Cloud-Act gegen DSGVO - was tun?

Im Jahr 2018 sind zwei neue Gesetzgebungen implementiert worden, eines in der EU und ein Anderes in den USA, welche die Online-Datenverarbeitung von Individuen weitgreifend beinflussen sollen. Diese zwei neuen Gesetze sind jedoch so Gegenteilig wie sie nur sein können. Das eine ist als Cloud-Act und das andere als General Data Protection Regulation (GDPR) oder auch als Datenschutz-Grundverordnung (DSGVO) bekannt.

Dieser Blogeintrag versucht verständlich die Unterschiede der beiden Gesetze vorzustellen und deren Konflikt hervorzuheben. Ziel ist es, Endnutzern und Firmen vor Augen zu führen, worauf man bei der Speicherung von sensiblen Dateien auf der Cloud achten muss, um nicht ungewollt eigene Dateien an Dritte, in diesem Fall den Staat, weiterzugeben und, für Unternehmen, gegen die DSGVO-Regelungen zu verstoßen.

Cloud-Act

Zuallererst muss auf beide Gesetze eingegangen werden: Was verlangt der Cloud-Act, was verlangt die DSGVO? Der Cloud-Act verpflichtet amerikanische Unternehmen dazu, US-Behörden weltweit den vollen Zugriff auf Daten und u.a. auch auf personenbezogene Informationen zu gewähren. Dies soll der US-amerikanische Strafverfolgung erleichtern, den Zugriff auf im Ausland gespeicherte Kommunikationsdaten von Verdächtigen zu verlangen.

Daten von Unternehmen wie beispielsweise Microsoft, Google oder Amazon können sofort und legal angefordert werden, ohne, dass die Zustimmung eines Richters von Nöten wäre. In so einem Fall wäre zum Beispiel ein Cloudanbieter nicht dazu verpflichtet, den, oder die, Betroffenen über die Herausgabe Ihrer Daten zu benachrichtigen.

Daten können also ohne der Einwilligung, geschweige denn nach einer Benachrichtigung eingesehen, verarbeitet und genutzt werden. Vor allem davon betroffen sind Anbieter elektronischer Kommunikationsdienste sowie Remote-Computing-Dienste, also insbesondere Cloud-Anbieter, die dem US-Recht unterstehen. Hinzu ordnet sich dieses Gesetz denen anderer Länder, und Unionen, über.

Hier finden Sie das Gesetz der Cloud-Act.

DSGVO

Die DSGVO will hingegen einen anderen Weg einschlagen und die Verarbeitung personbezogener Dateien im Internet stark einschränken und regulieren. Kurz: die individuelle Privatsphäre im Netz soll in der EU gestärkt werden. Dies soll für alle Firmen gelten, die Ihre Dienste in der EU anbieten. Was man also sieht ist, dass sich diese zwei, sehr konträren Gesetze in der EU überschneiden. Wonach sollen sich Firmen, die Cloud-Lösungen anbieten und Firmen die Cloud-Lösungen nutzen, also richten?

Vor allem Firmen, die sensible Dateien auf Amerikanischen, oder nicht-europäischen Cloud-Servern speichert, muss mit der Verarbeitung der auf der Cloud gespeicherten Dateien rechnen. Da Firmen in der EU verpflichtet sind Dateien DSGVO-konform zu behandeln, Sie diese Dateien aber unter dem Cloud-Act speichern, verstoßen diese gegen das DSGVO-Gesetz, was Strafzahlungen zur Folge haben kann.

Ein Unternehmen muss nicht in den USA gegründet worden sein, um dem Cloud Act zu unterliegen. Es reicht aus, wenn es eine signifikante Präsenz in den USA hat, um als amerikanisches Unternehmen gewertet zu werden. Damit gilt die Herausgabe von Daten aufgrund des Cloud Acts auch, wenn diese gar nicht in Übersee gespeichert werden. Der Act kann also Daten betreffen, die auf Servern in Deutschland oder innerhalb der EU liegen.

Dies bedeutet also, wenn Unternehmen personenbezogene Daten in der Cloud verarbeiten, müssen sie sicherstellen, dass dabei das in der Europäischen Union geforderte Datenschutzniveau eingehalten wird. Dementsprechend ist es in europäischen Unternehmen ,best practice‘, sich für einen strikt europäischen Cloud-Anbieter mit Rechenzentren in der EU zu entscheiden. Damit ist allerdings nicht automatisch sichergestellt, das der geforderte DSGVO Standard erfüllt ist. Da der Cloud-Act sich auf Unternehmen weltweit beschränkt, die eine Niederlassung in den USA unterhalten oder dort einer Geschäftstätigkeit nachgehen, können auch in der EU von US-Firmen aufgekaufte Tochterfirmen vom Cloud-Act betroffen sein.

Hier finden Sie das Gesetz der DSGVO.

To amend title 18, United States Code, to improve law enforcement access to data stored across borders, and for other purposes.

Unternehmensdaten müssten somit sowohl während der Übertragung als auch in den Cloud-Speicherorten zuverlässig gesichert und verschlüsselt werden. Ergänzend dazu sei für ein möglichst hohes Sicherheitsniveau ein angemessenes Schlüsselmanagement ratsam. Alle Keys sollten unternehmensintern gehostet werden.

Wer auf Nummer sicher gehen möchte, kann diese außerdem ,on-Premises‘ in einem Hardware-Sicherheitsmodul verwahren. Auf diese Weise erlangen Unternehmen nicht nur Kontrolle über ihre Daten zurück. Sie erfüllen auch die Sicherheitsvorgaben im Sinne der DSGVO: Werden verschlüsselte Daten entwendet, sind sie für Unbefugte wertlos.

Um solche Probleme vorzubeugen besuchen Sie bitte unsere Datenschutz & Sicherheit Seite.