Schatten über der DSGVO: Welche Fragen der CLOUD Act für europäische Unternehmen aufwirft

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt. Nicht nur für Cloudanbieter, sondern auch für Unternehmen, die Cloudanwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen.

Anliegen des »Clarifying Lawful Overseas Use of Data« (CLOUD) Act ist es, die US-amerikanische Strafverfolgung zu erleichtern, indem der Zugriff auf im Ausland gespeicherte Kommunikationsdaten von Verdächtigen vereinfacht wird. Was bislang im Rahmen von Rechtshilfeabkommen zwischen den Regierungsbehörden verschiedener Länder im Laufe mehrerer Monate abgewickelt wurde, soll nun schneller möglich sein. Gemäß CLOUD Act können US-Ermittlungsbehörden Daten direkt von Unternehmen wie beispielsweise Microsoft, Google oder Amazon anfordern. Eingeschlossen sind damit auch Daten, die auf Servern im Ausland gespeichert sind. Betroffen davon sind nicht nur Verkehrsdaten sondern auch Inhaltsdaten. Eine richterliche Anordnung benötigen die Ermittler für die Anforderung nicht. Der Cloudanbieter wiederum ist nicht dazu verpflichtet, die Betroffenen über die Herausgabe der Daten zu unterrichten.

Dies steht im Widerspruch zu den Bestimmungen der Datenschutzgrundverordnung. Kommt es zu einer Anfrage nach in Europa gespeicherten Datensätzen, könnten Cloudanbieter nur eines der beiden Gesetze – CLOUD Act oder DSGVO – einhalten. Zwar macht der CLOUD Act die Einschränkung, dass die Herausgabe von Daten nur erfolgen soll, sofern dadurch keine nationalen Gesetze gebrochen werden. Für diese Fälle sollten bilaterale Abkommen geschlossen werden, die die Art des Zugriffs weiter regeln sollen. Jedoch befinden sich die entsprechenden Verhandlungen zwischen der Europäischen Union und den Vereinigten Staaten erst am Anfang. Somit herrscht gegenwärtig rechtliche Unsicherheit. Die Tatsache, dass die großen Anbieter geschlossen den CLOUD Act begrüßt hatten, beunruhigt europäische Datenschützer zusätzlich und veranlasst dazu, die aktuellen Auswirkungen auf die DSGVO genauer zu evaluieren. Neben der unmittelbaren Verletzung der durch die DSGVO geschützten Persönlichkeitsrechte bringt der CLOUD Act theoretisch auch Auswirkungen für Unternehmen mit sich, die die Cloud nutzen.

Anzeige

 

CLOUD Act kann auch für europäische Cloudprovider gelten

Verarbeiten Unternehmen personenbezogene Daten in der Cloud, müssen sie sicherstellen, dass dabei das in der Europäischen Union geforderte Datenschutzniveau eingehalten wird. Dementsprechend ist es in europäischen Unternehmen best practice, sich für einen Cloudanbieter mit Rechenzentren in der EU zu entscheiden. Nun ist damit allerdings nicht mehr automatisch sichergestellt, dass der geforderte Standard erfüllt ist. Warum? Weil der CLOUD Act sich nicht auf Firmen mit Hauptsitz in den USA beschränkt. Er bezieht sich auf Unternehmen weltweit, die eine Niederlassung in den USA unterhalten oder dort einer Geschäftstätigkeit nachgehen.

Anzeige

Damit ist der Blick auf den Unternehmenssitz und den Verarbeitungsstandort eines Unternehmens nicht mehr ausreichend, um seiner Sorgfaltspflicht im Rahmen der DSGVO nachzukommen. Unternehmen, die die Verarbeitung personenbezogener Daten in der Cloud planen, müssten daher eine noch größere Sorgfalt in der Auswahl ihrer Cloudanbieter walten lassen und gegebenenfalls ihre Verträge mit ihnen entsprechend anpassen. Beispielsweise wäre es denkbar, den Cloudanbieter vertraglich zu verpflichten, den Nutzer über eine Expansion in die USA und damit in den Gültigkeitsbereich des CLOUD Acts, zu informieren.

 

Vertraulichkeit in Gefahr

Vor dem Hintergrund des CLOUD Acts sehen Datenschützer außerdem die Nutzung populärer Cloudanwendungen mit Sorge, sofern davon personenbezogene Daten betroffen sind. Stellen US-Behörden eine Anfrage zu bestimmten Personendaten bei einem großen Cloudanbieter, besteht theoretisch die Gefahr, dass die mit der betroffenen Person verbundenen, in einem Unternehmen verarbeiteten Daten aus Cloudanwendungen herausgegeben werden. Da ein Zugriff durch US-Behörden auf diese Daten nicht ausgeschlossen werden kann, ist auch hier womöglich das geforderte Datenschutzniveau nicht erfüllt und die Persönlichkeitsrechte nicht ausreichend gewahrt. Demzufolge begehen Unternehmen nach DSGVO-Lesart einen Verstoß: Indem sie sich für Cloudanwendungen eines US-Anbieters entscheiden, nehmen sie das Risiko eines unberechtigten Zugriffs Dritter in Kauf. Ihrer Verpflichtung zu einer Datenschutz-Folgenabschätzung wären sie dementsprechend nicht ausreichend nachgekommen.

 

Zero Trust-Policy für unternehmenseigene Daten

Angesichts der laufenden Verhandlungen zwischen der Europäischen Union und den USA erscheint es zwar unwahrscheinlich, dass Cloudnutzer gegenwärtig auf Grund der eben erläuterten Szenarien Konsequenzen im Zuge der DSGVO befürchten müssen.

An der zu Grunde liegenden Problematik ändert dies allerdings nichts: Die DSGVO verlangt von Unternehmen vollständige Kontrolle über die von ihnen erhobenen Daten und zwar über die gesamte Verarbeitungskette hinweg. Der CLOUD Act, der sich über diese Ebene hinwegsetzt, unterminiert diese Kontrollfunktion. Für Unternehmen steht außerdem die Frage im Raum, inwieweit betriebsinterne Informationen von den Zugriffsrechten des CLOUD Act beeinträchtigt sein könnten. Sollten im Zuge von Ermittlungen auch Unternehmensdaten an die Behörden übergeben werden, wüssten die betroffenen Unternehmen darüber nicht Bescheid. Ebenso wenig hätten sie Kenntnis darüber, ob, wo und wie lange ihre Daten aufbewahrt werden oder ob noch weiteren Behörden darauf Zugriff ermöglicht wird.

Derartige Szenarien führen vor Augen, dass künftig in der Cybersecurity-Strategie von Unternehmen nicht nur die Sicherheit von Daten, sondern auch die Kontrolle über diese einen hohen Stellenwert einnimmt. Eine Zero Trust-Policy, deren Maßnahmen auf Datenebene ansetzen, ist daher bei der Nutzung von Cloudanwendungen langfristig der richtige Weg. Unternehmensdaten müssen sowohl während der Übertragung als auch in den Cloudspeicherorten zuverlässig gesichert und verschlüsselt werden. Ergänzend dazu ist für ein möglichst hohes Sicherheitsniveau ein angemessenes Schlüsselmanagement ratsam. Alle Keys sollten unternehmensintern gehostet werden. Wer auf Nummer sicher gehen möchte, kann diese außerdem on-Premises in einem Hardware-Sicherheitsmodul verwahren. Auf diese Weise erlangen Unternehmen nicht nur Kontrolle über ihre Daten zurück. Sie erfüllen auch die Sicherheitsvorgaben im Sinne der DSGVO: Werden verschlüsselte Daten entwendet, sind sie für Unbefugte wertlos.

Michael Scheffler, Area VP EMEA, Bitglass

 

459 Artikel zu „DSGVO CLOUD“

Auswahl von Cloud-Anbietern und DSGVO: Fünf Tipps für klare Sicht in der Cloud

Die Nutzung von Cloudservices ist für viele Unternehmen eine betriebliche Notwendigkeit geworden. Werden personenbezogene Daten in die Cloud ausgelagert, gelten bei der Auswahl eines Cloudanbieters jedoch besondere Vorgaben durch die DSGVO. Um die Compliance-Vorgaben bestmöglich zu erfüllen, sollten Unternehmen einige wesentliche Punkte beachten. Für Cloudservices gilt das Modell der Shared Responsibility, das heißt, dass sowohl…

CLOUD Act hebelt DSGVO aus

Die europäische Daten­schutz­grundverordnung hat für einigen Aufwand bei den Unternehmen und Organisationen innerhalb Europas gesorgt und sorgt noch immer dafür, denn erst ein Viertel ist mit der vollständigen Umsetzung bisher fertig geworden. Dennoch wird die DSGVO weithin als Errungenschaft in Sachen Schutz der persönlichen Daten angesehen.  Alles in bester Ordnung? Nicht ganz. Denn in den…

DSGVO erschwert Durchsetzung von Cloud Computing

37 Prozent der deutschen Unternehmen erwägen, ihre Investitionen in Public-Cloud-Services zurückzufahren. Mehr als ein Fünftel der deutschen IT-Entscheider ist nicht sicher, wo die Datenzentren der Service-Provider und ihre Datenbestände liegen. Fast zwei Drittel sehen die Verantwortung für die Datenkonformität bei der Firma, die die Daten produziert.   Ob Infrastructure as a Service (IaaS), Platform as…

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

  Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in…

WhatsApp, Cloud-Dienste, Business-Apps & Co: Auch die interne Unternehmenskommunikation muss DSGVO-konform sein

In fünf Wochen gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) verbindlich für jedes europäische Unternehmen. Bis zum Stichtag am 25. Mai gibt es noch viel zu tun: »Es genügt allerdings nicht, nur die Kommunikation mit Kunden oder die Website abzusichern. Auch die interne Unternehmenskommunikation muss DSGVO-konform gestaltet werden«, mahnt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP (www.psw-group.de).…

Mittelständische Wirtschaft: DSGVO macht die Cloud weniger attraktiv

Hacker und Datenmissbrauch steigern Nachfrage nach sicheren eigenen Netzwerken. Mittelständische Unternehmen sind der Erfolgsfaktor der deutschen Wirtschaft, ergeben die Zahlen des Bundesministeriums für Wirtschaft. 99 Prozent aller Unternehmen in Deutschland sind Mittelständler, erwirtschaften mehr als 50 Prozent der Wertschöpfung und stellen knapp 60 Prozent aller Arbeitsplätze. Die Digitalisierung wird massiv vorangetrieben – das Misstrauen gegenüber…

Datensicherheit 2018: Ransomware, RPO/RTO, Cloud und DSGVO 2018 im Trend

Intervall zwischen Ransomware-Attacken sinkt von 40 auf 14 Sekunden. Partnerschaften zwischen Datensicherheit und IT-Sicherheit gegen Ransomware. Fehler in der Datensicherung immer unternehmenskritischer bewertet. Disaster-Recovery-as-a-Service-Markt wird bis 2020 auf rund 12 Milliarden US-Dollar wachsen. Datenschutzbeauftragte und Datenschutz-Compliance im Blickpunkt. Vier Trends in Sachen Datensicherheit für das Jahr 2018 sieht Arcserve. Angesichts des wachsenden Risikos Ransomware suchen…

DSGVO-Verstöße bei beruflicher Smartphone-Nutzung an der Tagesordnung

Trotz DSGVO sind »Bring your own Device« (BYOD) und Privatnutzung von Diensthandys immer noch weit verbreitet. Eine everphone-Umfrage offenbart: 43 Prozent nutzen ihr privates Smartphone auch im Job [1]. Und das obwohl laut Bitkom bereits jeder fünfte Arbeitnehmer ein Geschäftshandy hat und Unternehmen heute überwiegend (65 Prozent) mobile Endgeräte zur Verfügung stellen. Andererseits werden Firmenhandys…

Acht Überlegungen für eine erfolgreiche Cloud-Implementierung

Cloud Computing hat komplette Branchen verändert und verdrängt traditionelle Legacy-Infrastrukturen in Unternehmen. Sogar Regierungen, die traditionell neue Technologien eher langsam für sich entdecken, nutzen heute die Vorteile der Cloud. Im Zuge all dieser Entwicklungen sind Cloud-Native-Strategien zur Norm geworden. Bei Cloud-Native geht es jedoch nicht einfach nur darum, die Cloud gegenüber anderen Modellen vorzuziehen. Der…

Effizientes Datenmanagement im Sport – Profiteams setzen vermehrt auf Cloud Data Management

Profisport ist ein großes Geschäft. Da die Teams auf der Suche nach einem Vorsprung sowohl auf dem Feld als auch außerhalb des Feldes sind, nutzen viele Vereine den technologischen Fortschritt und Big Data, um Spielern und Fans das bestmögliche Spielerlebnis zu bieten. Die Daten werden nicht nur verwendet, um Strategien für den Gewinn von Meisterschaften…