US-Konzern kauft EU-Cloud – und was wird aus meinen Daten?

Wie Länder mit dem behördlichen Zugriff auf Cloud-Daten umgehen, ist ganz unterschiedlich. In den USA zum Beispiel sind Unternehmen nach dem Patriot Act dazu verpflichtet, Daten auf Anweisung von Gerichten oder Behörden herauszugeben.

In Europa hingegen ist die Weitergabe von Daten unter anderem durch die EU-DSGVO (Art. 48) geregelt. Kunden, die auf europäische Cloud-Anbieter mit Server-Standorten in der EU setzen, wähnen sich und ihre Daten deshalb in Sicherheit.

Doch wie verhält es sich, wenn ein US-Unternehmen Server in Europa betreibt oder einen deutschen Cloud-Anbieter übernimmt? Was wird dann aus den Daten? Und gilt auch weiterhin die DSGVO?

Aktuelle Berichterstattung:

Dass das Thema auch mehr als ein Jahr später noch immer brisant ist, zeigt ein aktueller Bericht des ARD-Wirtschaftsmagazins plusminus vom 8. Mai 2019. Sie finden den Beitrag in der ARD-Mediathek: „Industriespionage: Wie hochsensible Daten von Europa in die USA wandern“

US Cloud Act

Ende März 2018 hat US-Präsident Donald Trump den CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) unterzeichnet. Die Verordnung ist Teil des Haushaltsgesetzes und erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten – vorausgesetzt, die betroffenen Server sind unter der Kontrolle von US-Unternehmen oder deren Tochtergesellschaften. US-Gerichte können (müssen aber nicht!) den Zugriffsprozess unterbinden – etwa, wenn Nicht-US-Bürger betroffen sind.

US-Konzerne wie Microsoft, die Server außerhalb der USA betreiben und eine Herausgabe von Daten bisher unter Berufung auf den Serverstandort verweigern konnten, sind damit nun eindeutig zur Herausgabe verpflichtet.

Rechtliches Dilemma für Unternehmen

Datenschutz-Experten sehen hier einen klaren Konflikt mit der Datenschutzgrundverordnung, die Unternehmen die Übergabe von innerhalb der EU gesicherten Daten ohne Rechtshilfeabkommen verbietet (vgl. Artikel 48 DSGVO). Ein Verstoß gegen die in Artikel 48 aufgeführten Pflichten kann nach Art. 83 DSGVO mit Bußgeldern in Höhe von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes geahndet werden.

Somit befinden sich betroffene Unternehmen, die ihren Sitz in den USA haben und Server innerhalb der EU betreiben, in einem rechtlichen Dilemma: Egal, wie sie sich entscheiden, eines von beiden Gesetzen verletzen sie. Doch wie könnten sie die Daten ihrer Kunden trotzdem zuverlässig schützen?

Betreibersichere Infrastruktur hilft

„Sobald Daten für Menschen einsehbar sind, können sie auch weitergegeben werden“, warnt Cloud-Sicherheits-Experte Dr. Hubert Jäger. Er ist CTO und Mitgründer des Münchner Unternehmens  Uniscon GmbH, einer Tochter des TÜV SÜD. „Gerade Daten, die verarbeitet werden, liegen bei den meisten Cloud-Anbietern unverschlüsselt auf den Verarbeitungs-Servern vor.“

Unternehmen, die sich und die Daten ihrer Kunden absichern wollen, sollten sich demnach für Cloud-Dienste entscheiden, bei denen auch der Betreiber des Dienstes durch technische Maßnahmen vom Zugriff auf die Daten ausgeschlossen ist.

Welche hochsicheren Cloud-Dienste gibt es?

Dafür sorgt beispielsweise Uniscons international patentierte Sealed-Cloud-Technologie, die unter anderem in Uniscons Business-Cloud iDGARD zum Einsatz kommt.

Weitere Sealed-Cloud-Dienste sind die versiegelte Cloud der Deutschen Telekom und ucloud von regio IT. Mit Uniscons Sealed Platform als Basis für SaaS-, IoT- und M2M-Angebote können Unternehmen außerdem alle Arten von sicherheitskritischen Cloud-Anwendungen verwirklichen. „Dann sind die Daten auch im Falle einer Übernahme durch US-amerikanische Unternehmen weiterhin geschützt, da ein Zugang schon rein technisch ausgeschlossen ist“, sagt Jäger.

Bei der Suche nach einem passenden Cloud-Dienst könnten Zertifikate helfen, beispielsweise nach dem Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP). Das TCDP-Nachfolgeprojekt AUDITOR befindet sich derzeit noch in der Entwicklung.

 

RegTech SaaS

 

Eine Möglichkeit, Ihre Daten und Anwendungen zu schützen, ist die Sealed Platform. Testen Sie jetzt die hochsichere Cloud-Platform für Unternehmen und Behörden. Erfahren Sie mehr!

 

Sie haben Fragen oder möchten uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.

 

Leser dieses Artikels  interessieren sich auch für folgende Inhalte:

Der CLOUD Act und die DSGVO: So gehen Sie auf Nummer Sicher

Brexit vs Datenschutz: Was kommt auf die Wirtschaft zu?

White Paper: Die Stärken der Sealed-Cloud-Technologie im geschäftlichen Umfeld

 

Sie möchten in Sachen Cloud-Datenschutz stets auf dem Laufenden bleiben?

Melden Sie sich jetzt zum Verteiler an und erhalten Sie monatlich unseren exklusiven Newsletter – mit Bedientipps und den neusten Infos rund um die Themen Datenschutz, Datensicherheit und IT-Sicherheit.