Seit dem Frühjahr 2018 gibt es einen Konflikt zwischen der Europäischen DSGVO und dem US-amerikanischen CLOUD Act. Was hinter der Regelung steckt und wie Mittelständler dem Konflikt aus dem Weg gehen können.
Das US-amerikanische und das europäische Datenschutzrecht befinden sich auf Kollisionskurs. Viele mittelständische Unternehmen in Deutschland sollten sich der weitreichenden Auswirkungen bewusst sein, wenn sie über Softwarelösungen und Dienste aus der Cloud nachdenken.
Seit März dieses Jahres steht der Begriff CLOUD als Abkürzung für »Clarifying Lawful Overseas Use of Data«, also die Klärung der gesetzmäßigen Verwendung ausländischer Daten. Das zugehörige US-Gesetz trägt den Titel CLOUD Act und steht aufgrund seiner Natur in Widerspruch zu europäischen Datenschutz- und Sicherheitsbestimmungen:
Unternehmen, die ihren Firmensitz in den USA haben, sind nun nicht mehr nur im Rahmen des sogenannten Patriot Act zur Kooperation mit den Ermittlungsbehörden ihres Landes verpflichtet. Sie sind es auch dann, wenn sie Nutzungs- und Kundendaten auf Servern außerhalb der Vereinigten Staaten verarbeiten und selbst wenn sie eigene Rechenzentren in Deutschland oder im sonstigen Geltungsbereich europäischer Gesetze wie der DSGVO (Datenschutzgrundverordnung) unterhalten.
Mit Inkrafttreten des CLOUD Act ist nun auch der Schlusspunkt unter ein Gerichtsverfahren gesetzt, das Microsoft jahrelang durch alle Instanzen verfolgt hatte: Das Unternehmen hatte sich gegen die Herausgabe von Daten auf ihren Servern in Irland gewehrt und bis zum obersten amerikanischen Gerichtshof geklagt. Angesichts der neuen gesetzlichen Bestimmungen sieht der Supreme Court jetzt jedoch keine Veranlassung mehr, sein ursprünglich für den Sommer angekündigtes Urteil zu fällen.
Zugriff versus Schutzanspruch. Die spannende Frage für amerikanische Technologie-, Internet- und Cloud-Unternehmen ist, ob und in wieweit der CLOUD Act sie bei ihrem internationalen Geschäft beeinträchtigen kann. Transkontinentale Konflikte beim Datenschutz und der Konformität mit den Bestimmungen der europäischen Datenschutzgrundverordnung (DSGVO) scheinen kaum vermeidbar zu sein. Das gilt vor allem für den in der EU gültigen Anspruch auf Auskunft zum Umgang und zur Weiterverwendung personenbezogener Daten: Der CLOUD Act untersagt, Betroffene über Datenweitergaben zu informieren, die DSGVO hingegen beinhaltet die Auskunftspflicht.
Nicht nur deshalb bezweifeln Juristen und Datenschützer auf beiden Seiten des Atlantiks, dass die aktuellen Rechtsgrundlagen für eine Umsetzung des US-Gesetzes auf europäischem Boden ausreichend sind. Laut DSGVO darf eine Offenlegung und Weitergabe von Nutzer- und Kundeninformationen an Behörden in »Drittländern« (also Staaten außerhalb der EU) nur dann erfolgen, wenn offizielle Rechtshilfeabkommen und verbindliche Übereinkunft mit dem jeweiligen Drittland bestehen.
Als besonders kritisch in diesem Zusammenhang gilt daher die Abwesenheit gerichtlicher Kontrolle, die der CLOUD Act vorsieht. Demnach brauchen US-Behörden keine richterlichen Durchsuchungsbeschlüsse mehr und können ein langes Stück der aktuellen internationalen Rechtswege umgehen.
Compliance als Konfliktfeld. Für amerikanische Technik- und Internetkonzerne sind die neuen Bestimmungen ein zweischneidiges Schwert: Wenn sie US-Behörden Daten aushändigen, die auf ihren Servern in Europa gespeichert sind, könnte dies im Geltungsbereich der DSGVO als massiver Rechtsverstoß (etwa gegen Art. 48) betrachtet werden. Dieser Aspekt schmälert die Freude, mit der Unternehmen wie Amazon, Apple, Facebook, Google und selbst Microsoft den CLOUD Act im Frühjahr noch als vernünftige und zeitgemäße Leitlinie für den internationalen Datenaustausch begrüßt hatten.
Vom US-Gesetz quasi verlangte Verstöße gegen die DSVGO und deren Ahndung mit Bußgeldern, die bis zu vier Prozent des – weltweiten – Jahresumsatzes oder 20 Millionen Euro betragen können, sind jedoch nur eine Seite der Medaille. Die andere heißt Kundenvertrauen.
Digitalisierung braucht Vertrauen. Für Unternehmen, die ihre Digitalisierung vorantreiben und sich bei der Nutzung von Public Clouds um die Vertraulichkeit sensibler Geschäftsinformationen ebenso sorgen wie um ihre Kundendaten und Gesetzeskonformität, gewinnt eine Frage an Bedeutung: Wo befindet sich der Firmensitz der Anbieter, dessen Lösungen und Cloud-Ressourcen wir nutzen?
Der Grund: Anders als amerikanische Konzerne können regionale Anbieter nicht in die schwierige Lage kommen, Daten von europäischen Servern zwangsweise an US-Behörden weitergeben zu müssen. »Als deutsches Unternehmen unterliegen wir europäischem Recht und sorgen mit umfassendem Know-how für die Sicherheit der Anwendungen und Daten unserer Kunden«, berichtet Michael Padberg, Geschäftsführer der Professionals Telecom PTC. Das Unternehmen aus Wörthsee bietet mittelständischen und Großunternehmen ganzheitliche Voice-, Video- und Web-Kommunikationsinfrastrukturen. Die Sicherheit der Daten ist bei den Gesprächen, die Michael Padberg mit seinen Kunden führt, ein wesentliches Thema. Er weist darauf hin, dass Unternehmen nicht notwendig darauf verzichten müssen, Technologie amerikanischer Anbieter zu nutzen: »Zu unseren Leistungen gehört selbstverständlich auch, dass wir die von Kunden genutzten Lösungen amerikanischer Hersteller quasi treuhänderisch betreuen und gegen unberechtigte Zugriffe schützen.« Allerdings bemerkt Padberg bei seinen Kunden auch einen klaren Trend hin zu privaten Cloud-Lösungen.
Fazit. Noch ist nicht abzusehen, ob und wie schnell neue bilaterale Abkommen zum Datenzugriff und Datenaustausch ausreichende Rechtssicherheit zwischen der EU und den USA schaffen werden. Entscheider in Unternehmen könnten es daher sinnvoller finden, sich von den Business-Plattformen amerikanischer Firmen zurückzuziehen beziehungsweise sich stattdessen von vorn herein regionalen Anbietern zuzuwenden – also Unternehmen mit Hauptsitz innerhalb der EU, die alle ihnen anvertrauten Daten und Anwendungen nach hiesigen Bestimmungen verwalten, speichern und sichern.
www.ptc.de
Illustration: © Aquir, Ink Drop /shutterstock.com
US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen
Das Ende der Microsoft Cloud Deutschland – ein Abgesang und eine sichere Alternative
Wo sich EU- und US-Recht widersprechen – Die Cloud muss Grenzen kennen
Security und Leistung in der Cloud vereinen: Vier Punkte zur Sicherung von Cloud-Anwendungen