Kolumne für Netzwerk Südbaden, Ausgabe August 2022
Der „Cloud Act“ ist den meisten Unternehmen in Europa nur unzureichend bekannt, hat jedoch große Auswirkungen auf unsere digitalen Daten. Der Gesetzentwurf ist bereits wirksam und trifft jeden von uns, der als Privatperson oder als Unternehmen Daten in einer von einem US-Unternehmen angebotenen Cloud verarbeitet beziehungsweise abgelegt hat.
Die USA haben kürzlich ein Gesetz verabschiedet, das US-Cloud-Anbieter wie Google Cloud, Microsoft Azure, Amazon Webservices oder Dropbox zwingt, die in der Cloud gespeicherten Daten auf Anfrage von US-Behörden diesen zugänglich zu machen. Dieses Gesetz setzt die Regularien der DSGVO faktisch außer Kraft.
Kurz: Unsere Daten in US-Clouds sind grundsätzlich für amerikanische Behörden einsehbar.
Auch bisher hatten US-amerikanische Behörden die Möglichkeit, sich Zugang zu Dateien von Verdächtigen zu verschaffen. Bisher war dafür allerdings der Weg über ein Gericht notwendig. Dies führte zu einem Rechtsstreit, der unter dem Namen „Microsoft Irland“ bekannt wurde, und für großes Aufsehen sorgte. Microsoft weigerte sich, Kundendaten zur Einsicht zur Verfügung zu stellen, die in Irland gespeichert sind. Der Cloud Act gilt als Reaktion der US-Regierung auf dieses Gerichtsverfahren.
Derzeit befindet sich das Gesetz zur Lesung im Senat. Es wird mit einer baldigen Verabschiedung gerechnet. Das Gesetzgebungsverfahren und die Praxis der Rechtsauslegung in den USA unterscheiden sich deutlich von der Deutschlands. US-Gerichte orientieren sich am sogenannten „common law“, das sich, anders als in Deutschland, nicht überwiegend auf Gesetze, sondern maßgeblich auf Präzedenzfälle stützt. US-Gerichte können folglich mit ihrer Rechtsprechung die Gesetzgebung beeinflussen. Dies hat zur Folge, dass der Cloud Act heute schon Wirkung zeigt, obwohl das Gesetz noch gar nicht verabschiedet wurde.
US-amerikanische Anbieter von Cloud-Diensten kommen durch den Cloud Act in die missliche Lage, sich rechtswidrig verhalten zu müssen. Es ist unmöglich, sich als Unternehmen gleichzeitig an die DSGVO und den Cloud Act zu halten, da diese im Widerspruch zueinanderstehen.
Das Magazin „com! Professional“ fasst das Dilemma wie folgt zusammen: „Ein US-Unternehmen mit Server-Standort in der EU ist also verpflichtet, US-Behörden Zugriff auf diese Server zu gewähren, obwohl ihm dies laut DSGVO untersagt ist.“
Es bleibt zu befürchten, dass Daten, die in der Cloud verarbeitet werden und gespeichert sind, abgerufen oder durchsucht werden. Neu ist, dass amerikanischen Strafverfolgungsbehörden dies ohne Gerichtsverfahren quasi willkürlich machen können. Besonders perfide am Cloud Act ist, dass er den Cloud-Anbietern ausdrücklich untersagt, ihre Nutzer darüber zu informieren, sollte es zu einer Abfrage durch die US-Behörden kommen.
Gibt es einen Ausweg für Unternehmen in Deutschland und Europa?
Ja, gegen den unrechtmäßigen Zugriff auf Daten kann man sich schützen. Um beispielsweise Unternehmensdaten sicher und konform zu speichern, sollten Angebote deutscher Cloudanbieter genutzt werden, denn für diese gilt uneingeschränkt die DSGVO, die den willkürlichen Zugriff durch Behörden untersagt.
Sollte ein Unternehmen das Angebot eines US-amerikanischen Cloudanbieters zwingend nutzen wollen, weil zum Beispiel benötigte Services von deutschen Anbietern nicht verfügbar sind, dann hilft nur eine sehr starke Verschlüsselung.
Eine dieser Handlungsoptionen empfehlen wir ausdrücklich, denn nur damit können die Unternehmensdaten nachhaltig vor fremdem Zugriff geschützt werden.
Der Autor
Julian Sayer ist Vorstand für Vertrieb, Marketing und Entwicklung des Freiburger Hostingunternehmens und Cloud Solution Providers Continum AG. Als AWS und Microsoft Azure Partner versteht sich die Continum AG als „Anwalt“ des Kunden und unterstützt Unternehmen auf dem sicheren Weg in die Cloud.
