdaten und Gelegenheitsdateien speichern.

In diesem Artikel behandeln wir die folgenden Datenverarbeitungsplattformen

  1. Wide Angle Analytics - wie und wo hosten wir unser eigenes Produkt
  2. Live-Chat
  3. Kundenkommunikation
  4. Zusätzliche Dienstleistungen

Der Kern - Wide Angle Analytics

[Wide Angle Analytics (https://wideangle.co) ist eine SaaS-Plattform für die Webanalyse. Egal, ob Sie Cookies verwenden möchten oder nicht, wir haben alles für Sie. Im Gegensatz zu anderen Lösungen in diesem Bereich bieten wir die Möglichkeit, personenbezogene Daten zu verarbeiten. Wir nutzen diese Möglichkeit, indem wir:

  • niemals Endnutzerdaten außerhalb der EU/EWR übertragen,
  • niemals Daten, die wir in Ihrem Namen sammeln, verkaufen oder weitergeben, und
  • Wir sind in einem Land ansässig, das direkt der DSGVO unterliegt, nämlich Deutschland.

Das Unternehmen

Das Unternehmen, das Wide Angle Analytics betreibt, ist Input Objects GmbH, ein in Berlin ansässiges Unternehmen aus Deutschland. Keine undurchsichtige Struktur. Keine nominierten Geschäftsführer. Wir sind echte Menschen. Wir leben hier, und wir sind für unsere Handlungen verantwortlich.

Die Server

Unsere Lösung wird zu 100% von dem paneuropäischen Cloud-Anbieter [OVHcloud] (https://ovh.com/) gehostet. OVH hat seinen Hauptsitz in Frankreich, ist einer der größten in Europa und untersteht direkt der CNIL. Während OVH weltweit Server zur Verfügung stellt, beschränken wir unsere Bereitstellung auf Frankreich und Deutschland.

Unsere Anwendung ist schnell und für minimale Verarbeitungszeiten optimiert. Unsere Ereignisverarbeitungs-API ist schnell und wird mit einem leistungsstarken Netzwerk von OVH kombiniert. Die Auswirkungen auf die Kunden-Website sind daher vernachlässigbar.

Okay, lassen Sie uns zu den interessanteren Teilen springen.

Live-Chat

Wir haben mehrere Lösungen geprüft.

Zunächst haben wir uns den gehosteten und den selbst gehosteten Rocket.Chat mit Omnichannel-Erweiterungen angesehen.

Gehosteter Rocket.Chat

Der gehostete Rocket.Chat für Omnichannel verschlüsselt die Kommunikation nicht und wird auf AWS gehostet. Schade. Gerade zu sein bin.

Selbst gehosteter Rocket.Chat

Es war verlockend, aber einen Chat-Dienst selbst zu hosten, erschien uns als unnötige Belastung. Genauso wie wir davon abraten, Webanalysen selbst zu hosten, würden wir die Chat-Plattform gerne an einen vertrauenswürdigen und konformen Anbieter delegieren.

Live-Chat ist nicht unser zentrales Wertversprechen, also wollen wir uns nicht ablenken lassen.

Userlike

Wir haben uns Userlike angeschaut. Es wird von einem deutschen Unternehmen angeboten, daher waren wir zuversichtlich. Außerdem wird ihre Hauptkommunikationsplattform auf europäischen Servern gehostet, so dass sie alle Kriterien zu erfüllen schien.

Leider wird das Chatskript selbst über AWS bereitgestellt. Während der Kommunikation mit dem Support wurde deutlich, dass das Team unsere Datenschutzstandards nicht einhält.

Sendinblue

Schließlich haben wir unseren Partner gefunden. [Sendinblue] (https://www.sendinblue.com/), ein französisches Unternehmen, nutzt ein französisches Rechenzentrum, um seine Server zu hosten. Sie nutzen GCP und AWS für die Datenwiederherstellung und -sicherung, aber nur verschlüsselte Nutzdaten werden dorthin übertragen.

Die Verwendung von AWS oder GCP als stummer Speicher ist ein akzeptabler Kompromiss.

Erfolgreich! Wir haben Live-Chat.

Bonusrunde: Während wir Sendinblue untersuchten, konsolidierten wir unsere Marketing- und Transaktionslösungen für den E-Mail-Versand. Für den Preis von einer Lösung konnten wir Userlike und Mailjet ersetzen.

Der Support ist sehr entgegenkommend und hilfreich. Wir könnten nicht zufriedener mit unserer Wahl sein.

E-Mail-Kommunikation

Dies war der komplizierteste Teil der gesamten Umstellung. Leider ist es unnötig kompliziert, eine gute E-Mail-Plattform für ein Unternehmen zu finden.

Als Privatperson haben Sie die Qual der Wahl:

  • ProtonMail
  • Tutanota
  • Mailfence
  • Runbox
  • Mailbox.org

Dies sind alles großartige und sichere E-Mail-Anbieter.

Aber wenn Sie versuchen, ein Unternehmen mit diesen Anbietern zu betreiben, werden Sie schnell vor Herausforderungen stehen.

Schauen wir uns die Anforderungen für geschäftliche E-Mails an, einschließlich zusätzlicher deutscher Anforderungen.

Sicherheit

Sie müssen die Sicherheit der Kommunikation gewährleisten. Auch wenn die DSGVO keine 2FA vorschreibt, zwingt sie Unternehmen dazu, ausreichende Sicherheitsmaßnahmen zu ergreifen. Seien wir also ehrlich: E-Mail ohne 2FA sollte im Jahr 2022 sofort als Option verworfen werden.

Viele Business-Mail-Lösungen von Mailbox.org, IONOS oder OVH bieten keine 2FA. Das ist, offen gesagt, verwirrend.

E-Mail-Archivierung

Das deutsche Gesetz [verpflichtet deutsche Unternehmen zu einem manipulationssicheren E-Mail-Archiv] (https://de.wikipedia.org/wiki/GoBD). Optionen und Anbieter eines solchen Dienstes gibt es in Hülle und Fülle. Dennoch ist die Integration mit einigen der sicheren E-Mail-Anbieter schwierig oder unmöglich.

ProtonMail kann nicht an eine E-Mail-Archivierungsinfrastruktur angeschlossen werden, und die Weiterleitung an ein Nicht-Proton-Postfach wird nicht unterstützt.

Tutanota unterstützt keinen E-Mail-Export und kann daher nicht einmal als Business-Lösung eingestuft werden.

Zugriffskontrolle und Verwaltbarkeit

Wir hatten ein Auge auf Mailfence und Runbox geworfen. Beide Plattformen sind hervorragend, und einige von uns nutzen sie gerne für private Anwendungen. Aber leider ist der Einsatz im Unternehmen nicht ganz einfach.

Die Verwaltung von Aliasen, die Kontrolle darüber, welche Domänen von welchem Konto verwendet werden können, oder sogar die Durchsetzung von 2FA ist etwas, das diese Plattformen nicht zufriedenstellend unterstützen.

Okay, welcher Anbieter unterstützt eine gute Kontoverwaltung und Sicherheit und ist nicht Google oder Microsoft? Fastmail!

Fastmail ist unglaublich und jeden Penny wert. Offene Standards, gute Sicherheit und eine ordentliche Menge an Verwaltungsmöglichkeiten. Das Problem? Es ist ein australisches Unternehmen mit Servern in den USA.

Na dann, auf Wiedersehen, Fastmail. Leider können wir Fastmail nicht verwenden, um eine angemessene Kontrolle und Einhaltung der Vorschriften für die Kundenkommunikation zu gewährleisten.

Kundenkommunikation und Compliance

Unsere E-Mail-Kommunikationslösung ist für die Kommunikation mit Kunden gedacht. Wir sprechen hier nicht über diejenigen, die die Websites unserer Kunden besuchen. Also sollte alles in Ordnung sein, oder?

Nicht so schnell. Unsere Kunden brauchen die Gewissheit, dass sie mit uns über ihre Fragen und Probleme kommunizieren können. Wenn wir also jemals personenbezogene Daten oder irgendetwas Identifizierbares über den Endnutzer austauschen, haben wir eine Übermittlung personenbezogener Daten geschaffen.

Wir benötigen eine zuverlässige Lösung des Anbieters und ein Hosting in einem geeigneten Land. Wenn Sie mit unserem Support interagieren und eine IP oder E-Mail Ihres Kunden weitergeben, brauchen Sie keine Angst zu haben. Alles bleibt gesetzeskonform.

Lösung!

Wir haben sie gefunden! Die HKN bietet eine in Deutschland gehostete Zimbra-Implementierung mit erweiterten Sicherheits-, Compliance- und E-Mail-Archivierungsdiensten.

Es erfüllt alle Anforderungen und ist, einmal konfiguriert, sehr komfortabel. Es lässt sich sogar gut mit Nextcloud integrieren.

Der Nachteil? Kein Self-Service während des Kaufs. Wir haben festgestellt, dass dies ein häufiges Thema bei europäischen Unternehmensdienstleistern ist. Warum erwarten diese Unternehmen, dass wir über einen Verkäufer gehen, wenn ein Formular mit Kreditkarteneingabe ausreichen würde?

Zusatzdienste

Wie jedes andere SaaS-Unternehmen haben auch wir zahlreiche Zusatzdienste in Anspruch genommen. Workstation-Backup, In-App-Profile über Gravatar, Anwendungen zur Erstellung von Notizen usw.

Diese ließen sich viel leichter durch einen konformen Anbieter oder interne Lösungen ersetzen.

Der kritische Punkt ist, dass es viele Stellen gibt, an denen Informationen nach außen dringen können. Etwas so Naives wie die Behebung von Kundenproblemen durch den Export von Daten in eine CSV-Datei auf einem lokalen Laufwerk kann sich zu einem Compliance-Albtraum entwickeln.

Schlussfolgerung

Wir haben fast drei Monate für Recherche, Planung und Tests gebraucht. Letztendlich haben wir jedoch erreicht, dass unsere Organisationsstruktur sicherstellt, dass keine Kundendaten außerhalb des entsprechenden Landes verloren gehen.

Etwas, das nur sehr wenige, wenn überhaupt, unserer Konkurrenten von sich behaupten können.

Unsere Erkenntnisse

  • Nur wenige der "Top XXX"-Listen sind in diesem Prozess hilfreich, da sich die Autoren selten auf geschäftskritische Merkmale konzentrieren.
  • Europäische Unternehmen, selbst solche, die einen guten Service bieten, leiden darunter, dass sie von ihren amerikanischen Konkurrenten an Marketinggeldern überflügelt werden.
  • Einige europäische Unternehmen machen es unnötig schwer, ihre Dienstleistungen zu erwerben. Ein Selbstbedienungs-Kaufprozess ist ein Muss.
  • Der Kundensupport ist ein Bereich, in dem europäische Unternehmen eklatante Lücken aufweisen. Das betrifft die Erreichbarkeit, die Verfügbarkeit und die Verkaufsanstrengungen der Kundenbetreuer.

Und schließlich

Trotz aller Probleme, strenger Compliance und rechtlicher Anforderungen ist es möglich, Dienstleistungen aus geeigneten Rechtsordnungen zu nutzen. Daher sind wir der festen Überzeugung, dass sich die Mühe lohnt. Nein, betrachten Sie dies als eine Investition, die letztendlich die Wettbewerbsfähigkeit dieser Dienste erhöhen und den etablierten Anbietern Konkurrenz machen wird.

Start Analyzing Traffic Today!
Get privacy-friendly and GDPR-compliant web analytics today. Start gathering valuable insight from day one. Widen you view, widen your lead. FREE Trial!
Dies ist eine maschinelle Übersetzung des englischen Originalbeitrags.

© 2024 Input Objects GmbH. All Rights Reserved.

No AI Training allowed. No republishing without prior permission. Expand for the full text.

The content, including but not limited to text, images, graphics, and other material on this website ("Content"), is protected by copyright laws. Unauthorized use, including scraping, republishing, or use for training artificial intelligence models, is strictly prohibited without explicit written permission from Input Objects GmbH ("Company").

Notwithstanding the above, indexing of the Content by search engines for the purpose of listing in search results is permitted, provided that any displayed snippets of the Content are linked directly to the relevant page on this website and are accompanied by clear attribution to the source.

No part of the Content may be republished, distributed, or transmitted in any form or by any means, including photocopying, recording, or other electronic or mechanical methods, without the prior written permission of the Company, except in the case of brief quotations embodied in critical reviews and certain other noncommercial uses permitted by copyright law.