Den behördlichen Zugriff auf Cloud-Daten regeln Länder ganz unterschiedlich. In den Vereinigten Staaten sind Cloud-Anbieter etwa nach dem Patriot Act dazu verpflichtet, Daten auf Anweisung von Gerichten oder Behörden herauszugeben. Der US Cloud Act ermöglicht US-Behörden sogar den Zugriff auf Cloud-Server, die von US-Providern außerhalb der USA betrieben werden.
In Europa wiederum ist die Weitergabe von Daten unter anderem durch die EU-DSGVO (Art. 48) geregelt. Unternehmen, die auf Cloud-Anbieter mit Sitz und Server-Standorten in der Europäischen Union setzen, gehen also davon aus, dass ihre Daten sowie die Daten ihrer Kunden vor etwaigen Zugriffen durch ausländische Behörden sicher sind.
Aber was ist, wenn ein US-Konzern einen deutschen Cloud-Anbieter übernimmt? Gilt dann noch die DSGVO? Oder greift hier der Cloud Act? Und können sich Unternehmen angesichts dieser Unklarheiten überhaupt rechtlich absichern?
Was ist der US Cloud Act?
Ende März 2018 hat der ehemalige US-Präsident Donald Trump den US Cloud Act (“Clarifying Lawful Overseas Use of Data Act”) unterzeichnet. Die Verordnung ist Teil des Haushaltsgesetzes und erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten, wenn die betroffenen Server unter der Kontrolle von US-Unternehmen oder deren Tochtergesellschaften sind.
US-Konzerne, die Server außerhalb der USA betreiben, wären damit also eindeutig zur Herausgabe verpflichtet. Dasselbe gilt für einen deutschen Cloud-Anbieter, wenn er von einem US-Konzern übernommen wird.
US Cloud Act vs DSGVO: Offene Fragen sorgen für Unsicherheit
Datenschutz-Experten sehen den US Cloud Act ganz klar im Konflikt mit der Datenschutzgrundverordnung. Denn diese untersagt Unternehmen die direkte Herausgabe von innerhalb der EU gesicherten Daten an Behörden in Drittländern ohne Rechtshilfeabkommen (vgl. Artikel 48 DSGVO). Zur Erinnerung: Ein Verstoß gegen Artikel 48 kann nach Art. 83 DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweit erwirtschafteten Jahresumsatzes geahndet werden. Der US Cloud Act wird daher von vielen Experten als Versuch gewertet, die bestehenden Rechtshilfeabkommen zu umgehen.
Diese Unvereinbarkeit von Cloud Act und der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union bringt Unternehmen, die Cloud-Dienste nutzen, in ein Dilemma. Während die DSGVO strenge Vorschriften zum Schutz personenbezogener Daten innerhalb der EU vorschreibt, ermöglicht der Cloud Act den US-Behörden den Zugriff auf in der EU gespeicherte Daten, wenn der Anbieter oder der Mutterkonzern des Anbieters seinen Sitz in den USA hat. Dies führt verständlicherweise zu Unsicherheiten – nicht zuletzt, weil das Thema auch Jahre später nicht abschließend geklärt ist und nach wie vor Fragen offen sind.
Standort & Technologie: Strategien für Unternehmen
Dennoch haben Unternehmen verschiedene Möglichkeiten, sich rechtlich abzusichern, wenn sie Cloud-Angebote wie Collaboration-Dienste und virtuelle Datenräume in Anspruch nehmen. Eine effektive Strategie ist etwa die Nutzung von Diensten, die nicht nur ihre Server in Deutschland betreiben, sondern auch ihren Sitz hier haben.
Durch die Wahl eines in Deutschland ansässigen Cloud-Dienstleisters können Unternehmen sicherstellen, dass ihre Daten nicht nur durch die DSGVO geschützt sind, sondern auch von den umfassenden Sicherheitsvorgaben der deutschen Datenschutzgesetze profitieren. Dies gilt allerdings nur so lange, bis der Dienstleister von einem US-Unternehmen gekauft wird.
Darüber hinaus bieten sichere Cloud-Technologien wie Confidential Computing einen zuverlässigen Schutz für sensible Daten, und zwar unabhängig vom Sitz des Anbieters. Beispielshaft wäre hier idgard zu nennen, der sichere Cloud-Collaboration-Dienst aus dem Hause TÜV SÜD. Hier sorgt ein Confidential-Computing-Ansatz für die nötige Sicherheit. Dabei werden die Daten in separaten, hochsicheren Hardwaresegmenten verarbeitet, die vom Rest des Systems isoliert und vor externen Zugriffen geschützt sind.
Dieser Ansatz gewährleistet, dass die Daten während der Verarbeitung in einer geschützten Umgebung bleiben, in der ein Zugriff technisch ausgeschlossen ist. Die Übertragung und Speicherung der Daten wiederum erfolgt ausschließlich verschlüsselt, so dass selbst bei einem etwaigen Zugriff auf die Infrastruktur (etwa durch staatliche Akteure oder Cyberkriminelle) die Daten zu keinem Zeitpunkt unverschlüsselt einsehbar sind. Dies bietet eine zusätzliche Sicherheitsebene gegenüber externen Zugriffsversuchen und schafft somit Rechtssicherheit für Unternehmen, die entsprechende Cloud-Angebote nutzen.
Worauf Sie bei der Wahl eines passenden Cloud-Anbieters achten sollten, erfahren Sie in der kostenlosen idgard-Checkliste „Auswahl eines Cloud-Dienstes“.
leunigt die Weiterentwicklung der Praxissoftware und ermöglicht dem Unternehmen, weiter zu wachsen.
Bildquellen: idgard | uniscon GmbH