US Cloud Act: US-Konzern kauft EU-Cloud – und was wird aus meinen Daten?
Wie Länder mit dem behördlichen Zugriff auf Cloud-Daten umgehen, ist ganz unterschiedlich. In den USA zum Beispiel sind Unternehmen nach dem Patriot Act dazu verpflichtet, Daten auf Anweisung von Gerichten oder Behörden herauszugeben. Der US Cloud Act schlägt in eine ganz ähnliche Kerbe.
In Europa hingegen ist die Weitergabe von Daten unter anderem durch die EU-DSGVO (Art. 48) geregelt. Kunden, die auf europäische Cloud-Anbieter mit Server-Standorten in der EU setzen, wähnen sich und ihre Daten deshalb in Sicherheit.
Doch wie verhält es sich, wenn ein US-Unternehmen Server in Europa betreibt oder einen deutschen Cloud-Anbieter übernimmt? Was wird dann aus den Daten? Und gilt auch weiterhin die DSGVO?
Dass das Thema auch mehr als ein Jahr später noch immer brisant ist, zeigt ein Bericht des ARD-Wirtschaftsmagazins plusminus vom 8. Mai 2019.
US Cloud Act – was ist das überhaupt?
Ende März 2018 hat US-Präsident Donald Trump den US Cloud Act („Clarifying Lawful Overseas Use of Data Act„) unterzeichnet. Die Verordnung ist Teil des Haushaltsgesetzes und erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten – vorausgesetzt, die betroffenen Server sind unter der Kontrolle von US-Unternehmen oder deren Tochtergesellschaften. US-Gerichte können (müssen aber nicht!) den Zugriffsprozess unterbinden – etwa, wenn Nicht-US-Bürger betroffen sind.
US-Konzerne wie Microsoft, die Server außerhalb der USA betreiben und eine Herausgabe von Daten bisher unter Berufung auf den Serverstandort verweigern konnten, sind damit nun eindeutig zur Herausgabe verpflichtet.
Rechtliches Dilemma für Unternehmen
Datenschutz-Experten sehen hier einen klaren Konflikt mit der Datenschutzgrundverordnung, die Unternehmen die Übergabe von innerhalb der EU gesicherten Daten ohne Rechtshilfeabkommen verbietet (vgl. Artikel 48 DSGVO). Ein Verstoß gegen die in Artikel 48 aufgeführten Pflichten kann nach Art. 83 DSGVO mit Bußgeldern in Höhe von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes geahndet werden.
Somit befinden sich betroffene Unternehmen, die ihren Sitz in den USA haben und Server innerhalb der EU betreiben, in einem rechtlichen Dilemma: Egal, wie sie sich entscheiden, eines von beiden Gesetzen verletzen sie. Doch wie könnten sie die Daten ihrer Kunden trotzdem zuverlässig schützen?
Confidential Computing hilft
„Sobald Daten für Menschen einsehbar sind, können sie auch weitergegeben werden“, warnt Cloud-Sicherheits-Experte Dr. Hubert Jäger. Er ist CTO und Mitgründer des Münchner Unternehmens Uniscon GmbH, einer Tochter des TÜV SÜD. „Gerade Daten, die verarbeitet werden, liegen bei den meisten Cloud-Anbietern unverschlüsselt auf den Verarbeitungs-Servern vor.“
Unternehmen, die sich und die Daten ihrer Kunden absichern wollen, sollten sich demnach für Cloud-Dienste entscheiden, bei denen auch der Betreiber des Dienstes durch technische Maßnahmen vom Zugriff auf die Daten ausgeschlossen ist.
Welche hochsicheren Cloud-Dienste gibt es?
Dafür sorgt beispielsweise Uniscons international patentierte Sealed-Cloud-Technologie, die unter anderem in Uniscons Business-Cloud idgard® zum Einsatz kommt.
Ein weiterer Sealed-Cloud-Dienst ist etwa ucloud von regio IT. Mit uniscons Sealed Cloud als Basis für SaaS-, IoT- und M2M-Angebote können Unternehmen außerdem alle Arten von sicherheitskritischen Cloud-Anwendungen verwirklichen. „Dann sind die Daten auch im Falle einer Übernahme durch US-amerikanische Unternehmen weiterhin geschützt, da ein Zugang schon rein technisch ausgeschlossen ist“, sagt Jäger.
Bei der Suche nach einem passenden Cloud-Dienst könnten Zertifikate helfen, beispielsweise nach dem Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP). Das TCDP-Nachfolgeprojekt AUDITOR befindet sich derzeit noch in der Entwicklung.
Sie haben Fragen oder möchten uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.
