Der US-Amerikanische Cloud Act steht im Widerspruch zur DSGVO. In meinem letzten Post «US Cloud Act vs. europäische DSGVO: grenzenlose Cloud-Nutzung stößt an nationale Gesetze» habe ich ausgeführt, welche Schwierigkeiten das für Unternehmen mit sich bringt. Heute möchte ich darauf eingehen, warum die Wahl eines Cloud-Providers aus der EU keine dauerhafte Lösung sein dürfte, und wie Bring You Own Key einen Ausweg aus dem Dilemma bietet.

Im Juni 2019 beginnen Verhandlungen von erheblicher Tragweite für Unternehmen, die ihre Daten in der Public Cloud speichern. Die EU und USA wollen dann einen Rahmenvertrag aushandeln, der den US-amerikanischen Cloud Act („Clarifying Lawful Overseas Use of Data Act“) mit der europäischen DSGVO in Einklang bringt. Wie ein fehlendes Puzzlestück soll das neue Vertragswerk festlegen, unter welchen Umständen staatliche Stellen auf Daten zugreifen können, die auf Servern im jeweils anderen Land gespeichert sind. Dies kann die Daten europäischer Unternehmen betreffen, die bei Public-Cloud-Anbietern wie Amazon Web Services, Google, Microsoft Azure oder Oracle gespeichert sind und verarbeitet werden.

Die meisten Unternehmen erleben die digitale Transformation mittlerweile am eigenen Leib. Die damit verbundenen Change Prozesse werden oft als mühsam wahrgenommen, können aber grosse Chancen bergen. Ein oft übersehener Teilaspekt der digitalen Transformation ist der Datenschutz. Je bedeutender die Daten für den Unternehmenserfolg, desto wertvoller ist er. Dem trägt die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung DSGVO Rechnung. Jedes Unternehmen, das mit persönlichen Daten arbeitet, muss sie schützen. Außerdem muss das Unternehmen belegen, dass es ein berechtigtes Interesse an der Datenspeicherung hat und dafür die Erlaubnis vorliegt. Das ist wie ein Erdbeben für viele Firmen.

Es bleiben nur noch wenige Tage bis zum 25. Mai 2018 – dann tritt die EU-weite Datenschutzgrundverordnung in Kraft (engl.: GDPR). Sie betrifft alle Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten. Ab Ende Mai droht den Unternehmen, die dieses Thema bisher erfolgreich ignoriert haben, Post vom Abmahnanwalt oder Schlimmeres: Die neue Verordnung sieht millionenschwere Strafen vor. Was können Verantwortliche jetzt noch tun, um das zu verhindern?

Zu allererst: keine Panik. Die DSGVO erlaubt auch weiterhin jede Verarbeitung von Daten. Die EU-Verordnung regelt im Wesentlichen in der Europäischen Union die Rechte der Verbraucher, d.h. der von der Datenverarbeitung Betroffenen, neu. Zudem erschliesst die DSGVO nicht nur Neuland: Das bisher gültige Bundesdatenschutzgesetz (BDSG) hat die meisten Punkte bereits abgedeckt. Zu beachten sind aber vor allem zwei Neuerungen: das Recht auf Widerspruch bei automatisierter Fallentscheidung (Artikel 22) und die Datenportabilität (Artikel 20).