Sie sind hier: Startseite » Fachartikel » Grundlagen

CLOUD Act auch für europäische Cloud-Provider?


Schatten über der DSGVO: Welche Fragen der CLOUD Act für europäische Unternehmen aufwirft
Kommt es zu einer Anfrage nach in Europa gespeicherten Datensätzen, könnten Cloud-Anbieter nur eines der beiden Gesetze – CLOUD Act oder DSGVO – einhalten


Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt. Nicht nur für Cloud-Anbieter, sondern auch für Unternehmen, die Cloud Computing-Anwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen. Anliegen des "Clarifying Lawful Overseas Use of Data" (CLOUD) Act ist es, die US-amerikanische Strafverfolgung zu erleichtern, indem der Zugriff auf im Ausland gespeicherte Kommunikationsdaten von Verdächtigen vereinfacht wird. Was bislang im Rahmen von Rechtshilfeabkommen zwischen den Regierungsbehörden verschiedener Länder im Laufe mehrerer Monate abgewickelt wurde, soll nun schneller möglich sein.

Gemäß CLOUD Act können US-Ermittlungsbehörden Daten direkt von Unternehmen wie beispielsweise Microsoft, Google oder Amazon anfordern. Eingeschlossen sind damit auch Daten, die auf Servern im Ausland gespeichert sind. Betroffen davon sind nicht nur Verkehrsdaten sondern auch Inhaltsdaten. Eine richterliche Anordnung benötigen die Ermittler für die Anforderung nicht. Der Cloud-Anbieter wiederum ist nicht dazu verpflichtet, die Betroffenen über die Herausgabe der Daten zu unterrichten.

Dies steht im Widerspruch zu den Bestimmungen der Datenschutzgrundverordnung. Kommt es zu einer Anfrage nach in Europa gespeicherten Datensätzen, könnten Cloud-Anbieter nur eines der beiden Gesetze – CLOUD Act oder DSGVO – einhalten. Zwar macht der CLOUD Act die Einschränkung, dass die Herausgabe von Daten nur erfolgen soll, sofern dadurch keine nationalen Gesetze gebrochen werden. Für diese Fälle sollten bilaterale Abkommen geschlossen werden, die die Art des Zugriffs weiter regeln sollen. Jedoch befinden sich die entsprechenden Verhandlungen zwischen der Europäischen Union und den Vereinigten Staaten erst am Anfang. Somit herrscht gegenwärtig rechtliche Unsicherheit.

Die Tatsache, dass die großen Anbieter geschlossen den CLOUD Act begrüßt hatten, beunruhigt europäische Datenschützer zusätzlich und veranlasst dazu, die aktuellen Auswirkungen auf die DSGVO genauer zu evaluieren. Neben der unmittelbaren Verletzung der durch die DSGVO geschützten Persönlichkeitsrechte bringt der CLOUD Act theoretisch auch Auswirkungen für Unternehmen mit sich, die die Cloud nutzen.

CLOUD Act kann auch für europäische Cloud-Provider gelten
Verarbeiten Unternehmen personenbezogene Daten in der Cloud, müssen sie sicherstellen, dass dabei das in der Europäischen Union geforderte Datenschutzniveau eingehalten wird. Dementsprechend ist es in europäischen Unternehmen Best Practice, sich für einen Cloud-Anbieter mit Rechenzentren in der EU zu entscheiden.

Nun ist damit allerdings nicht mehr automatisch sichergestellt, dass der geforderte Standard erfüllt ist. Warum? Weil der CLOUD Act sich nicht auf Firmen mit Hauptsitz in den USA beschränkt. Er bezieht sich auf Unternehmen weltweit, die eine Niederlassung in den USA unterhalten oder dort einer Geschäftstätigkeit nachgehen.

Damit ist der Blick auf den Unternehmenssitz und den Verarbeitungsstandort eines Unternehmens nicht mehr ausreichend, um seiner Sorgfaltspflicht im Rahmen der DSGVO nachzukommen. Unternehmen, die die Verarbeitung personenbezogener Daten in der Cloud planen, müssten daher eine noch größere Sorgfalt in der Auswahl ihrer Cloud-Anbieter walten lassen und gegebenenfalls ihre Verträge mit ihnen entsprechend anpassen. Beispielsweise wäre es denkbar, den Cloud-Anbieter vertraglich zu verpflichten, den Nutzer über eine Expansion in die USA und damit in den Gültigkeitsbereich des CLOUD Acts, zu informieren.

Vertraulichkeit in Gefahr
Vor dem Hintergrund des CLOUD Acts sehen Datenschützer außerdem die Nutzung populärer Cloud-Anwendungen mit Sorge, sofern davon personenbezogene Daten betroffen sind. Stellen US-Behörden eine Anfrage zu bestimmten Personendaten bei einem großen Cloud-Anbieter, besteht theoretisch die Gefahr, dass die mit der betroffenen Person verbundenen, in einem Unternehmen verarbeiteten Daten aus Cloud-Anwendungen herausgegeben werden.

Da ein Zugriff durch US-Behörden auf diese Daten nicht ausgeschlossen werden kann, ist auch hier womöglich das geforderte Datenschutzniveau nicht erfüllt und die Persönlichkeitsrechte nicht ausreichend gewahrt. Demzufolge begehen Unternehmen nach DSGVO-Lesart einen Verstoß: Indem sie sich für Cloud-Anwendungen eines US-Anbieters entscheiden, nehmen sie das Risiko eines unberechtigten Zugriffs Dritter in Kauf. Ihrer Verpflichtung zu einer Datenschutz-Folgenabschätzung wären sie dementsprechend nicht ausreichend nachgekommen.

Zero Trust-Policy für unternehmenseigene Daten
Angesichts der laufenden Verhandlungen zwischen der Europäischen Union und den USA erscheint es zwar unwahrscheinlich, dass Cloud-Nutzer gegenwärtig auf Grund der eben erläuterten Szenarien Konsequenzen im Zuge der DSGVO befürchten müssen.

An der zu Grunde liegenden Problematik ändert dies allerdings nichts: Die DSGVO verlangt von Unternehmen vollständige Kontrolle über die von ihnen erhobenen Daten und zwar über die gesamte Verarbeitungskette hinweg. Der CLOUD Act, der sich über diese Ebene hinwegsetzt, unterminiert diese Kontrollfunktion. Für Unternehmen steht außerdem die Frage im Raum, inwieweit betriebsinterne Informationen von den Zugriffsrechten des CLOUD Act beeinträchtigt sein könnten.

Sollten im Zuge von Ermittlungen auch Unternehmensdaten an die Behörden übergeben werden, wüssten die betroffenen Unternehmen darüber nicht Bescheid. Ebenso wenig hätten sie Kenntnis darüber, ob, wo und wie lange ihre Daten aufbewahrt werden oder ob noch weiteren Behörden darauf Zugriff ermöglicht wird.

Derartige Szenarien führen vor Augen, dass künftig in der Cybersecurity-Strategie von Unternehmen nicht nur die Sicherheit von Daten, sondern auch die Kontrolle über diese einen hohen Stellenwert einnimmt. Eine Zero Trust-Policy, deren Maßnahmen auf Datenebene ansetzen, ist daher bei der Nutzung von Cloud-Anwendungen langfristig der richtige Weg. Unternehmensdaten müssen sowohl während der Übertragung als auch in den Cloud-Speicherorten zuverlässig gesichert und verschlüsselt werden. Ergänzend dazu ist für ein möglichst hohes Sicherheitsniveau ein angemessenes Schlüsselmanagement ratsam. Alle Keys sollten unternehmensintern gehostet werden. Wer auf Nummer sicher gehen möchte, kann diese außerdem on-Premises in einem Hardware-Sicherheitsmodul verwahren. Auf diese Weise erlangen Unternehmen nicht nur Kontrolle über ihre Daten zurück. Sie erfüllen auch die Sicherheitsvorgaben im Sinne der DSGVO: Werden verschlüsselte Daten entwendet, sind sie für Unbefugte wertlos. (Bitglass: ra)

eingetragen: 01.09.19
Newsletterlauf: 24.09.19

Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Grundlagen

  • EU-DORA-Compliance sicherstellen

    Die neue EU-DORA-Verordnung soll die digitale operative Widerstandsfähigkeit des Finanzsektors stärken. Dazu gehören überarbeitete Vorschriften und Richtlinien in Bezug auf Cyberrisiko-Management, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität. Eine einheitliche, sichere und hybride Datenplattform ist dabei essentiell, um den neuen Anforderungen in Zeiten von Drittanbieter-Cloud-Infrastrukturen gerecht zu werden.

  • KI-gestütztes Datenmanagement

    Durch die Fortschritte im Bereich Künstlicher Intelligenz (KI) überdenken viele Unternehmen ihre Geschäftsmodelle. Beispielsweise möchten sie Echtzeit-Daten nutzen, um prädiktive Erkenntnisse zu gewinnen und die Entscheidungsfindung zu unterstützen. Als Grundlage benötigen Unternehmen jedoch eine moderne Strategie zum Management und Schutz ihrer Daten, welche die Komplexität ihrer IT-Umgebungen adressiert und für effiziente Abläufe sorgt.

  • Unveränderlicher Speicher für permanenten Schutz

    Fast alle Unternehmen sind heute stark von Daten abhängig; Daten fördern die Entscheidungsfindung, verbessern die Effizienz und helfen Unternehmen, ihren Mitbewerbern einen Schritt voraus zu sein. Dabei müssen Organisationen jedoch sorgfältig mit der riesigen Menge der gesammelten und gespeicherten Daten umgehen.

  • Keine Angst vor der Cloud

    Immer mehr IT-Dienstleister bieten ihre Lösungen und Tools im Cloud-Betrieb an. Gerade im Bereich Software-as-a-Service (SaaS) ist der Trend zu Cloud-Lösungen ungebrochen. Dennoch zögern viele Unternehmen bei der Nutzung der Cloud. Sie sorgen sich um die Sicherheit ihrer Daten und setzen weiterhin auf den Betrieb im eigenen Rechenzentrum.

  • Herausforderung: Cloud Bursting

    Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es den Betrieb einer Anwendung in einem privaten Rechenzentrum, mit bekannten, festen Investitionskosten, vollständiger Kontrolle über die Umgebungen und organisatorischem Fachwissen für deren Betrieb. Auf der anderen Seite wird sie in einer öffentlichen Cloud genutzt, die auf Abruf verfügbar ist und über nahezu unbegrenzte Ressourcen verfügt.

  • SASE-Transformation in drei Schritten

    Der KPMG Global Tech Report 2022 bestätigt, was viele IT-Experten bereits in ihrer täglichen Praxis beobachten: Der Einsatz von Cloud-Anwendungen ist nicht länger das Kennzeichen von digitalen Vorreitern und Marktführern, sondern schlicht die logische Weiterentwicklung digitaler Technologien.

  • Datensicherheit in Microsoft 365

    Während Microsoft 365 Unternehmen eine hervorragende Skalierbarkeit und Redundanz bietet, um Störungen durch Naturereignisse und mechanische Ausfälle Störungen zu vermeiden, ist das Hosten von Daten in der Cloud mit gewissen Risiken verbunden. Anwenderverursachte absichtliche oder versehentliche Datenverluste sind nach wie vor ein Problem für Unternehmen.

  • Die Krux mit dem Outsourcing

    Rund 850.000 Stellen sind laut Statista in Deutschland unbesetzt. Der akute Personalmangel, aber auch ein zu schnelles Wachstum oder Kosteneinsparungen sind Gründe, warum Unternehmen einzelne Bereiche outsourcen. Den Kundenservice externen Experten zu überlassen, hilft dabei, sich auf die eigenen Kernkompetenzen zu konzentrieren oder das gewünschte Service-Level zu erreichen. Vor allem wenn die Kundenanzahl steigt, aber die nötigen Mitarbeiter nicht schnell genug eingestellt werden können.

  • Es muss nicht immer Cloud sein

    Seit Jahren dreht sich in der IT alles um "die Cloud". Wobei es die eine Cloud eigentlich gar nicht gibt. Von Private über Hybrid und Multi bis zur Public Cloud ist heute so gut wie jede Infrastruktur Cloud-fähig - inklusive physischer Server. Analog nutzen die meisten Unternehmen heute in der Praxis eine Kombination aus zahlreichen verschiedenen Infrastrukturen, die alle ihre eigenen Vor- und Nachteile haben.

  • Fehlkonfiguration von Cloud-Ressourcen

    Kaum hat sich CASB als Abkürzung für Cloud Access Security Broker im Markt durchgesetzt, klopft schon die nächste Sicherheitslösung an: Cloud Security Posture Management oder kurz CSPM. Der von Gartner-Analysten geprägte Name steht für einen neuen Sicherheitsansatz, um der hohen Dynamik von Cloud-Infrastrukturen und ihrer immer komplexeren, zeitaufwändigeren Administration gerecht zu werden.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen