US CLOUD Act vs DSGVO

US CLOUD Act vs DSGVO: Drei Jahre Ringen um Compliance

CLOUD Act vs DSGVO: Sind die beiden Gesetze miteinander vereinbar? Nach mehr als drei Jahren des Ringens um Compliance und Datensicherheit werfen wir einen Blick auf die Lage – und versuchen, offene Fragen zu beantworten.

Am 23. März 2018 trat mit dem CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ein mehr als umstrittenes US-Gesetz in Kraft. Der CLOUD Act erlaubt es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an US-amerikanische IT-Dienstleister – darunter auch Cloud-Provider – zu richten und diese auch durchzusetzen.

Da die angeforderten Informationen sehr häufig auch personenbezogene Daten beinhalten, äußern Datenschützer immer wieder lautstark Kritik. Vor allem die Gefahr, dass unbescholtene EU-Bürger ohne jeglichen Anlass ins Fadenkreuz von Ermittlern geraten könnten, hinterlässt bis heute einen faden Beigeschmack an dem Gesetz.

CLOUD Act vs DSGVO: Ein Widerspruch?

In Zeiten voranschreitender Digitalisierung findet über irgendwann beinahe jedes Unternehmen den Weg in die Cloud. Da jedoch die meisten der großen Cloud-Anbieter in den USA sitzen, sorgen sich viele europäische Firmen um die Daten ihrer Kunden. Denn diese fallen auch dann in den Geltungsbereich des CLOUD Acts, wenn sie in der EU gespeichert sind oder dort verarbeitet werden. Entscheidend ist nur, dass der betreffende Server zu einem US-amerikanischen Anbieter oder dessen Tochterfirma gehört.

Das wirft Fragen auf. Machen sich europäische Unternehmen strafbar, wenn sie die personenbezogenen Daten ihrer Kunden und Geschäftspartner bei einem US-Dienst speichern oder verarbeiten? Ist der CLOUD Act überhaupt mit der DSGVO vereinbar? All diese Bedenken kommen nicht von ungefähr. Denn seit dem Ende des EU-US Privacy Shields Mitte 2020 fehlt tatsächlich jede Rechtssicherheit beim Austausch von Daten zwischen den USA und der EU. Die Fragen nach eventuellen Compliance-Problemen sind daher durchaus berechtigt. Um diese zu beantworten, müssen wir zunächst einen Blick darauf werfen, wie US-amerikanische Anbieter mit diesen Problemen umgehen.

US-Anbieter wehren sich

Wer befürchtet, dass jeder Datensatz auf Servern von Microsoft, Google, Amazon, Apple & Co. automatisch in die Hände der US-Behörden gelangt, irrt. Die Tech-Riesen wehren sich mit allen ihnen zur Verfügung stehenden Mitteln gegen die pauschale Herausgabe von Kundendaten an Strafverfolger. Erst, wenn die anfragenden Behörden die geltenden rechtlichen Verfahren befolgt und die Rechtmäßigkeit der Anfrage nachgewiesen haben, können die Cloud-Provider zur Datenherausgabe gezwungen werden.

Sehr erfreulich ist die Tatsache, dass die Ablehnung behördlicher Anfragen in jüngster Vergangenheit recht erfolgreich war. So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem Microsoft diese vor einem US-Gericht angefochten hatte.

Confidential Computing und europäische Infrastrukturen als sichere Alternative

Wenn wir den Datenschutz in Europa wirklich ernst nehmen, müssen wir unsere eigenen Märkte und Strukturen stärken. Dazu braucht es eine konkurrenzfähige und innovative IT-Industrie in Europa. Diese muss sowohl innovative Start-Ups als auch etablierte Player umfassen, die der Konkurrenz aus Übersee auf Augenhöhe begegnen können.

Vielversprechende Projekte wie die europäische Cloud GAIA-X, die als Gegengewicht zur US-Infrastrukturen dienen soll, machen Hoffnung. Hinzu kommen Anbieter uniscon, die effektiven Datenschutz in der Cloud mit Hilfe von Confidential Computing bzw. Sealed Computing umsetzen.

Confidential Computing beschreibt den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dazu erfolgt die Datenverarbeitung innerhalb eines sicheren Bereichs, der sogenannten „Trusted Execution Environment“ (TEE). Das lässt sich sowohl auf Prozessorebene realisieren – wie Google, Microsoft, Intel, IBM & Co. es vormachen – oder, wie im Falle des Sealed Computing, auf Server-Ebene. Beispielhaft seit hier der Cloud-Dienst idgard® genannt. Dort findet die Datenverarbeitung auf geschützten Server-Enklaven statt, die über reduzierte Schnittstellen verfügen und Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich so verhindern. Nicht einmal uniscon als Betreiber der Cloud hat hier Zugang. Damit ist Confidential Computing nicht nur eines der mächtigsten Instrumente im Kampf gegen Industriespionage und Cyberkriminalität, sondern schützt auch zuverlässig vor dem Zugriff ausländischer Behörden.

An Ideen und Konzepten mangelt es in Europa wahrlich nicht. Am Ende entscheidet allerdings der Nutzer über Erfolg oder Misserfolg solcher Initiativen. Daher ist es wichtig, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen.

Confidential Computing für Ihr Unternehmen: idgard® jetzt selber testen

Haben wir Sie neugierig gemacht? Testen Sie unseren Sealed-Cloud-Dienst idgard® jetzt selbst! idgard® ist die ideale Lösung für hochsicheren Datenaustausch und geschützte Kommunikation im Internet – egal ob intern oder über Unternehmensgrenzen hinweg.          

Starten Sie in nur zwei Minuten einen kostenlosen idgard®-Test!