Analyse

Cloud-Act und DSGVO – mehr als 3 Jahre Ringen um Rechtssicherheit und Compliance

Ist der US-Cloud-Act mit der DSGVO vereinbar?  (Bild: gotphotos / shutterstock)

Lesezeit: 5 Min.
Artikel merken

Ist der US-Cloud-Act mit der DSGVO vereinbar? Nach mehr als drei Jahren des Ringens um Compliance und Datensicherheit wirft unser Gastautor einen Blick auf die Lage – und versucht, offene Fragen zu beantworten.

Am 23. März 2018 wurde ein US-amerikanisches Gesetz aus der Taufe gehoben, das den Zugriff der Behörden auf gespeicherte Daten im Internet regeln soll: der Cloud-Act. Das ausgesprochene Ziel des Gesetzes war es, Strafverfolgungsbehörden ein schlagkräftiges Instrument an die Hand zu geben, um organisierte Kriminalität sowie Terrorismus effektiv bekämpfen zu können. Der Cloud-Act erlaubt es US-Behörden sowie sich im US-Ausland befindlichen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten.

Das Gesetz verpflichtet alle Cloud-Anbieter mit Hauptsitz in den USA, den Anfragen der jeweiligen Behörde stattzugeben. Dadurch erhalten sie einen Einblick in alle in der Cloud gespeicherten Daten der verdächtigen Personen. Da die angeforderten Informationen jedoch auch personenbezogene Daten beinhalten, äußern Datenschützer immer wieder Kritik am Cloud-Act. Vor allem die Gefahr, dass unbescholtene Unternehmen und Bürger in der EU ohne Grund ins Fadenkreuz staatlicher Akteure geraten könnten, hinterließ einen faden Beigeschmack an dem Gesetzeswerk.

Ebenfalls interessant: Eine sichere Cloud für alle Branchen? Confidential Computing macht’s möglich

Compliance gewährleisten ist nicht optional, sondern die Basis für Vertrauen

Viele Firmen, besonders in der EU, machten sich in der Folge große Sorgen um die Rechtssicherheit. In Zeiten von Digitalisierung, Cloud und Big Data kann sich kaum ein Unternehmen dem Trend zur Auslagerung ihrer Daten in die Cloud erwehren. Und das hat einen guten Grund: Die ständige und ortsunabhängige Verfügbarkeit von geschäftsrelevanten Daten ist ein notwendiger Baustein des Erfolgs im internationalen Wettbewerb um Kunden.

Wer hier nicht mitzieht, hat das Nachsehen und wird über kurz oder lang von der Konkurrenz aus dem Markt verdrängt. Ganz nach dem Motto „wer zu spät kommt, den bestraft das Leben“ überbieten sich die Marktführer aller Branchen mit neuen Innovationen und neuen Nutzungsmöglichkeiten der Vorzüge ihrer Cloud-basierten Dienstleistungen. Dieses Wettrennen um die Nutzergunst hat der Digitalisierung einen beachtlichen Schub verpasst und Unternehmen wie Privatnutzer in die Lage versetzt, das volle Leistungsspektrum des Internets in Geschwindigkeit und Produktivität umzumünzen.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Da sich die meisten (und größten) Cloud-Anbieter in den USA befinden, machen sich nun viele Unternehmen Sorgen um ihre Kundendaten. Da sich diese oft überregional und meist auf Servern in den USA befinden oder für die Verarbeitung auf US-Server übermittelt werden, fallen sie alle in den Geltungsbereich des Cloud-Acts. Selbst wenn die Daten in der EU abliegen oder verarbeitet werden, gilt: Gehört der betreffende Server einem US-amerikanischen Unternehmen oder einer Tochtergesellschaft an, müssen die Daten auf Anfrage von US-Behörden freigegeben werden. Dieser Umstand lässt bei vielen Unternehmen die Alarmglocken läuten. Viele fragen sich nun: „Mache ich mich strafbar, wenn ich die personenbezogenen Daten meiner Kunden und Geschäftspartner bei einem US-Dienst speichere oder verarbeiten lasse? Ist die DSGVO überhaupt mit dem Cloud-Act unter einen Hut zu bringen?“

Diese Sorgen sind durchaus berechtigt, denn mit dem Ende des EU-US Privacy-Shields (Schrems II Urteil des EuGH) fehlt nun jegliche Rechtssicherheit beim Datenaustausch zwischen EU und den USA. Nun ist aber ein vertrauensvolles Kundenverhältnis und rechtskonforme Auftragsdatenverarbeitung der Grundstein für zukünftige Geschäfte und das damit verbundene Wachstum der eigenen Firma. Die Frage nach möglichen Compliance-Problemen ist somit berechtigt und sollte von jedem Datenschutzbeauftragten gestellt werden. Die Antwort indes ist nicht ganz so einfach und benötigt einer tiefergreifenden Betrachtung, wie US-Firmen mit dieser Problematik im Tagesgeschäft umgehen.

Nicht jede Behördenanfrage führt automatisch zu einer Datenfreigabe

Der Cloud-Markt ist hart umkämpft, schließlich handelt es sich dabei um eine Schlüsseltechnologie der Zukunft. Da sich praktisch alle Marktführer in den USA befinden, betreffen die Regelungen rund um den Cloud-Act vor allem die Schwergewichte der Branche. Es ist also nicht verwunderlich, dass der größte Widerstand gegen eine drohende Staatswillkür von Seiten der Cloud-Platzhirsche kommt – also direkt aus den USA.

Wer nun befürchtet, dass jeglicher Datensatz auf Servern von Microsoft, Amazon, Apple oder Google automatisch in die Hände der amerikanischen Behörden gelangt, der täuscht sich. Die Tech-Giganten wehren sich nämlich mit allen ihnen zur Verfügung stehenden Mitteln, um die pauschale Herausgabe ihrer Kundendaten an Strafverfolger zu verhindern. Sollte eine Anfrage unberechtigt sein, so landet der entsprechende Einzelfall meist vor einem US-Gericht. Dort müssen die anfragenden Strafverfolger erst stichfeste Beweise vorlegen, dass es sich beim jeweiligen Kunden auch wirklich um einen Angehörigen der organisierten Kriminalität oder einen Terrorverdächtigen handelt.

Die Daten werden erst dann freigeben, wenn die anfragende Behörde die geltenden rechtlichen Verfahren befolgt. Nur wenn der Cloud-Anbieter rechtlich dazu gezwungen wird, erhalten die Strafverfolger den Key zu den verschlüsselten Informationen. Außerdem laufen aktuell Klagen von allen großen Anbietern, die auf eine bessere Transparenz und Auskunftsmöglichkeit für deren Kunden abzielen; denn dem Cloud-Act zufolge ist es US-Anbietern nicht gestattet, deren Kunden über die Herausgabe ihrer Daten in Kenntnis zu setzen.

Auch die grundsätzliche Ablehnung von behördlichen Anfragen war in jüngster Vergangenheit sehr erfolgreich und lässt europäische Firmen und Privatnutzer optimistisch in die Zukunft blicken. So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem diese vor einem US-Gericht von Microsoft angefochten wurden.

Europäische Cloud als sichere Alternative: Wir müssen unsere eigenen Strukturen in Europa stärken

Wenn wir den Datenschutz unserer europäischen Mitbürger wirklich ernst nehmen, müssen wir die eigenen Strukturen und Märkte stärken. Doch dafür genügt es nicht, dass die Politik wohlklingende Absichtserklärungen für die ferne Zukunft formuliert. Wir brauchen eine konkurrenzfähige und innovative IT-Industrie in Europa, angefangen bei innovativen Startups bis hin zu etablierten Playern, die der US-Konkurrenz auf Augenhöhe begegnen können.

Es gibt bereits vielversprechende Projekte, wie beispielsweise Gaia-X, das als Gegengewicht zur US-Konkurrenz dienen soll und sich das Ziel auf die Fahnen geschrieben hat, die europäische Cloud zum Erfolgsprojekt werden zu lassen.

Die europäischen Gründungsmitglieder, worunter sich auch viele namhafte deutsche Konzerne befinden, verfolgen mit Gaia-X folgende Ziele: Offenheit, Transparenz und europäische Anschlussfähigkeit als Basis für ein europäisches „digitales Ökosystem“, das gleichzeitig wettbewerbsfähig ist und mit den europäischen Werten im Einklang steht.

Gerade beim Thema Datenschutz wird stark auf Confidential Computing (auch Trusted Computing genannt) gesetzt. Ursprünglich versteht man unter Confidential Computing den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dabei werden Daten nur innerhalb eines sicheren Bereichs –auch Enklave genannt – oder auch „Trusted Execution Environments“ (TEE) verarbeitet. Dies lässt sich sowohl auf Prozessorebene realisieren – wie es Google, Microsoft, Intel, IBM und Co vormachen – oder eben, wie im Fall des Confidential oder Sealed Computings, auf Server-Ebene. Das heißt, die Datenverarbeitung findet auf geschützten Server-Architekturen statt, die Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich auf diese Weise verhindern. Somit ist Confidential Computing eine der mächtigsten Waffen im Kampf gegen Industriespionage und Cyberkriminalität und schützt darüber hinaus vor der Neugier ausländischer Behörden.

An Ideen und technologischen Konzepten mangelt es uns in Europa wahrlich nicht. Doch am Ende entscheidet der Nutzer über den Erfolg oder Misserfolg solcher Initiativen. Es ist daher von existenzieller Wichtigkeit, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen. Doch dafür müssen wir noch viel Überzeugungsarbeit leisten. Der Sachverstand und der Erfindergeist haben uns in Europa noch nie gefehlt. Nun gilt es, die Fortschritte und Meilensteine der eigenen IT-Industrie gut und verständlich zu produktisieren und zu kommunizieren

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder