CLOUD Act & DSGVO: Was IT-Entscheider berücksichtigen müssen

• Der amerikanische CLOUD Act bedroht die Datensicherheit europäischer Unternehmen, da er auch auf Daten außerhalb der USA anwendbar ist, die von US-Unternehmen oder deren weltweiten Niederlassungen verwaltet werden.
  
• Unternehmen innerhalb einer US-Konzernstruktur, EU-Unternehmen mit US-Tochtergesellschaften und solche, die US-Dienstleister nutzen, sind vom CLOUD Act betroffen und müssen mit Forderungen zur Datenherausgabe rechnen.
  
• Die Herausgabepflicht durch den CLOUD Act steht potenziell im direkten Widerspruch zu den Datenschutzanforderungen der DSGVO, was für betroffene Unternehmen rechtliche Konflikte mit sich bringen kann - ein finales rechtliches Urteil steht jedoch noch aus.
  
• IT-Entscheider sollten gründlich prüfen, welchen Cloud-Anbieter sie nutzen und wo die Daten gespeichert werden, um die Kontrolle darüber zu behalten und sich gegen unberechtigten Drittzugriff abzusichern.
  
• In diesem Artikel erfahren Sie, wie die Wahl eines deutschen oder europäischen Cloud-Anbieters wie DRACOON vor den Risiken des CLOUD Act schützen kann.
  

Ist der amerikanische CLOUD Act mit der deutschen DSGVO zu vereinen?

Der CLOUD Act bedroht offenbar die Datensicherheit europäischer Unternehmen. Bis dato vertraten europäische Datenschützer und IT-Entscheider die Auffassung, dass sie mit einem Cloud-Anbieter, der sein Rechenzentrum in der EU betreibt, auch in Zukunft auf der sicheren Seite sind.

Doch der CLOUD Act beschränkt sich nicht nur auf Firmen mit Hauptsitz in den USA. Er regelt somit auch den Umgang mit Daten, die sich physisch außerhalb der USA befinden, aber von einem Unternehmen in den USA verantwortet werden.

Damit verpflichtet er nicht nur US-Unternehmen zu einer Datenherausgabe an die US-Behörden, sondern auch Unternehmen, die im Sinne einer Niederlassung Teil eines US-Unternehmens sind oder Daten mit einem Unternehmen / Dienstleister aus den USA austauschen – und das ohne jeglichen richterlichen Beschluss. Eine Pflicht, die offenkundig die Datenintegrität untergräbt und somit gegen die Auflagen der DSGVO verstößt.

In der Folge bedeutet dies, dass mit der Speicherung Ihrer Daten in einem EU-Rechenzentrum nicht gleichzeitig sichergestellt ist, dass Ihre Daten vor den Regularien des CLOUD Act geschützt sind und Sie die Anforderungen an den Datenschutz durch die der DSGVO nicht erfüllt werden. 

Diese Szenarien sind vom CLOUD Act betroffen: 

• Tochtergesellschaft eines US-Konzerns
  Bei einem in Deutschland oder in der EU agierendem Unternehmen, das sich innerhalb einer US-Konzernstruktur befindet, bedarf es nicht einmal eines Datentransfers in die USA. Der CLOUD Act besagt, dass die Muttergesellschaft dem US-Recht unterliegt und demzufolge gilt dieses Recht auch für alle Töchter. Ein Widerspruch ist nicht möglich.
• Deutsches- oder EU-Unternehmen mit Tochter in den USA
  Ein EU-Unternehmen, das eine Tochtergesellschaft in den USA betreibt und einen Datentransfer mit den USA aufweist, kann sich zwar im Falle einer Anfrage auf eine  Datenherausgabe durch eine US-Behörde zunächst widersprechen und auf nationales Recht, wie die DSGVO, berufen. Um den Druck durch die Behörden zu erhöhen, ist allerdings mit Repressalien gegen die US-Tochter zu rechnen.
• Deutsches oder EU-Unternehmen mit US-Dienstleistern
  Der CLOUD Act zwingt Unternehmen nicht nur zur Herausgabe ihrer eigenen Daten, sondern verlangt die Herausgabe jeglicher Daten, die sich in ihrem Besitz, ihrer Obhut oder ihrer Kontrolle befinden. Demzufolge wäre auch ein deutsches oder EU-Unternehmen, das seine Daten von einem Cloud-Anbieter oder Hosting-Dienstleister verarbeiten lässt, der in einer Verbindung zu den USA steht, vom CLOUD Act betroffen.

Damit Sie auch in Zukunft die Kontrolle über Ihre Daten behalten, müssen Sie in Ihrem Unternehmen also gründlich prüfen, welchen Cloud-Anbieter Sie einsetzen. Entscheiden Sie sich für einen US-amerikanischen Cloud-Anbieter, nehmen Sie unweigerlich auch das Risiko eines unberechtigten Zugriffs Dritter in Kauf – ohne jemals davon zu erfahren. Es würde sich also völlig ihrer Kenntnis entziehen, ob, wo, wie lange und von wem auf Ihre Daten zugegriffen wird. 

 Aufgrund des CLOUD Acts müssen Unternehmen heute genau prüfen, für welchen (Software-)Anbieter sie sich entscheiden. Der Serverstandort spielt hierbei eine maßgebliche Rolle. Bei einer deutschen Cloud-Lösung wie DRACOON können Sie einen Fremdzugriff auf Ihre Daten ausschließen. Genau so arbeitet auch DRACOON.

 

>>> Um auf Nummer sicher zu gehen, sollten IT-Entscheider daher auf deutsche oder europäische Anbieter wie DRACOON setzen, die weder eine Niederlassung in den USA haben, noch als US-amerikanisches Tochterunternehmen gelten. Fordern Sie für detaillierte Informationen unser Whitepaper zum US CLOUD Act an.

>>> Oder lesen Sie direkt, wieso DRACOON keinen Fremdzugriff auf Ihre Daten gewährt.