Patriot Act... Cloud Act oder DSGVO?

USA versus EU: Was passiert mit den Daten?

| Redakteur: Ulrike Ostler

Zwei konkurrierende Sicherheitsinteressen und die Unsicherheit: Welche Rechtsgrundlage gilt? Wie viel ist die DSGVO angesichts den Cloud Act im Zweifelsfall wert?
Zwei konkurrierende Sicherheitsinteressen und die Unsicherheit: Welche Rechtsgrundlage gilt? Wie viel ist die DSGVO angesichts den Cloud Act im Zweifelsfall wert? (Bild: gemeinfrei - geralt/Pixabay / CC0)

Was passiert eigentlich mit den gespeicherten Daten, wenn ein US-Unternehmen Server in Europa betreibt oder einen deutschen Cloud-Anbieter aufkauft? Cloud-Security-Experte Hubert Jäger, CTO des Münchner Unternehmens Uniscon GmbH, rät Unternehmen zu Sorgfalt.

Länder regeln den behördlichen Zugriff auf Daten individuell. Unternehmen in den USA beispielsweise sind gemäß dem Patriot Act dazu verpflichtet, Daten auf richterliche oder behördliche Anweisung herauszugeben. Innerhalb der EU hingegen ist die Weitergabe von Daten unter anderem durch das Telemediengesetz sowie durch die Datenschutz-Grundverordnung (DSGVO, Art. 48) geregelt.

Das umfasst sowohl personenbezogene Daten als auch Unternehmensdaten und andere schützenswerte Informationen. Kunden, die auf europäische Cloud-Anbieter mit Server-Standorten in der EU setzen, wähnen sich und ihre Daten daher in guten Händen.

Doch wie verhält es sich, wenn ein US-Unternehmen Server in Europa betreibt oder einen deutschen Cloud-Service-Provider bzw. Cloud-Hosting-Anbieter aufkauft? Was geschieht dann mit den Daten? Gilt hier auch weiterhin die DSGVO?

Cloud Act sorgt für Rechtsunsicherheit

Am 23. März 2018 hat US-Präsident Donald Trump den „Cloud Act“ (Clarifying Lawful Overseas Use of Data Act) unterzeichnet. Dieses Gesetz erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten – vorausgesetzt die betroffenen Server sind unter der Kontrolle von US-Unternehmen. Konzerne wie Microsoft, die Server in der EU betreiben und eine Herausgabe von Daten bisher unter Berufung auf den Server-Standort außerhalb der USA verweigern konnten, sind nun also eindeutig zur Herausgabe verpflichtet.

Datenschutz-Experten sehen hier einen klaren Konflikt mit der DSGVO. Diese verbietet Unternehmen nämlich die Übergabe von in der EU gesicherten Daten ohne Rechtshilfeabkommen. Bei einem Verstoß gegen die Pflichten aus Artikel 48 drohen nach Art. 83 DSGVO empfindliche Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Ergänzendes zum Thema
 
Über Uniscon

Betroffene US-Unternehmen, die Server innerhalb der EU betreiben, befinden sich vorerst einmal in einer Zwickmühle: Egal, wie sie sich entscheiden, eines von beiden Gesetzen verletzen sie. Wie aber könnten sie die Daten ihrer Kunden trotzdem zuverlässig schützen?

Datenschutz dank Betreibersicherheit

Hubert Jäger, CTO der TÜV Süd-Tochter Uniscon, sagt: „Sobald Daten für Menschen einsehbar sind, lassen sich auch weitergeben. Vor allem Daten, die verarbeitet werden, liegen bei vielen Cloud-Anbietern unverschlüsselt auf den Verarbeitungs-Servern vor.“

Dr. Huber Jäger
Dr. Huber Jäger (Bild: Uniscon)

Unternehmen, die auf Nummer Sicher gehen wollen, sollten sich demnach für Dienste entscheiden, bei denen auch der Betreiber durch technische Maßnahmen zuverlässig vom Zugriff auf Kundendaten ausgeschlossen ist. Dazu zählen beispielsweise die „Versiegelte Cloud“ der Deutschen Telekom, „Ucloud“ von Regio IT und „Idgard“ von Uniscon mit Uniscons versiegelter Cloud-Plattform als Basis für SaaS-, IoT- und M2M-Angebote. „Dann wären die Daten auch im Falle einer Übernahme durch US-amerikanische Unternehmen weiterhin geschützt, da ein Zugang schon rein technisch ausgeschlossen ist“, sagt Jäger.

Bei der Suche nach geeigneten Diensten können entsprechende Zertifikate helfen, beispielsweise nach dem „Trusted Cloud Datenschutz-Profil“ für Cloud-Dienste (TCDP).

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45433085 / Services)