Vertriebliche Beratung:
plusserver-Blog-US Cloud
Blog

|

19.01.2021

Wie sicher sind Ihre Daten vor dem US CLOUD Act?

Kirsten Nothbaum
IT-Rechtsexperte Dr. Thorsten Hennrich erklärt, warum der Hauptsitz von Cloud-Anbietern eine Rolle für den Datenschutz spielt.
Durch den aktuellen Diskurs um amerikanische Messenger-Dienste wie WhatsApp und Signal gerät auch der CLOUD Act wieder stärker in den Fokus. Dieser ist jedoch nicht nur für Privatpersonen von Bedeutung, sondern vor allem auch für Unternehmen, die auf Cloud-Provider setzen. Aber was genau beinhaltet der CLOUD Act und welche Folgen hat er für europäische Unternehmen? Darüber sprechen wir mit Dr. Thorsten Hennrich, Experte für IT-Recht.

Was ist der US CLOUD Act?

Hallo Thorsten! Danke, dass du dir heute die Zeit nimmst, um uns ein paar Fragen zum CLOUD Act zu beantworten. Was ist der CLOUD Act und warum wurde dieser von der US-Regierung überhaupt erlassen?

Der US CLOUD Act ist ein US-amerikanisches Gesetz aus dem Jahr 2018. Es ermöglicht US-Behörden den Zugriff auf Daten US-amerikanischer IT-Unternehmen und Cloud-Provider, die außerhalb der USA gespeichert sind. Das Wort „CLOUD“ steht abgekürzt für „Clarifying Lawful Overseas Use of Data Act“.

Der CLOUD Act war aus Sicht der US-Regierung erforderlich, da die Rechtsgrundlage für eine Herausgabe von Daten von Standorten außerhalb der USA in den Jahren zuvor unklar war. Microsoft hatte sich entsprechenden Anordnungen von US-Behörden widersetzt und sich darauf berufen, dass nach geltendem Recht lediglich in den USA gespeicherte Daten an Behörden herauszugeben seien. Microsoft ging mit seiner Argumentation bis vor den US Supreme Court, dem höchsten US-amerikanischen Gericht. Bevor es jedoch zu einem Urteil kam, wurde das Verfahren beendet. Denn zwischenzeitlich wurde der CLOUD Act erlassen, der sicherstellte, dass US-Behörden auch auf außerhalb der USA gespeicherte Daten zugreifen können.

Wen betrifft der CLOUD Act?

Sind auch die Daten von Kunden eines US-amerikanischen Cloud-Providers von dem CLOUD Act betroffen?

Der CLOUD Act betrifft vor allem US-amerikanische IT-Unternehmen und deren Tochterunternehmen. Diese sind nicht nur zur Herausgabe der eigenen Daten verpflichtet, sondern auch zur Herausgabe der Daten ihrer Kunden, sofern sich diese in ihrer Kontrolle und Obhut befinden. Letzteres ist vor allem bei den Daten der Fall, die von einem Kunden in der Cloud-Infrastruktur eines US-Providers gespeichert sind. Durch den CLOUD Act können damit Kundendaten, die in einem europäischen Rechenzentrum eines US-amerikanischen Providers gespeichert sind, in die Hände von US-Behörden gelangen.

Datenschutzrechtlich problematisch ist, dass Kunden des Providers selbst keine Möglichkeit haben, der Datenherausgabe zu widersprechen. Lediglich der Provider kann unter bestimmten Voraussetzungen dagegen vorgehen. Ob sich ein US-Provider jedoch schützend vor einen betroffenen Kunden stellt, dafür gibt es im konkreten Einzelfall natürlich keine Garantie. Alle großen Hyperscaler bekräftigen jedenfalls, ihre Kunden in diesem Zusammenhang bestmöglich zu unterstützen und, sofern dies gesetzlich möglich ist, darüber zu benachrichtigen, dass Daten an US-Behörden offengelegt werden. Dies soll dem Kunden Gelegenheit geben, sich gegen die Offenlegung rechtlich zur Wehr zu setzen.

Was bedeutet das konkret für europäische Unternehmen, die Cloud-Ressourcen in europäischen Rechenzentren eines US-Providers verarbeiten? Wie sicher sind Daten in Europa?

Eine Herausgabeanordnung nach dem CLOUD Act kann auch Daten europäischer Unternehmen treffen, falls Cloud-Ressourcen an einem europäischen Rechenzentrumsstandort eines US-Providers genutzt werden. Ein Standort in der EU allein schützt daher nicht vor einem Datenzugriff von US-amerikanischer Seite. Es muss jedenfalls damit gerechnet werden, dass ein US-Provider einer solchen Forderung nachkommen wird, wenn er hierzu von einer US-Behörde angewiesen wird. Um derartige Zugriffsmöglichkeiten auszuschließen, kann eine datenschutzfreundliche Lösung darin bestehen, die Daten bei einem deutschen oder europäischen Provider zu verarbeiten, der nicht dem CLOUD Act unterliegt.

Checkliste: Sind Ihre Daten sicher vor dem CLOUD Act?

Die folgenden Fragen können Ihnen erste Anhaltspunkte darüber geben, ob Ihre Daten durch den CLOUD Act gefährdet sind.

  • Hat der Cloud-Provider seinen Sitz in der EU?
  • Ist der Provider nicht Teil eines US-amerikanischen Konzerns?
  • Werden die Daten in zertifizierten Rechenzentren verarbeitet?
  • Befinden sich die Rechenzentren ausschließlich innerhalb der EU?
  • Ist ein Auftragsverarbeitungsvertrag mit dem Provider abgeschlossen?

CLOUD Act vs. DSGVO

Ist eine Datenweitergabe auf Basis des CLOUD Acts überhaupt mit der DSGVO vereinbar?

Der CLOUD Act und die DSGVO sind miteinander nicht vereinbar. Jegliche Datenweitergaben auf Basis des CLOUD Acts in die USA stehen in grundsätzlichem Widerspruch zu den Grundprinzipien der DSGVO. So fehlt es insbesondere an einer Rechtsgrundlage für die Datenweitergabe, die nach der DSGVO zum Schutze der informationellen Selbstbestimmung des Einzelnen erforderlich ist.

Der Widerspruch zwischen US-Recht und europäischen Datenschutzgrundsätzen ist grundsätzlich nichts Neues?

Das ist richtig. Der Widerspruch zwischen US-amerikanischen und europäischen Datenschutzprinzipien ist historisch begründet und existiert dem Grunde nach schon seit Jahrzehnten. Dies ist auch einer der Gründe, warum die für Datentransfers zwischen der EU und der USA ausgehandelten Sonderregelungen auf Basis von „Safe Harbor“ und dem „Privacy Shield“ einer Prüfung durch den EuGH nicht standgehalten haben. Bei Datenherausgaben auf Grundlage des CLOUD Acts besteht ein wesentlicher Widerspruch zum europäischen Verständnis von Datenschutz darin, dass mit Hilfe des CLOUD Acts Daten ohne Rechtschutzmöglichkeiten herausgegeben werden und auch nicht auf ein Rechtshilfeabkommen gestützt sind. Eine Kontrolle durch neutrale Instanzen zum Schutz der betroffenen Unternehmen und Kunden findet nicht statt.

Was kann ein deutsches Unternehmen tun, um sicherzustellen, dass der CLOUD Act auf einen Cloud-Provider nicht anzuwenden ist?

Unternehmen sollten vor einer Auswahlentscheidung zugunsten eines Providers sowohl den Provider an sich als auch die Art der Daten und den jeweiligen Schutzbedarf auf den Prüfstand stellen. Dies kann anhand der im Internet verfügbaren Informationen oder durch Rückfragen bei dem Provider erfolgen. Kommt die Bewertung zu dem Ergebnis, dass der Provider dem CLOUD Act unterliegt und die potentiellen Zugriffsmöglichkeiten von US-Behörden einer sicheren Verarbeitung entgegenstehen, ist es die datenschutzfreundlichste Lösung, nur auf solche Provider zurückzugreifen, die nicht dem CLOUD Act unterliegen.

Vielen Dank für deine Einschätzung, Thorsten.

Dr. Thorsten Hennrich ist General Counsel und Leiter Recht beim deutschen Cloud-Provider plusserver.

Beratung zur DSGVO-konformen Cloud in Deutschland

Wer auf die Cloud-Lösungen globaler Anbieter setzt, sollte für sensible Daten eine Multi-Cloud-Strategie mit einem DSGVO-konformen Standbein in Betracht ziehen. Lassen Sie sich jetzt unverbindlich beraten.

Über den Autor

Kirsten Nothbaum ist Content & Product Marketing Manager bei plusserver und blick auf mehr als 15 Jahre in der IT-Branche zurück. Sie verantwortet unter anderem die Positionierung und Marketinginhalte der Security-Produkte sowie der plusserver Kubernetes Engine (PSKE).

Weiterführende Inhalte

Warum plusserver

Datenhoheit

Fakten, Strategien und Lösungen rund um Datenhoheit in der Cloud.
Produkt

pluscloud VMware

Nutzen Sie unsere BSI-C5-testierte VMware Cloud aus deutschen Rechenzentren.
Produkt

pluscloud open

Mit der pluscloud open nutzen Sie die digital souveräne OpenStack-Cloud, made in Germany.