EU-DSGVO vs. Cloud Act

Zwei Systeme auf Kollisionskurs?

Im März 2018 erließ die US-Regierung den Cloud Act, im Mai desselben Jahres trat die EU-DSGVO in Kraft. Beide Verordnungen stehen für den Wunsch, mehr Rechts­sicherheit zu schaffen und missbräuchlicher Nutzung vorzubeugen. Dennoch entsteht durch ihre unterschiedlichen Ausrichtungen bei derzeitiger Rechtslage ein Spannungsfeld, das für Unternehmen einige Risiken birgt, wie Michael Scheffler, Area Vice ­President EMEA bei Bitglass, im Interview aufzeigt.

Michael Scheffler, Area Vice ­President EMEA bei Bitglass

Michael Scheffler, Area Vice ­President EMEA bei Bitglass

IT-DIRECTOR: Herr Scheffler, die DSGVO verfolgt die Ziele, personenbezogene Daten zu schützen und den freien Datenverkehr innerhalb der EU zu gewährleisten. Welche grundlegenden Ziele verfolgt der Cloud Act?
M. Scheffler:
Der „Clarifying Lawful Overseas Use of Data Act“ (kurz: Cloud Act) dient dazu, US-Behörden die Ermittlungen in Strafverfahren zu erleichtern. Er ermöglicht ihnen den Zugriff auf Kommunikationsdaten, die im Ausland gespeichert sind. Vorausgegangen war dem Cloud Act ein Strafverfahren, in dem Microsoft dazu aufgefordert wurde, zu Ermittlungszwecken die zu einem Angeklagten gespeicherten Daten auf Servern in den USA und Irland zu übermitteln. Microsoft verweigerte die Herausgabe der in Irland gespeicherten Daten, da dies gegen geltendes Recht verstoße. Das Einholen von Daten aus dem Ausland wird im Allgemeinen über ein Rechtshilfeersuchen erledigt, sofern ein entsprechendes bilaterales Abkommen zwischen den betreffenden Staaten besteht. Dabei setzen sich beispielsweise US-Behörden mit den Ermittlungsbehörden im Ausland in Verbindung. Diese wiederum kontaktieren anschließend die Kommunikationsdienstanbieter vor Ort. Dieser Prozess dauert in der Regel mehrere Monate und erfordert eine richterliche Anordnung.

Gemäß Cloud Act kann die Aushändigung von Kommunikationsdaten aus dem Ausland nun unmittelbar auf Veranlassung der US-Behörden erfolgen. Eine richterliche Anordnung ist nicht mehr erforderlich. Kommunikationsdienstleister sowie Betreiber von Cloud-Diensten und -Infrastrukturen sind damit verpflichtet, die geforderten Daten auszuhändigen. Der Cloud Act gesteht ihnen allerdings zu, dies zu verweigern, falls sie selbst gegen geltendes Recht verstoßen, wenn sie der Anfrage nachkommen. Aus diesem Grund plant die US-Regierung, mit anderen Staaten weltweit bilaterale Abkommen zu schließen, in denen der Rahmen für die Art des Zugriffs abgesteckt werden soll.

IT-DIRECTOR: In welchen Punkten kollidieren diese beiden Verordnungen?
M. Scheffler:
Die europäische DSGVO verlangt einen besonderen Schutz personenbezogener Daten, während der Cloud Act von den Auftragsdatenverarbeitern im Bedarfsfall die Herausgabe derselben fordert. Aus den Bestimmungen der DSGVO geht hervor, dass Unternehmen, die personenbezogene Daten verarbeiten, die Kontrolle über diese behalten müssen. Sie müssen dazu in der Lage sein, ihren Kunden jederzeit darüber Auskunft zu geben, welche Daten sie wo gespeichert haben, und diese auch auf Wunsch löschen. Entscheiden sie sich dazu, personenbezogene Daten über Cloud-Services zu hosten, müssen sie dafür Sorge tragen, dass seitens des Cloud-Anbieters kein unberechtigter Zugriff auf die Daten erfolgen kann.

Die weitreichenden Zugriffsrechte des Cloud Act sorgen formal dafür, dass Unternehmen dieser Verpflichtung nicht mehr nachkommen können. Die US-Behörden können bei den von ihnen gewählten Cloud-Anbietern Daten anfordern, während diese nicht dazu verpflichtet sind, die Nutzer oder die betroffenen Personen darüber in Kenntnis zu setzen. Des Weiteren kann nur der Anbieter vor Gericht Widerspruch gegen die Herausgabe einlegen.

IT-DIRECTOR: Worin liegt die Gefahr des Cloud Act für europäische Unternehmen?
M. Scheffler:
Derzeit schafft der Cloud Act eine formale Lücke zur DSGVO, vor allem für Unternehmen, die Cloudservices nutzen. Entscheiden sie sich bei der Verarbeitung personenbezogener Daten beispielsweise für Anbieter, die in den Geltungsbereich des Cloud Act fallen, so kann man den cloud-nutzenden Unternehmen gemäß DSGVO vorwerfen, sie hätten das Risiko, dass personenbezogene Daten an Unbefugte weitergegeben werden, billigend in Kauf genommen.

Im Großen und Ganzen liegt der Widerspruch, den der Cloud Act hervorruft, darin, dass die Unternehmen zwar alle Vorgaben der DSGVO formal erfüllen können, es aber keine Gewissheit darüber gibt, ob dies tatsächlich der Fall ist.

IT-DIRECTOR: Warum greift es zu kurz, seine Daten „einfach“ bei Cloud-Anbietern abzulegen, die ihre Rechenzentren innerhalb der EU betreiben?
M. Scheffler:
Werden personenbezogene Daten außerhalb des EU-Raums – also in Drittstaaten – verarbeitet, müssen Unternehmen laut DSGVO bei der Zusammenarbeit mit Cloud-Anbietern noch weitere Vorgaben erfüllen. Um diesen zusätzlichen Aufwand zu vermeiden, der eine eingehende Überprüfung der gültigen Datenschutzstandards in dem Drittstaat und des dort ansässigen Cloud-Anbieters erfordern würde, war es bislang gängige Praxis, sich für einen Anbieter mit EU-Rechenzentren zu entscheiden.

Vor dem Hintergrund des Clouds Act ist der Blick auf den Standort der Rechenzentren allerdings nicht mehr länger ausreichend: Nutzt man europäische Rechenzentren eines US-amerikanischen Cloud-Anbieters, besteht nun theoretisch die Gefahr, dass ein Zugriff auf die Daten erfolgt. Darüber hinaus können nun auch Anbieter, die sowohl über einen Firmensitz als auch über Rechenzentren in der EU verfügen“, selbst dann unter die Auskunftspflicht des Cloud Act fallen, wenn sie eine Niederlassung in den USA unterhalten. Das bedeutet: Unternehmen, die sich für einen europäischen Anbieter entscheiden, auf den einer dieser Punkte zutrifft, setzen die Daten dem Risiko der Übermittlung in Staaten außerhalb der EU aus. Beides verstößt gegen die DSGVO.

Dies ist ein Artikel aus unserer Print-Ausgabe 11/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Unternehmen, die die Verarbeitung personenbezogener Daten in der Cloud planen, müssten daher eine noch größere Sorgfalt in der Auswahl ihrer Anbieter walten lassen und gegebenenfalls ihre Verträge mit ihnen entsprechend anpassen. Beispielsweise wäre es denkbar, den Anbieter vertraglich zu verpflichten, den Nutzer über eine Expansion in die USA zu informieren.

Bildquelle: Bitglass

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok