CLOUD Act vs DSGVO

Der CLOUD Act und die DSGVO: So gehen Sie auf Nummer Sicher

Zankapfel CLOUD Act: Seit fünf Jahren streiten Microsoft und die US-Regierung über die Herausgabe von E-Mail-Daten, die der Konzern auf einem Server in Irland gespeichert hat. Eine Entscheidung des obersten Gerichtshofes (US Supreme Court) stand noch aus. Doch nun wird der Fall zu den Akten gelegt.

Grund ist ein neues Gesetz, das Präsident Trump am 23. März dieses Jahres unterschrieben hat: Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde als Teil des Haushaltsgesetzes verabschiedet und gewährt US-Ermittlungsbehörden auch dann Zugriff auf gespeicherte Daten, wenn diese auf Servern im Ausland liegen – zumindest, solange die Server unter der Kontrolle von US-Unternehmen sind.

Das Besondere an dem neuen Gesetz: Der CLOUD Act sieht ausdrücklich vor, dass die USA mit ausländischen Staaten bilaterale Abkommen treffen, die auch ausländischen Behörden den Zugriff auf US-Server erlauben. Dabei sollen die Behörden ihre Anfragen direkt an die Unternehmen stellen können – die Gerichte und Datenschutzbestimmungen des jeweiligen Landes bleiben außen vor.

Die Betroffenen haben somit kaum Möglichkeit, sich zur Wehr zu setzen: Nur wenn ein Land ein Privatsphäre- und Datenaustausch-Abkommen mit den USA unterzeichnet, gibt es für deren Bürger und Unternehmen festgelegte Zugriffsbeschränkungen und Kontrollmöglichkeiten in den USA. Das betrachten nicht nur Datenschützer und Bürgerrechtsorganisationen kritisch, sondern auch die Unternehmen, die US-Cloud-Dienste nutzen.

Was bedeutet das bezüglich der DSGVO?

think-3087400_1280_small
Was bedeutet der CLOUD Act für EU-Bürger, die US-Dienste nutzen? Und wie ist das mit der DSGVO?

Was genau bedeutet der CLOUD Act nun für EU-Bürger, die Dienste von US-Anbietern wie zum Beispiel Microsoft in Anspruch nehmen? Diese Frage hat besonders vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) Relevanz: Ist die Datenübermittlung eines Unternehmens an eine US-Behörde überhaupt zulässig? Artikel 48 DSGVO legt das Gegenteil nahe. Demnach werden Zugriffe von US-Behörden auf in der EU gespeicherte Daten durch internationale Übereinkünfte wie Rechtshilfeabkommen  und unter Einbeziehung der heimischen Behörden durchgesetzt.

Übermittelt ein Unternehmen personenbezogener Daten an den heimischen Behörden vorbei, könnte dies einen direkten Verstoß gegen Artikel 48 DSGVO darstellen und wäre somit bußgeldbewährt. Klarheit oder gar Rechtssicherheit bestehen hier allerdings noch nicht. Denn bisher ist beispielsweise noch nicht geklärt, ob die im CLOUD Act vorgesehenen bilateralen Abkommen unter die in Art. 48 genannten „internationalen Übereinkünfte“ fallen. Es bleibt also abzuwarten, wie sich die Aufsichtsbehörden hier positionieren.

Mögliche Auswege aus dem Dilemma

Immerhin: In seinem Blog deutet Microsoft bereits an, sich auch weiterhin mit allen Mitteln gegen Durchsuchungsbefehle der US-Behörden wehren zu wollen.

Einen möglichen Ausweg hat sich der US-Konzern  vorab überlegt – mit dem Programm „Office 365 Deutschland“. Hier betreibt die Deutsche Telekom als sogenannter Datentreuhänder die Server; Microsoft selbst hat im Rahmen der Vereinbarung nur zu Wartungs- und Supportzwecken Zugriff auf die Daten.

Auf diese Weise könnte Microsoft einen Datenzugriff durch die US-Behörden womöglich von vornherein unterbinden. Der CLOUD Act sieht nämlich ausdrücklich vor, dass die Daten im Besitz bzw. unter der Kontrolle des jeweiligen Anbieters sein müssen. Das ist beim Treuhandmodell von „Office 365 Deutschland“ aber gerade nicht der Fall: die Kontrolle über die Daten liegt hier bei der Telekom. Ob dies allerdings auch die US-Gerichte so sehen, muss sich noch zeigen.

Dieses zusätzliche Maß an Datenschutz erhöht jedoch die Kosten für jene Unternehmen, die sich für Rechtssicherheit und -Datensicherheit entscheiden. Die Preise für „Office 365 Deutschland“ liegen im Schnitt um rund 25 Prozent über den Preisen für die „normalen“ Office-365-Dienste.

Nicht alle Anbieter sind vom CLOUD Act betroffen

Kunden, die Ihre Daten zuverlässig vor dem eventuellen Zugriff durch US-Behörden schützen möchten, sollten also sicherheitshalber auf (Cloud-)Anbieter setzen, die ihren Firmensitz in der EU haben und somit nicht vom CLOUD Act betroffen sind. Oder aber sie entscheiden sich für betreibersichere Dienste.

käfig 3
Hinter Gittern: Betreibersichere Dienste in versiegelten Rechenzentren schützen zuverlässig vor Zugriffen.

Diese Anbieter haben ihre Server so versiegelt, dass sie selber keinen Zugang zu den Daten ihrer Kunden haben. Sie können die Daten gar nicht übermitteln oder etwa den in- oder ausländischen Behörden einen  direkten Zugriff  gewähren – dies ist zuverlässig auf technische Weise ausgeschlossen. Damit ließe sich der CLOUD Act wirkungsvoll umgehen.

Wer auf Nummer Sicher gehen möchte, vertraut aussagekräftigen Datenschutz-Zertifikaten: Mit ihnen können sich Kunden und Anbieter gleichermaßen rechtlich absichern; darüber hinaus helfen sie bei der Suche nach einem passenden Cloud-Dienst mit einem Schutzniveau, dass sowohl den eigenen als auch den rechtlichen Ansprüchen genügt.

Sie möchten Uniscons betreibersicheren Cloud-Dienst iDGARD testen, der Ihre Daten und die Ihrer Kunden zuverlässig schützt? Dann melden Sie sich an und testen Sie iDGARD 14 Tage kostenlos.

iDGARD Jetzt testen

  • Sie gehen kein Risiko ein: Der Test läuft automatisch aus.
  • Sie brauchen bei der Anmeldung zum Test keine Zahlungsdaten angeben.

Haben Sie Fragen oder möchten Sie uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.

CLOUD Act 2018 ermöglicht Behörden Zugriff
CLOUD Act 2018: Was steckt hinter Trumps Gesetz? Das von Trump verabschiedete Gesetz, der Cloud Act, regelt den Zugriff von US-Behörden auf die Kundendaten von US-Unternehmen. Wir haben Originaltexte zusammengetragen, um Ihnen die gesetzliche Lage näher zu bringen. Weiterlesen »
EuGH kippt Privacy Shield
Privacy Shield gekippt: Es ist an der Zeit, sich von den USA zu emanzipieren! Der EuGH hat das transatlantische Datenschutzabkommen Privacy Shield gekippt. Wir sollten die Gelegenheit nutzen und uns endlich von den USA emanzipieren. Weiterlesen »
5 Datenschutz-Maßnahmen für Unternehmen, idgard Blog
DSGVO-Hilfe: 5 Datenschutz-Maßnahmen für Unternehmen Die Digitalisierung hat Hackern und anderen Cyberkriminellen zahlreiche neue Einfallstore geöffnet. Wir stellen Ihnen fünf essentielle Datenschutz-Maßnahmen für Unternehmen vor. Weiterlesen »
Wir halten Sie sicher auf dem Laufenden.