Der Cloud-Act regelt den Zugriff von US-Behörden auf Unternehmensdaten, sofern der Anbieter dem US-Recht unterliegt. Warum das so ist und was dahinter steckt, verraten wir jetzt:
Worauf sollten Unternehmen unbedingt achten, wenn sie sich für einen Cloud-Anbieter entscheiden?
Unternehmen, die auf Cloud-Dienste von US-Anbietern setzen, sollten gewarnt sein
Grundlage zum Cloud-Act
Der Cloud-Act (Clarifying Lawful Overseas Use of Data Act) regelt per Gesetz, dass Anbieter für Kommunikations- oder Cloud-Lösungen, die dem US-Recht unterliegen, die Daten ihrer Kunden auf Anforderung amerikanischer Behörden offenlegen müssen. Faktoren wie der Speicherort selbst sind dagegen irrelevant. Die Kundendaten – wem sie auch gehören und woher sie auch stammen – werden so behandelt, als befände man sich auf amerikanischem Boden.
Der Cloud-Act und die DSGVO
Die DSGVO steht im krassen Gegensatz zum US-Cloud-Act und fordert den kompromisslosen Schutz personenbezogener Daten. Und das gilt nicht nur für alle, die ihren Sitz innerhalb der EU haben, sondern auch für die, die im europäischen Wirtschaftsraum tätig sind. Bietet also ein Cloud-Anbieter aus den USA seinen Service in der EU an, unterliegt auch er den strengen Richtlinien der Datenschutzgrundverordnung. Soweit die Ausgangslage. Aber auch die DSGVO macht Ausnahmen von der Regel. So sieht Artikel 48 vor, dass bestimmte Entscheidungen aus Nicht-EU-Staaten unter bestimmten Umständen anerkannt werden können. Und das betrifft auch die Übermittlung von Daten.
- Die Person oder das Unternehmen willigt in die Offenlegung und Übermittlung der Daten ein. Und zwar komplett freiwillig. Das kann aber dafür mit der Forderung der Geheimhaltung verbunden sein.
- Der Selbstzertifizierungsmechanismus Privacy-Shield oder die Standardvertragsklausel Model-Clauses rechtfertigen die Herausgabe der Daten an die amerikanischen Behörden.
- Ein völkerechtliches Abkommen rechtfertigt die Herausgabe der Daten. Ein derartiges Abkommen gibt es bis dahin allerdings nicht.
Es ist übrigens stark umstritten, ob der Artikel 48 der DSGVO dem Durchführungsabkommen gemäß Cloud-Act überhaupt genügt. So oder müssten die Behörden alle entsprechenden Daten nach Abschluss der Überprüfung auch wieder löschen. Es gibt noch keine gültige Regelung für die transparente Gewährleistung.
US-Anbieter machen sich für den Datenschutz stark
Hersteller wie Microsoft werden mittlerweile selbst aktiv. So hat der Weltmarktführer sechs Prinzipien veröffentlicht, an denen sich internationale Abkommen orientieren sollten. Darin zum Beispiel enthalten: keine Herausgabe von Daten ohne richterliche Anordnung. Und die Forderung: „Abgesehen von engen Umständen haben Nutzer ein Recht zu erfahren, wenn Regierungen sich Zugang zu ihren Daten verschaffen.“ Mit der E-Evidence-Verordnung sollen diese Vorschläge entsprechend berücksichtigt werden. Die Krux aber bleibt: das Cloud-Act der USA und die DSGVO der EU sind zwei höchst ungleiche Puzzleteile, die einfach nicht zusammenpassen wollen. Andere Länder gehen die Problematik daher proaktiv an. Beispiel: Österreich. Hier soll noch in diesem Jahr ein separates Abkommen mit den USA abgeschlossen werden. Der Dritte im Bunde sind die Bürgerrechtsorganisationen wie beispielsweise die Electronic Frontier Foundation. Sie warnen davor, das FBI, CIA und NSA durch Cloud-Act praktisch jeden überwachen können.
Was bedeutet Cloud-Act für deutsche Unternehmen?
Kurz gesagt: eine unschöne Zwickmühle. Der US-Anbieter wäre zur Herausgabe der Daten gezwungen, aber gleichzeitig durch das fehlende Durchführungsabkommen daran gehindert. Der erste Schritt wäre also eine Prüfung der Rechtfertigung nach Kapitel 5 der DSGVO. Reicht das nicht aus, um eine Offenlegung zu rechtfertigen, sollten erst einmal die Füße still gehalten werden. Zumindest solange, bis Rechtssicherheit herrscht.
Anbieter wie Microsoft haben schon versucht, die Problematik durch Treuhand-Modelle zu umgehen. Sprich: ein anderes Unternehmen mit Sitz innerhalb der EU hatte die Daten verarbeitet. Tatsächlich war die Nachfrage nach diesem Modell aber so gering, dass es mittlerweile eingestellt wurde. So oder so müsste aber im Falle eines Falles ein US-Gericht davon überzeugt werden, dass sich die Daten weder in Besitz, noch unter Kontrolle des amerikanischen Anbieters befinden. Selbst die Verwaltung von Daten durch europäische Tochtergesellschaften gewährleistet das nicht zwingend.
Fazit: es wird wohl noch etwas dauern, bis die Rechtslage eindeutig geklärt ist. Wie groß dann noch die Macht von Cloud-Act ist, bleibt abzuwarten. Unternehmen, die jetzt den Einstieg in die Cloud wagen und gleichzeitig die volle Kontrolle über ihre Daten haben wollen, sollten daher auf europäische Anbieter setzen.
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung