Cloud Act, DSGVO und Privacy Shield
Rechtssicher
Veröffentlicht in Ausgabe 02/2024 - PRAXIS
Der Gesetzentwurf ist bereits seit 2018 wirksam und betrifft jeden, der als Privatperson oder als Unternehmen Daten in einer von einem US-Unternehmen angebotenen Cloud verarbeitet beziehungsweise abgelegt hat. Dabei zwingt das von den USA verabschiedete Gesetz IT-Dienstleister wie Google (Google Cloud), Microsoft (Azure), Amazon (AWS) und Dropbox dazu, die in der Wolke gespeicherten Daten auf Anfrage von US-Behörden zugänglich zu machen. Es kann die Regularien der DSGVO also außer Kraft setzen. Kurz gesagt: Daten in US-Clouds sind somit grundsätzlich für amerikanische Behörden einsehbar.
Doch entgegen dem Titel des Gesetzes hat es nicht nur zwingend etwas mit Clouddiensten zu tun. "CLOUD" steht in diesem Fall vielmehr für "Clarifying Lawful Overseas Use of Data Act", auf Deutsch etwa "Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland". Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten in der Wolke oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland. Der Cloud Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten.
Viele Stolpersteine
Leider bezieht sich der Cloud Act nicht nur auf Personen, die in den USA leben, denn das Gesetz greift ebenso für personenbezogene Daten, die nicht in US-Rechenzentren lagern beziehungsweise auch für Nicht-US-Bürger. Dies bedeutet, dass US-Behörden damit auch auf Daten zugreifen können, die in einem europäischen Rechenzentrum lagern, da die Gesetzgebung US-Unternehmen mit einem entsprechenden Gerichtsbeschluss dazu verpflichten kann, sie unverzüglich herauszugeben.
Der Gesetzentwurf ist bereits seit 2018 wirksam und betrifft jeden, der als Privatperson oder als Unternehmen Daten in einer von einem US-Unternehmen angebotenen Cloud verarbeitet beziehungsweise abgelegt hat. Dabei zwingt das von den USA verabschiedete Gesetz IT-Dienstleister wie Google (Google Cloud), Microsoft (Azure), Amazon (AWS) und Dropbox dazu, die in der Wolke gespeicherten Daten auf Anfrage von US-Behörden zugänglich zu machen. Es kann die Regularien der DSGVO also außer Kraft setzen. Kurz gesagt: Daten in US-Clouds sind somit grundsätzlich für amerikanische Behörden einsehbar.
Doch entgegen dem Titel des Gesetzes hat es nicht nur zwingend etwas mit Clouddiensten zu tun. "CLOUD" steht in diesem Fall vielmehr für "Clarifying Lawful Overseas Use of Data Act", auf Deutsch etwa "Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland". Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten in der Wolke oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland. Der Cloud Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten.
Viele Stolpersteine
Leider bezieht sich der Cloud Act nicht nur auf Personen, die in den USA leben, denn das Gesetz greift ebenso für personenbezogene Daten, die nicht in US-Rechenzentren lagern beziehungsweise auch für Nicht-US-Bürger. Dies bedeutet, dass US-Behörden damit auch auf Daten zugreifen können, die in einem europäischen Rechenzentrum lagern, da die Gesetzgebung US-Unternehmen mit einem entsprechenden Gerichtsbeschluss dazu verpflichten kann, sie unverzüglich herauszugeben.
Das Problem besteht dabei jedoch nicht nur in der möglichen Herausgabe der Daten, sondern auch darin, dass betroffene Personen oder Unternehmen dies vielleicht nicht einmal mitbekommen. Denn der Provider verpflichtet sich nicht, sie zu informieren – es ist ihm sogar untersagt. Zudem darf der Provider die Daten ab dem Zeitpunkt der Behördenanfrage auch nicht mehr löschen, selbst wenn sie sich außerhalb der USA befinden.
Nur eine Hälfte des Problems
US-amerikanische Anbieter von Clouddiensten kommen durch den Cloud Act in die missliche Lage, sich rechtswidrig verhalten zu müssen. Denn es erweist sich als unmöglich, sich als Unternehmen gleichzeitig an die DSGVO und den Cloud Act zu halten, da diese im Widerspruch zueinander stehen. Ein US-Unternehmen mit Serverstandort in der EU verpflichtet sich, US-Behörden Zugriff auf diese Server zu gewähren, obwohl ihm dies die DSGVO untersagt. Es bleibt daher zu befürchten, dass sich in der Cloud verarbeitete oder gespeicherte Daten abrufen oder durchsuchen lassen.
Doch der Schutz persönlicher Informationen ist nur die eine Hälfte des Problems, bei der anderen handelt es sich um die Datensouveränität. Der Cloud Act legitimiert amerikanische Behörden, die Herausgabe sämtlicher in amerikanischen Clouddiensten gespeicherten Daten eines Unternehmens zu verlangen. Dadurch verlieren Unternehmen de facto die Hoheit über ihre Angaben und damit verbunden über ihr geistiges Eigentum, also insbesondere über ihre Geschäfts- und Betriebsgeheimnisse.
Standort des Rechenzentrum beachten
Europäische Unternehmen und Behörden stehen vor der Herausforderung, die Datenschutzbestimmungen der EU – insbesondere die DSGVO – einzuhalten, und vollen Datenschutz und -souveränität zu gewährleisten, während sie gleichzeitig amerikanische Software und Clouddienste nutzen. Sobald sie in irgendeiner Form mit US-amerikanischem Cloud Computing in Berührung kommen, wird jedoch die Einhaltung von Datenschutzstandards zur Herausforderung. Doch an erster Stelle sollte neben der Einhaltung der DSGVO auch die Verantwortung gegenüber dem eigenen Kunden stehen. Unternehmen, die weiterhin Clouddienste von US-amerikanischen Anbietern nutzen, können nicht mehr sicherstellen, dass sie die Datenschutzanforderungen einhalten.
Dies hat nicht nur rechtliche Konsequenzen, sondern mindert auch das Vertrauen der Kundschaft in erheblichem Maße. Betriebe und besonders öffentliche Einrichtungen, in denen die Sicherheit der IT-Systeme und der Schutz sensibler Daten und Geschäftsinformationen notwendig sind, sollten daher äußerst kritisch vorgehen, wenn es darum geht, den richtigen Cloudanbieter auszuwählen. Es gilt zu prüfen, wo sich der Hauptsitz und die Rechenzentren des potenziellen Cloudanbieters befinden. Zudem muss festgestellt werden, inwieweit Lieferanten darunterfallen können. So sind datenschutzrechtlich gesehen Unternehmen in Europa auf der sicheren Seite, wenn sie nur Anwendungen verwenden, die von einem europäischen Cloudanbieter bereitgestellt werden und deren Rechenzentren sich in Europa befinden.
Es ist daher ratsam, vor allem bei hohen Ansprüchen an Datenschutz und Datensicherheit von der Nutzung amerikanischer Cloudanbieter gänzlich abzusehen. Zusätzlich ist die Verwendung von Verschlüsselung (Transport und Ablage) im Kontext von Clouddiensten sinnvoll. Denn die Aufforderung zur Herausgabe betrifft lediglich die Datenübertragung, nicht jedoch die Verpflichtung zur vorherigen Entschlüsselung. Sollte dennoch eine Aufforderung zur Datenherausgabe durch US-Behörden erfolgen, empfiehlt es sich, Beschwerden bei den entsprechenden staatlichen Stellen der USA einzureichen und zu argumentieren, dass die Daten keine US-Bürger betreffen und daher der Datenschutz des jeweiligen EU-Landes gilt.
Notwendige Rechtsgrundlage
Die Problematik der Datensicherheit wurde bereits im Sommer 2020 deutlich, als der Europäische Gerichtshof (EuGH) im "Schrems-II"-Urteil festgestellt hat, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act weiterhin eine Massenüberwachung durch beispielsweise die NSA ermöglichen und der Datenschutzstandard in den Vereinigten Staaten daher nicht dem in der EU entspricht. Der im Juli 2023 beschlossene Privacy Shield 2.0 soll deshalb nun die Mängel des ursprünglichen Privacy Shields ausmerzen. So soll er für den transatlantischen Datentransfer endlich eine rechtskonforme Basis bieten. Die fehlende Rechtssicherheit war besonders für Unternehmen problematisch.
Sie waren bei der Nutzung von Analysetools wie Google Analytics oder auch Maildienstleistern und Hostinganbietern der Gefahr ausgesetzt, entgegen der DSGVO-Vorgaben zu handeln. Mitarbeitende sollten daher stets auf dem aktuellsten rechtlichen Stand zum Thema Datenschutz sein. Mit rechtlich-regulatorischen E-Learnings können Unternehmen Angestellte datenschutzrechtlich schulen. Denn abhängig vom jeweiligen Unternehmensbereich ist der Berührungspunkt mit personenbezogenen Daten unterschiedlich stark ausgeprägt. So ergeben sich beim Thema Datenschutz für Führungskräfte andere Schwerpunkte als beispielsweise für den Umgang mit personenbezogenen Daten im Bereich Marketing.
Das neue Abkommen verspricht für Unternehmen allerdings die schon lange notwendige Rechtsgrundlage, an der es bisher fehlte und die im wirtschaftlichen Miteinander zu einer regelrechten Datenblockade führte. Es bleibt allerdings noch offen, ob der Privacy Shield 2.0 einer Prüfung durch die Gerichte standhalten wird. Erst dann zeigt sich, ob der EU-Gesetzgeber mit dem Privacy Shield 2.0 eine rechtlich belastbare Regelung gefunden hat. Schließlich sind Datentransfers ein zentraler Bestandteil der globalen Wirtschaft quer durch alle Branchen und auch der Wissenschaft. Das Be- oder sogar Verhindern von Datentransfers lässt sich oft nicht durch alternative Ansätze umgehen und stellt deutsche wie europäische Unternehmen vor ebenso gravierende Herausforderungen wie die Unterbrechung von Lieferketten.
Europäische Clouds und Open Source
Eingriffe in die eigene Datenhoheit und Verstöße gegen die DSGVO lassen sich vermeiden, etwa mit einem Cloudanbieter aus dem europäischen Raum – und einer Open-Source-Software, die Datenschutz und Datensouveränität gewährleistet. Denn ihr Quellcode liegt offen, sodass sich jeder selbst davon überzeugen kann, dass eine Software keine Hintertüren enthält, über die Daten an unbefugte Dritte abfließen können. Ein weiterer großer Vorteil: Da quelloffene Software konsequent auf offene Standards setzt und sich individuell anpassen und weiterentwickeln lässt, entstehen keine Herstellerabhängigkeiten.
Längst arbeiten Open-Source-Anbieter an einer Integration ihrer Anwendungen, um in naher Zukunft Services aus einem Guss und damit eine echte Alternative mit vergleichbarer Nutzerfreundlichkeit anbieten zu können. Allerdings lassen sich in Europa hohe Standards in Sachen Datenschutz und Datensouveränität nur dann bewahren, wenn europäische Unternehmen eine gewisse Autarkie auf dem digitalen Markt erreichen.
Fazit
Der Datenfluss in Richtung USA ist seit Jahren ein Streitthema. Immer öfter landen Informationen dabei in Übersee selbst ohne bewusste Nutzung einer dortigen Cloud, etwa wenn bestimmte Apps oder Betriebssysteme ungefragt Daten übermitteln. Eine Alternative können europäische Cloudangebote wie auch Open-Source-Software sein. Diese stehen etablierten Angeboten oft in nichts nach.
(dr)
Jerome Evans ist Gründer und Geschäftsführer der firstcolo GmbH.