Der CLOUD Act und die DSGVO: So gehen Sie auf Nummer Sicher

Seit fünf Jahren streiten Microsoft und die US-Regierung über die Herausgabe von E-Mail-Daten, die der Konzern auf einem Server in Irland gespeichert hat. Eine Entscheidung des obersten Gerichtshofes (US Supreme Court) stand noch aus. Doch nun wird der Fall zu den Akten gelegt.

Grund ist ein neues Gesetz, das Präsident Trump am 23. März dieses Jahres unterschrieben hat: Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde als Teil des Haushaltsgesetzes verabschiedet und gewährt US-Ermittlungsbehörden auch dann Zugriff auf gespeicherte Daten, wenn diese auf Servern im Ausland liegen – zumindest, solange die Server unter der Kontrolle von US-Unternehmen sind.

Das Besondere an dem neuen Gesetz: Der CLOUD Act sieht ausdrücklich vor, dass die USA mit ausländischen Staaten bilaterale Abkommen treffen, die auch ausländischen Behörden den Zugriff auf US-Server erlauben. Dabei sollen die Behörden ihre Anfragen direkt an die Unternehmen stellen können – die Gerichte und Datenschutzbestimmungen des jeweiligen Landes bleiben außen vor.

Die Betroffenen haben somit kaum Möglichkeit, sich zur Wehr zu setzen: Nur wenn ein Land ein Privatsphäre- und Datenaustausch-Abkommen mit den USA unterzeichnet, gibt es für deren Bürger und Unternehmen festgelegte Zugriffsbeschränkungen und Kontrollmöglichkeiten in den USA. Das betrachten nicht nur Datenschützer und Bürgerrechtsorganisationen kritisch, sondern auch die Unternehmen, die US-Cloud-Dienste nutzen.

Was bedeutet das bezüglich der DSGVO?

think-3087400_1280_small

Was bedeutet der CLOUD Act für EU-Bürger, die US-Dienste nutzen? Und wie ist das mit der DSGVO?

Was genau bedeutet der CLOUD Act nun für EU-Bürger, die Dienste von US-Anbietern wie zum Beispiel Microsoft in Anspruch nehmen? Diese Frage hat besonders vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) Relevanz: Ist die Datenübermittlung eines Unternehmens an eine US-Behörde überhaupt zulässig? Artikel 48 DSGVO legt das Gegenteil nahe. Demnach werden Zugriffe von US-Behörden auf in der EU gespeicherte Daten durch internationale Übereinkünfte wie Rechtshilfeabkommen  und unter Einbeziehung der heimischen Behörden durchgesetzt.

Übermittelt ein Unternehmen personenbezogener Daten an den heimischen Behörden vorbei, könnte dies einen direkten Verstoß gegen Artikel 48 DSGVO darstellen und wäre somit bußgeldbewährt. Klarheit oder gar Rechtssicherheit bestehen hier allerdings noch nicht. Denn bisher ist beispielsweise noch nicht geklärt, ob die im CLOUD Act vorgesehenen bilateralen Abkommen unter die in Art. 48 genannten „internationalen Übereinkünfte“ fallen. Es bleibt also abzuwarten, wie sich die Aufsichtsbehörden hier positionieren.

Mögliche Auswege aus dem Dilemma

Immerhin: In seinem Blog deutet Microsoft bereits an, sich auch weiterhin mit allen Mitteln gegen Durchsuchungsbefehle der US-Behörden wehren zu wollen.

Einen möglichen Ausweg hat sich der US-Konzern  vorab überlegt – mit dem Programm „Office 365 Deutschland“. Hier betreibt die Deutsche Telekom als sogenannter Datentreuhänder die Server; Microsoft selbst hat im Rahmen der Vereinbarung nur zu Wartungs- und Supportzwecken Zugriff auf die Daten.

Auf diese Weise könnte Microsoft einen Datenzugriff durch die US-Behörden womöglich von vornherein unterbinden. Der CLOUD Act sieht nämlich ausdrücklich vor, dass die Daten im Besitz bzw. unter der Kontrolle des jeweiligen Anbieters sein müssen. Das ist beim Treuhandmodell von „Office 365 Deutschland“ aber gerade nicht der Fall: die Kontrolle über die Daten liegt hier bei der Telekom. Ob dies allerdings auch die US-Gerichte so sehen, muss sich noch zeigen.

Dieses zusätzliche Maß an Datenschutz erhöht jedoch die Kosten für jene Unternehmen, die sich für Rechtssicherheit und -Datensicherheit entscheiden. Die Preise für „Office 365 Deutschland“ liegen im Schnitt um rund 25 Prozent über den Preisen für die „normalen“ Office-365-Dienste.

Kunden, die Ihre Daten zuverlässig vor dem eventuellen Zugriff durch US-Behörden schützen möchten, sollten also sicherheitshalber auf (Cloud-)Anbieter setzen, die ihren Firmensitz in der EU haben und somit nicht vom CLOUD Act betroffen sind. Oder aber sie entscheiden sich für betreibersichere Dienste.

käfig 3

Hinter Gittern: Betreibersichere Dienste in versiegelten Rechenzentren schützen zuverlässig vor Zugriffen.

Diese Anbieter haben ihre Server so versiegelt, dass sie selber keinen Zugang zu den Daten ihrer Kunden haben. Sie können die Daten gar nicht übermitteln oder etwa den in- oder ausländischen Behörden einen  direkten Zugriff  gewähren – dies ist zuverlässig auf technische Weise ausgeschlossen. Damit ließe sich der CLOUD Act wirkungsvoll umgehen.

Mit derselben Technologie können Unternehmen auch ihre eigenen Rechenzentren ausstatten. Mit Sealed Platform, einer versiegelten Cloud-Plattform. Damit lassen sich nicht nur Daten schützen, sondern auch Anwendungen: Eine dient als Basis für sichere und rechtskonforme SaaS-, IoT- und M2M-Angebote wie beispielsweise ERP oder CRM-Systeme.

Wer auf Nummer Sicher gehen möchte, vertraut aussagekräftigen Datenschutz-Zertifikaten: Mit ihnen können sich Kunden und Anbieter gleichermaßen rechtlich absichern; darüber hinaus helfen sie bei der Suche nach einem passenden Cloud-Dienst mit einem Schutzniveau, dass sowohl den eigenen als auch den rechtlichen Ansprüchen genügt.

Sie möchten Uniscons betreibersicheren Cloud-Dienst iDGARD testen, der Ihre Daten und die Ihrer Kunden zuverlässig schützt? Dann melden Sie sich an und testen Sie iDGARD 14 Tage kostenlos.

iDGARD Jetzt testen

  • Sie gehen kein Risiko ein: Der Test läuft automatisch aus.
  • Sie brauchen bei der Anmeldung zum Test keine Zahlungsdaten angeben.

Sie haben Fragen oder möchten uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.

 

 

 

 

Leser dieses Artikels  interessieren sich auch für folgende Inhalte:

TÜV SÜD Whitepaper: Wann ist ein Cloud-Dienst DSGVO-geeignet?

Interview: Wie kommt der Datenschutz in die Cloud?

White Paper: Die Stärken der Sealed-Cloud-Technologie im geschäftlichen Umfeld

Sie möchten stets auf dem Laufenden bleiben?

Dann melden Sie sich jetzt zum Verteiler an und erhalten Sie monatlich unseren exklusiven Newsletter – mit Bedientipps und den neusten Infos rund um die Themen Datenschutz, Datensicherheit und IT-Sicherheit.