Europa Datenschutz DSGVO
Datenschutz

EU DSGVO und US Cloud Act – Das sollten Sie als Mittelständler wissen

Lesezeit: ca. Artikel drucken
zur Übersicht

Das Jahr 2018 brachte für den Datenschutz der deutschen Unternehmen weitreichende Veränderungen mit sich. Mit dem im März 2018 in den USA erlassenen Cloud Act und der EU-DSGVO in Europa wurden gleich zwei wichtige Verordnungen erlassen, die mehr Rechtssicherheit schaffen sollen und gerade im Falle der DSGVO viele neue Verpflichtungen in der Herstellung von Datenschutz für die Kunden mit sich bringen.

Zusammengefasst lässt sich sagen, dass die eine Verordnung US-Behörden den Zugriff auf Daten auch im Ausland erleichtert, während die DSGVO die Weitergabe von Daten nur noch in engen Grenzen zulässt. Für den Mittelstand stellt sich also die Frage, wie sich diese Verordnungen gegenseitig beeinflussen und was es von nun an in Hinblick auf per Cloud Hosting gespeicherte Kundendaten zu berücksichtigen gilt.

DSGVO im Überblick

GDPR

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung von personenbezogenen Daten

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union. Sie regelt die Verarbeitung von personenbezogenen Daten und soll grundsätzlich die Rechte der Kunden stärken, indem sie die Datenweitergabe durch die Unternehmen erschwert. Das neue Datenschutzrecht ersetzt eine alte Verordnung zum Schutz personenbezogener Daten, die noch aus dem Jahr 1995 stammt ebenso wie viele kleinere nationale Gesetze und Regelungen. Gemeinsam mit der JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz bildet sie nun einen gemeinsamen Datenschutzrahmen für die gesamte Europäische Union. Entscheidend ist, dass die DSGVO auch dann wirksam ist, wenn die Verarbeitung der Daten von EU-Bürgern außerhalb der EU stattfindet und wenn Unternehmen außerhalb der EU ihre Waren und Dienstleistungen in der EU anbieten.

Was ist der Cloud Act?

Der Clarifying Lawful Overseas Use of Data Act ist erlassen worden, damit US-Behörden Zugriff auf Unternehmensdaten auch dann erhalten, wenn diese im Ausland wie etwa der EU gespeichert sind.

Der Clarifying Lawful Overseas Use of Data Act ist erlassen worden, damit US-Behörden Zugriff auf Unternehmensdaten auch dann erhalten, wenn diese im Ausland wie etwa der EU gespeichert sind. Die Unternehmen sind dann verpflichtet, die Daten an die US-Behörden herauszurauszugeben. Eine Herausgabe der Daten lässt sich zum Beispiel dann erzwingen, wenn ein Haftbefehl vorliegt. Bietet also ein US-Unternehmen wie etwa ein IT-Dienstleister seine Dienste in der EU an, ist es möglich, dass ausländische Strafverfolgungsbehörden Zugriff auf die Kundendaten erhalten, die auch personenbezogenen Charakter aufweisen können. Für alle Unternehmer und damit auch KMU stellt sich damit automatisch die Frage, wie sich das mit den Anforderungen der DSGVO verträgt und ob sich eine Herausgabe der Daten verhindern lässt.

Microsoft gab den Anlass für die Reformen

Amerikanische Cloud-Anbieter wie Microsoft, Google und Amazon haben vielfältige Kundenkontakte in Europa aufgebaut und speichern ständig personenbezogene Daten im Rahmen von BigData und damit in immensen Mengen. In einem Fall hat Microsoft sich geweigert, auf Servern in Irland gespeicherte Daten an US-Behörden herauszugeben. Später wurden nur in den USA gespeicherte Daten weitergeleitet. Um eine Strafverfolgung zukünftig auch grenzübergreifend zu ermöglichen, wurde deshalb der genannte Act erlassen. Wer als KMU DSGVO-konform handeln möchte, muss sich überlegen, wie sich der Zugriff durch die US-Behörden beschränken lässt.

Die Einholung der Daten nimmt in der Praxis viel Zeit in Anspruch

Um einen schnellen Prozess handelt es sich bei der Besorgung von Daten aus dem Ausland in keinem Fall. Die Einholung erfolgt in der Regel im Rahmen eines Rechtshilfeersuchens, der Prozess nimmt nicht selten viele Monate in Anspruch. Gangbar ist dieser Weg auch nur dann, wenn zwischen den beiden betreffenden Staaten entsprechende bilaterale Abkommen bestehen. Der Ablauf in der Praxis sieht dabei wie folgt aus: Die betreffenden Behörden kontaktieren die ausländischen Ermittlungsbehörden, die sich ihrerseits an den Kommunikationsanbieter wenden und die gewünschten Daten anfordern. Die Ermittlungsbehörden warten auf die bereitgestellten Daten und übermitteln diese dann ins Ausland. Dagegen können sich die Kommunikationsanbieter nur dann wehren, wenn sie selbst gegen Gesetze verstoßen würden. Die DSGVO kämen hier infrage.

Wann kollidieren DSGVO und Cloud Act?

Grundsätzlich sind richterliche Anordnungen nicht mehr erforderlich, wenn US-Behörden an Kommunikationsdaten im Ausland gelangen möchten.

Grundsätzlich sind richterliche Anordnungen nicht mehr erforderlich, wenn US-Behörden an Kommunikationsdaten im Ausland gelangen möchten. Die DSGVO sollen aber gerade eine solche Weitergabe personenbezogener Daten verhindern. Mit der Datenschutz-Grundverordnung verfolgt der Gesetzgeber eigentlich das Anliegen, dass die Unternehmen immer die volle Kontrolle über die Daten behalten sollen. Die Kunden haben nämlich das Recht zu erfahren, wo ihre Daten gerade gespeichert sind und können sogar deren Löschung verlangen. Für Unternehmen ergibt sich damit eine gewisse Rechtsunsicherheit, weil sie nicht wissen, ob die Datenweitergabe nun erlaubt ist oder nicht.

Die Herausgabe von Daten an Behörden ist in Artikel 48 der DSGVO explizit geregelt und dort stark eingeschränkt. Weitere Gründe, die eine Datenherausgabe ins Ausland rechtfertigen würden, finden sich im Artikel 5. Hieraus ist sofort ersichtlich, dass ohne Rechtshilfeabkommen eine Datenherausgabe auf keinen Fall erlaubt ist. Den Unternehmen in Deutschland sind damit enge Grenzen gesetzt, wenn es um die Weitergabe von Kommunikationsdaten geht.

Zwischen DSGVO und der US-Verordnung besteht also eine klare formale Lücke. Diese spielt gerade bei der Nutzung von Cloudservices eine Rolle. Speichert das Unternehmen Daten in der Datenwolke eines US-Anbieters, steht eventuell der Vorwurf im Raum, man habe die Datenweitergabe an Unbefugte billigend in Kauf genommen. Unternehmen können sich also nicht mehr sicher sein, ob sie formal alles richtig gemacht haben.

Der Blick auf den Server-Standort alleine reicht nicht mehr aus

Wir setzen für alle kritischen Anwendungen auf deutsche Rechenzentren, die Kundendaten sind hier bestmöglich vor dem Zugriff durch ausländische Behörden geschützt. Ein Betrieb ist jederzeit unter Berücksichtigung aller Vorgaben der DSGVO gegeben.

Unternehmen liegen falsch, wenn sie glauben, dass ein Serverstandort in der EU ausreicht, um in dieser Frage auf der sicheren Seite zu stehen. Nur weil ein US-amerikanischer Cloud-Anbieter seine Server in der EU betreibt, heißt das noch lange nicht, dass die Daten sicher wären. Das ist nur der Fall, wenn das US-Unternehmen die Server nicht selbst betreibt. Ein hoher Datenschutz ergibt sich nur dann, wenn das US-Unternehmen zum Beispiel ein deutsches Unternehmen als Partner wählt, der die Cloud-Server in der EU betreibt. Hierbei handelt es sich also um eine Art Datentreuhändermodell.

Wer im Mittelstand kritische Daten speichern möchte, der muss also auf einen Anbieter für Cloud Hosting setzen, der sich außerhalb des Geltungsbereichs des Acts befindet. Grundsätzlich gilt dann: Firmensitz und Rechenzentrum sollten sich in der EU befinden. Und für deutsche KMU ist es natürlich naheliegend, dass der Server-Park gleich in Deutschland steht. Für KMU, die den Gang in die Datenwolke wagen und ein sicheres und DSGVO-konformes Cloud-Hosting nutzen möchten, ist daher eine eingehende Beratung wichtig.

Cloudshift bietet seinen Kunden den Zugang zu einem solchen Cloud-Angebot an. Wir setzen für alle kritischen Anwendungen auf deutsche Rechenzentren, die Kundendaten sind hier bestmöglich vor dem Zugriff durch ausländische Behörden geschützt. Ein Betrieb ist jederzeit unter Berücksichtigung aller Vorgaben der DSGVO gegeben.

Für den Erfolg der eigenen Unternehmung im Mittelstand ist es entscheidend wichtig, Cloud-Anbieter mit größter Sorgfalt auszuwählen. Cloudshift hilft Ihnen bei genau dieser Aufgabe und steht als kompetenter und erfahrener Partner jederzeit an Ihrer Seite. Wir bieten Ihnen eine Cloud-Lösung an, die auch in Zukunft eine hohe Rechtssicherheit bietet. Sie betreiben als KMU Ihr Geschäft wie gewohnt weiter und haben die Gewissheit, dass die Kundendaten geschützt sind und keine unerlaubte Weiterleitung an andere Unternehmen oder Behörden erfolgt.

Das aktuelle Angebot an Cloud-Providern auf dem Markt ist besonders groß und unübersichtlich. Umso wichtiger ist es, sich auf die hervorragende Expertise eines erfahrenen Dienstleisters in diesem Bereich zu verlassen. Cloudshift eröffnet Ihnen und Ihrem KMU alle Chancen des Cloud-Computings unter gleichzeitiger Minimierung der damit verbundenen Risiken. DSGVO-konforme Cloud-Lösungen sind hier und jetzt realisierbar, wir verschaffen Ihnen Zugriff darauf.

Sprechen Sie uns auf unsere Dienstleistungen an und lassen Sie sich davon überzeugen, dass ein Cloud-Hosting aus Deutschland auch für Ihr Unternehmen und eine maximale Datensicherheit die beste Wahl ist.

Julian Flockton

Julian M. Flockton ist Gründer, Gesellschafter und Geschäftsführer von cloudshift®. Er hat über 25 Jahre Erfahrung im IT und Hosting Bereich. Er ist bei cloudshift® für das Marketing verantwortlich und treibt so das Wachstum des Unternehmens voran. Außerdem kümmert er sich verstärkt um die Themen Nachhaltigkeit und Umweltschutz und sorgt dafür, den ökologischen Fußabdruck des Unternehmens weiter zu reduzieren. Im operativen Geschäft berät er nach wie vor Kunden bei deren Cloud-Strategie sowie zu Datenschutz- und Compliance-Themen.

Alle Artikel von Julian Flockton