header_corporate-blog_2019_1920x559px

US Cloud Act vs. europäische DSGVO: grenzenlose Cloud-Nutzung stößt an nationale Gesetze

ChristianGolzIm Juni 2019 beginnen Verhandlungen von erheblicher Tragweite für Unternehmen, die ihre Daten in der Public Cloud speichern. Die EU und USA wollen dann einen Rahmenvertrag aushandeln, der den US-amerikanischen Cloud Act („Clarifying Lawful Overseas Use of Data Act“) mit der europäischen DSGVO in Einklang bringt. Wie ein fehlendes Puzzlestück soll das neue Vertragswerk festlegen, unter welchen Umständen staatliche Stellen auf Daten zugreifen können, die auf Servern im jeweils anderen Land gespeichert sind. Dies kann die Daten europäischer Unternehmen betreffen, die bei Public-Cloud-Anbietern wie Amazon Web Services, Google, Microsoft Azure oder Oracle gespeichert sind und verarbeitet werden.

Das Thema Daten hat natürlich seit Inkrafttreten der DSGVO eine noch höhere Bedeutung. Mit ihren saftigen Bußgeldern für Verstöße (bis zu 20 Millionen Euro oder 4 % des Umsatzes) ist die Datenschutz-Grundverordnung nicht zu unterschätzen. In ihrem Artikel 48 ist auch geregelt, wie mit Anfragen von Behörden aus Nicht-EU-Ländern umgegangen werden soll. Nur wenn sie auf einer internationalen Übereinkunft, wie etwa einem Rechtshilfeabkommen basieren, sind sie zulässig.

Leitfaden für die Planung und Durchführung von Cloud-Computing-Projekten Hier downloaden!

Weitgehende Zugriffsrechte für US-Behörden

Im Gegensatz dazu steht der Cloud Act. Er gibt US-Behörden das Recht, auch auf Daten auf EU-Servern zuzugreifen, solange der Besitzer US-Bürger ist, in den USA lebt oder es sich um eine in den USA registrierte Firma handelt. Somit sind die DSGVO-Rechte sowohl bei der Zustimmung zur Datenweitergabe als auch zur Auskunft darüber erheblich beschnitten. Bürger von Drittstaaten stehen nur dann Kontrollmöglichkeiten zu, wenn ein Datenaustauschabkommen zwischen dem Staat ihres Wohnsitzes und den USA dies regelt.

Diesen Widerspruch zwischen US-Ansprüchen und EU-Schutzrechten an Daten auf EU-Servern, soll Artikel 48 der DSGVO aufheben. Er gestattet diese Weitergabe von Daten im Rahmen einer internationalen Übereinkunft wie etwa eines Rechtshilfeabkommens. Weiterhin führt der zugehörige Erwägungsgrund 115 aus, dass eine Aushebelung des mit der DSGVO definierten Schutzniveaus durch den Cloud Act verhindert werden soll.

cloudact_vs_dsgvo

Für Kompatibilität zwischen US Cloud Act und DSGVO: neuer Vertrag notwendig

Das derzeit gültige Rechtshilfeabkommen zwischen USA und EU stammt aus dem Jahr 2009. Es kann heute mehrere Monate dauern, bis einem Ersuchen nach der Weitergabe von Daten im Rahmen dieses Abkommens entsprochen wird. Es wird der Realität internetbasierter Ermittlungen nicht gerecht, und bedarf deswegen der Anpassung. Zudem berücksichtigt es die Forderungen der DSGVO nicht, weshalb nun der neue Rahmenvertrag verhandelt wird.

Er wird allerdings noch eine Weile auf sich warten lassen. Die Frage ist deshalb: wie können Unternehmen heute sicherstellen, dass sie nicht zwischen die Fronten von Cloud Act und DSGVO geraten – dass ihre Daten und die Daten ihrer Kunden nicht entgegen der Vorschriften der DSGVO von einem Public-Cloud-Provider an staatliche Stellen in den USA weitergegeben werden? Hier bieten sich aktuell zwei Optionen an: die Wahl eines rein EU-europäischen Cloud-Providers oder bzw. und „Bring your own key“, also die Hardware-unterstützte Verschlüsselung der Daten beim Cloud-Provider.

Warum die erste Option möglicherweise die Probleme nicht auf Dauer löst und was es mit „Bring your own key“ oder „Bring your own encryption“ auf sich hat, erkläre ich in Teil 2.

Weiterführende Informationen

Bild: niu niu from unsplash

Topics: Cloud Computing GDPR