Herunterladen
Teilen
Mathias Brenner
CTO bei Sherpany

CLOUD Act: Wieso europäische Firmen auf eine DSGVO-konforme Cloud setzen sollten

Bereits seit dem Patriot Act von 2001 müssen US-Unternehmen Daten auf Verlangen der US-Behörden herausgeben. Mit dem CLOUD Act von 2018 sichern sich die US-Behörden nun auch den Zugriff auf ausländische Server. Dies stellt aus Compliance-Sicht ein grosses Problem dar. Denn Daten sind in Zeiten der digitalen Transformation eines der wichtigsten Güter, über die ein Unternehmen verfügt.

In diesem Artikel zeige ich auf, was der CLOUD Act für europäische Firmen bedeutet, insbesondere im Hinblick auf die EU-Datenschutz-Grundverordnung (DSGVO), und wieso Sie auf eine DSGVO-konforme Cloud setzten sollten.

Was ist der CLOUD Act?

Der US CLOUD Act ist die Abürzung für den “Clarifying Lawful Overseas Use of Data Act”, entspricht also etwa dem “Gesetz zur Klarstellung des rechtmässigen Umgangs mit Daten im Ausland”. Der CLOUD Act gibt amerikanischen Behörden das Recht, auf im Ausland gespeicherte Daten zuzugreifen. Bis März 2018 konnte die amerikanische Regierung nur anhand eines Rechtshilfeabkommens mit dem betroffenen Land auf Daten aus dem Ausland zuzugreifen.

Doch mit dem CLOUD Act müssen nun alle in den USA ansässigen Unternehmen Daten auf Anfrage zur Verfügung stellen, unabhängig davon, ob sich ihre Server auf amerikanischem oder ausländischem Boden befinden. Da der CLOUD Act für alle grossen, in den USA ansässigen Cloud-Anbieter - Microsoft, Google oder Adobe - gilt, führte dies zu einem Rechtsstreit zwischen den US-Behörden und Microsoft. Das Unternehmen wollte Kundendaten, die auf einem Server in Irland gespeichert waren, nicht herausgeben.

Der CLOUD Act aus europäischer Sicht: das DSGVO-CLOUD Act Dilemma

Für europäische Unternehmen, die die DSGVO einhalten müssen, wirft die US-Gesetzgebung wichtige Compliance-Fragen auf. Das CLOUD-Gesetz schafft einen internationalen Konflikt des anwendbaren Rechts, was wiederum zu Rechtsstreitigkeiten und schwerwiegenden Konsequenzen führen kann. Unternehmen sollten sich deshalb über den CLOUD Act und seine Auswirkungen im Klaren sein.

Im Jahr 2019 unterzeichneten Grossbritannien und die USA ein bilaterales Abkommen über den Zugang zu elektronischen Daten. Das Abkommen legt die Fälle fest, in denen Regierungen ohne Erlaubnis der Dateneigentümer Daten von Dienstleistungsanbietern anfordern können. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben in einer gemeinsamen Stellungnahme zum CLOUD Act festgehalten, dass diese Art von Abkommen die einzige Möglichkeit sei, die Einhaltung des Datenschutzes zu ermöglichen. Dieses Abkommen ist jedoch nicht auf andere europäische Länder anwendbar. Die doppelte Gesetzgebung bricht die DSGVO-Bestimmungen über Rechtmässigkeit und Datenschutz, da die Anforderungen des CLOUD-Acts gemäss DSGVO-Artikeln 6 und 49 nicht akzeptabel sind. Infolgedessen befinden sich viele Unternehmen weiterhin im Dilemma CLOUD-Act vs. DSGVO.

Nach und nach schaffte es das Thema US CLOUD Act vs. DSGVO an die Spitze der langen Liste von Fragen zur Datensicherheit und zu den Herausforderungen der digitalen Transformation.

Wieso Sie sich für eine DSGVO-konforme Cloud entscheiden sollten

Die Welt titelte im Jahr 2018 “US-Firma kauft Datentresor der Dax-Konzerne”.1 Viele europäische Unternehmen, die für den Austausch sensibler Informationen im Vorstand und Aufsichtsrat auf die Lösung des Münchner Softwarehauses setzen, gerieten in eine heikle Situation. Die Übernahme gewährte den US-Behörden potentiellen Zugang zu Daten.

Die Übernahme sorgte für Überraschung und Nervosität auf dem Markt. Der deutsche Anbieter Brainloop fusionierte mit dem US-Softwareanbieter Diligent, wodurch das Unternehmen seine Souveränität im Datenschutzrecht verlor.2 Der Verkauf schuf eine heikle Situation in Europa und immer mehr Unternehmen sahen die Notwendigkeit, sich für DSGVO-konforme Cloud-Anbieter zu entscheiden. Laut einer EY-Studie zur Digitalisierung im Aufsichtsrat beschäftigt sich etwa die Hälfte der Teilnehmer regelmässig mit Themen wie Datensicherheit, Datenlecks, Datenschutz und Datenhoheit.

Nach der Fusion waren die Brainloop-Kunden gezwungen, sich mit der neuen Besitzer-Struktur und den Auswirkungen eines amerikanischen Eigentümers auseinanderzusetzen. Obwohl Brainloop darauf hinweist, dass die Server in Deutschland und der Schweiz stehen, ist dies keine Garantie dafür, dass die Firma ihren Kunden eine DSGVO-konforme Cloud anbietet.

Die Muttergesellschaft Diligent versicherte, dass sie den US CLOUD Act einhalten wird, wodurch US-Behörden Zugang zu sensiblen Daten gewährt wird - ohne die Dateneigentümer zu benachrichtigen. So kann in Härtefällen das CLOUD-Gesetz zur Anwendung kommen, um Zugang zu Daten auf ausländischen Servern zu erhalten. Dies gilt für alle Daten im Eigentum von Diligent und aller Tochtergesellschaften.

Welche Cloud ist DSGVO-konform? Die Vorteile der Schweizer Cloud

Es wird klar, dass US-Cloud-Anbieter unter anderen rechtlichen Rahmenbedingungen arbeiten. Dies steht meist im Widerspruch zu den DSGVO- und Datensicherheitsanforderungen der Europäischen Union. Besonders im Umgang mit sensiblen Informationen - wie persönlichen Daten oder Börseninformationen - wird dies zu einem kritischen Punkt. Aus diesem Grund sollten sich europäische Unternehmen für eine DSGVO-konforme Cloud entscheiden. Damit müssen sie ihre Daten keinen Organisationen anvertrauen, die europäische und amerikanische Gesetzgebungen einhalten müssen.

Was sind also die Alternativen? Die Schweiz gilt als eine der besten Serverstandorte weltweit:

  • Sie verfügt über ein stabiles politisches Umfeld
  • strenge Datenschutzgesetze
  • eine gut funktionierende Infrastruktur

Dies macht das Land zu einem idealen Standort für viele (Cloud-)Unternehmen. Nach Schweizer Recht werden Daten, die ins Ausland ausgelagert werden, einer sorgfältigen Prüfung unterzogen. Das Outsourcing für Banken und Versicherungen wird von der Eidgenössischen Finanzmarktaufsicht FINMA detailliert geregelt. Das heisst, Daten dürfen nur dann ins Ausland ausgelagert werden, wenn das Unternehmen ausdrücklich zusichern kann, dass es selber, seine Prüfgesellschaft, sowie die FINMA die Einsichts- und Prüfrechte wahrnehmen und durchsetzen können.3

Immer mehr Firmen verlagern deshalb ihren Serverstandort in die Schweiz. Zudem sind hier ansässige Firmen nicht vom US CLOUD Act betroffen.

Schweizer Cloud Sherpany: Vom US CLOUD Act nicht betroffen

Für zahlreiche Unternehmen, die Bussgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes aufgrund von Konflikten mit Compliance-Anforderungen vermeiden wollen, ist Sherpany ein gutes Beispiel für einen europäischen Anbieter von DSGVO-konformen Cloud-Lösungen.4 Das Schweizer Unternehmen bietet ausschliesslich Cloud Hosting in hochsicheren Rechenzentren in der Schweiz an. Darüber hinaus bietet Sherpany seinen Kunden eine Doppelstrategie an, indem es die Vorteile einer privaten Cloud mit der Datenspeicherung im Unternehmen selbst kombiniert (Hybrid-Cloud). Sherpany ist ISO 27001-zertifiziert, verfügt über eine ISAE 3000-Zertifizierung (Typ 2) und ist konform mit der FINMA-Regulierung für Outsourcing. Kunden von Sherpany sind also vom CLOUD Act nicht betroffen und halten somit die DSGVO ein.

 

Hinweis: Dieser Artikel wurde im Juli 2020 aktualisiert.


1. 'US-Firma kauft Datentresor der Dax-Konzerne', WELT, July 2018.
2. 'CLOUD Act: Weltweiter Zugriff auf Nutzerdaten bei Internet-Unternehmen', Steiger Legal, March, 2018.
3. 'Microsoft vs. USA: Supreme Court entscheidet nicht über internationalen Datenzugriff', Heise Online, April, 2018.
4. 'GDPR Fines / Penalties', Intersoft Consulting.

Mathias Brenner
Mathias Brenner
CTO bei Sherpany
Mathias Brenner hat einen EMBA in Digital Transformation und einen akademischen Hintergrund in angewandter Wissenschaft in Management und IT Services. Mit seiner weitreichenden Führungserfahrung, führt er unsere IT-Sicherheits- und Engineering-Teams und leitet ebenfalls unsere täglichen Angelegenheiten im Bereich Logistik und Teammanagement.
Besuchen Sie die Webseite

Einblicke und Ressourcen

facebooktwittergoogle-plus2linkedin2envelopsearch

Einblicke und Ressourcen

Unsere Inhalte unterstützen Führungskräfte dabei, ihre Meetings zum Erfolg zu machen und ihre Unternehmensziele zu erreichen. Dazu gehören: Experteninterviews, Artikel, White Papers, Leitfäden und Fallstudien.


Unsere Inhalte legen einen Fokus auf folgende Themen:

  • Meeting Management
  • Digitale Transformation
  • Agile Führung

Testen Sie Sherpany

Gerne würden wir mit Ihnen einen passenden Termin und den Ort einer ganz auf Sie zugeschnittenen Demonstration von Sherpany vereinbaren. Füllen Sie einfach dieses Formular aus und wir setzen uns umgehend mit Ihnen in Verbindung.

Kontaktieren Sie uns

Wenn Sie mit uns über unsere Lösung sprechen möchten oder spezielle Wünsche haben, kontaktieren Sie uns und wir werden uns in Kürze mit Ihnen in Verbindung setzen.

Preisanfrage

Füllen Sie das folgende Formular aus und Sie werden so schnell wie möglich kontaktiert.

Newsletter abonnieren