Vorsicht bei der Nutzung von US-Cloud-Diensten
Schutz vor dem CLOUD Act
Wenn Unternehmen einen Cloud-Anbieter wählen, dessen Sitz sich innerhalb der EU befindet und der zudem nicht über eine signifikante Präsenz in den USA verfügt, dann sind die bei dem Anbieter gespeicherten Informationen vor einem Zugriff unter Berufung auf den CLOUD Act geschützt. Cloud-Anbieter mit Sitz oder einer signifikanten Präsenz in den USA dagegen stehen quasi vor der Wahl, welches Recht sie brechen wollen. Sie sind verpflichtet, US-Behörden Zugriff auf ihre Server zu gewähren, obwohl ihnen das die DSGVO untersagt.
Michael Scheffler differenziert: «Für deutsche Unternehmen, die für die Verarbeitung personenbezogener Daten Cloud-Services nutzen, ist ausschliesslich die DSGVO bindend. Bei Cloud-Anbietern - sofern der CLOUD Act für sie gültig ist - sieht dies anders aus. Leisten sie dem CLOUD Act Folge, handeln sie gegen die DSGVO. Sie könnten womöglich einen Mittelweg finden, indem sie Betroffene über die Anfrage informieren. Der Cloud-Anbieter könnte dann gegebenenfalls in Absprache mit den Betroffenen Widerspruch einlegen.» Da die Rechtslage sich derzeit allerdings noch in Klärung befinde, könne man Cloud-Nutzern nur dazu raten, die Kontrolle über die eigenen Daten zu behalten. «Dies gelingt mit geeigneten Verschlüsselungsverfahren für Cloud-Daten. Wichtig dabei ist, dass die Verschlüsselungs-Keys ausschliesslich in den Händen der Unternehmen verbleiben. Da verschlüsselte Daten für Unbefugte wertlos sind, stellt der Verlust derselben laut Datenschutz-Grundverordnung keinen Sicherheitsvorfall dar.»
Danny O’Neill, Head of Managed Security EMEA beim IT-Dienstleister Rackspace, berichtet: «Der CLOUD Act, der 2018 erlassen wurde, ergänzt den Stored Communications Act (SCA) von 1986, der den Schutz der Privatsphäre für digitale Kommunikation gewährleistet. Der CLOUD Act wirft eine Reihe von Bedenken hinsichtlich der DSGVO auf, insbesondere Kapitel 5, Artikel 44 bis 48. Ich glaube nicht, dass es darum geht, zu entscheiden, welches Gesetz zu brechen ist. Es geht vielmehr darum, anhand des Szenarios festzustellen, welches Vorrang hat.» Jedes Unternehmen, das in mehreren Regionen tätig ist, sollte sicherstellen, dass es bei Abschluss einer Vereinbarung mit einem Dienstleister mit US-Präsenz die Sorgfaltspflicht einhält. «Sie sollten auf einem Vertrag bestehen, der den Anbieter verpflichtet, dies mitzuteilen, wenn er einen Antrag auf Zugang zu den Daten nach dem CLOUD Act erhält.»
“Ich glaube nicht, dass es darum geht, zu entscheiden, welches Gesetz zu brechen ist. Es geht vielmehr darum, anhand des Szenarios festzustellen, welches Vorrang hat.„
Danny O’Neill, Head of Managed Security EMEA bei Rackspace, www.rackspace.com
Wenn sich Unternehmen auf einen europäischen Provider ohne Präsenz in den USA und mit hochsicheren Rechenzentren innerhalb der EU verlassen, dann legt das dem CLOUD Act hohe Hürden in den Weg. Und die Datenschutz-Grundverordnung stellt im Zweifel das schärfere Schwert dar: Im
Juli hat die britische Datenschutzbehörde ICO der Hotelkette Marriott und British Airways Strafzahlungen von über 300 Millionen Euro wegen Verstössen gegen die Datenschutzrichtlinien auferlegt.
Juli hat die britische Datenschutzbehörde ICO der Hotelkette Marriott und British Airways Strafzahlungen von über 300 Millionen Euro wegen Verstössen gegen die Datenschutzrichtlinien auferlegt.
Autor(in)
Andreas
Dumont