Cloud-Act vs. DSGVO

Datenzugriff durch US-Behörden


21. November 2018, von in Cloud-Lösungen

Der Cloud-Act regelt den Zugriff von US-Behörden auf Unternehmensdaten, sofern der Anbieter dem US-Recht unterliegt. Warum das so ist, was dahinter steckt und worauf Unternehmen unbedingt achten sollten, wenn sie sich für einen Cloud-Anbieter entscheiden, verraten wir jetzt.

Der Cloud-Act (Clarifying Lawful Overseas Use of Data Act) regelt per Gesetz, dass Anbieter für Kommunikations- oder Cloud-Lösungen, die dem US-Recht unterliegen, die Daten ihrer Kunden auf Anforderung amerikanischer Behörden offen legen müssen. Faktoren wie der Speicherort selbst sind dagegen irrelevant. Die Kundendaten – wem sie auch gehören und woher sie auch stammen – werden so behandelt, als befände man sich auf amerikanischem Boden.

cloud-act

Unternehmen, die auf Cloud-Dienste von US-Anbietern setzen, sollten gewarnt sein

Der Cloud-Act und die DSGVO

Die DSGVO steht im krassen Gegensatz zum US-Cloud-Act und fordert den kompromisslosen Schutz personenbezogener Daten. Und das gilt nicht nur für alle, die ihren Sitz innerhalb der EU haben, sondern auch für die, die im europäischen Wirtschaftsraum tätig sind. Bietet also ein Cloud-Anbieter aus den USA seinen Service in der EU an, unterliegt auch er den strengen Richtlinien der Datenschutzgrundverordnung. Soweit die Ausgangslage. Aber auch die DSGVO macht Ausnahmen von der Regel. So sieht Artikel 48 vor, dass bestimmte Entscheidungen aus Nicht-EU-Staaten unter bestimmten Umständen anerkannt werden können. Und das betrifft auch die Übermittlung von Daten.

Voraussetzungen dafür können sein:

  • Die Person oder das Unternehmen willigt in die Offenlegung und Übermittlung der Daten ein. Und zwar komplett freiwillig. Das kann aber dafür mit der Forderung der Geheimhaltung verbunden sein.
  • Der Selbstzertifizierungsmechanismus Privacy-Shield oder die Standardvertragsklausel Model-Clauses rechtfertigen die Herausgabe der Daten an die amerikanischen Behörden.
  • Ein völkerechtliches Abkommen rechtfertigt die Herausgabe der Daten. Ein derartiges Abkommen gibt es bis dahin allerdings nicht.

Es ist übrigens stark umstritten, ob der Artikel 48 der DSGVO dem Durchführungsabkommen gemäß Cloud-Act überhaupt genügt. So oder müssten die Behörden alle entsprechenden Daten nach Abschluss der Überprüfung auch wieder löschen. Wie das transparent gewährleistet werden soll, dazu gibt es noch keine gültige Regelung.

US-Anbieter machen sich für den Datenschutz stark

Hersteller wie Microsoft werden mittlerweile selbst aktiv. So hat der Weltmarktführer sechs Prinzipien veröffentlicht, an denen sich internationale Abkommen orientieren sollten. Darin zum Beispiel enthalten: keine Herausgabe von Daten ohne richterliche Anordnung. Und die Forderung: „Abgesehen von engen Umständen haben Nutzer ein Recht zu erfahren, wenn Regierungen sich Zugang zu ihren Daten verschaffen.“ Mit der E-Evidence-Verordnung sollen diese Vorschläge entsprechend berücksichtigt werden. Die Krux aber bleibt: das Cloud-Act der USA und die DSGVO der EU sind zwei höchst ungleiche Puzzleteile, die einfach nicht zusammenpassen wollen. Andere Länder gehen die Problematik daher proaktiv an. Beispiel: Österreich. Hier soll noch in diesem Jahr ein separates Abkommen mit den USA abgeschlossen werden. Der Dritte im Bunde sind die Bürgerrechtsorganisationen wie beispielsweise die Electronic Frontier Foundation. Sie warnen davor, das FBI, CIA und NSA durch Cloud-Act praktisch jeden überwachen können.

Was bedeutet Cloud-Act für deutsche Unternehmen?

Kurz gesagt: eine unschöne Zwickmühle. Der US-Anbieter wäre zur Herausgabe der Daten gezwungen, aber gleichzeitig durch das fehlende Durchführungsabkommen daran gehindert. Der erste Schritt wäre also eine Prüfung der Rechtfertigung nach Kapitel 5 der DSGVO. Reicht das nicht aus, um eine Offenlegung zu rechtfertigen, sollten erst einmal die Füße still gehalten werden. Zumindest solange, bis Rechtssicherheit herrscht.

Anbieter wie Microsoft haben schon versucht, die Problematik durch Treuhand-Modelle zu umgehen. Sprich: ein anderes Unternehmen mit Sitz innerhalb der EU hatte die Daten verarbeitet. Tatsächlich war die Nachfrage nach diesem Modell aber so gering, dass es mittlerweile eingestellt wurde. So oder so müsste aber im Falle eines Falles ein US-Gericht davon überzeugt werden, dass sich die Daten weder in Besitz, noch unter Kontrolle des amerikanischen Anbieters befinden. Selbst die Verwaltung von Daten durch europäische Tochtergesellschaften gewährleistet das nicht zwingend.

Fazit: es wird wohl noch etwas dauern, bis die Rechtslage eindeutig geklärt ist. Wie groß dann noch die Macht von Cloud-Act ist, bleibt abzuwarten. Unternehmen, die jetzt den Einstieg in die Cloud wagen und gleichzeitig die volle Kontrolle über ihre Daten haben wollen, sollten daher auf europäische Anbieter setzen.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Sie haben Fragen zu den Themen Cloud-Act, DSGVO und Datensicherheit? Wir beantworten Ihre Fragen und unterstützen Sie bei Ihrem Einstieg in die Cloud.

Jetzt Kontakt aufnehmen!

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.