Cloud Act: Wichtiger Hinweis zur Cloud Anbieter Wahl
14.05.2018
Dieser aktuelle Hinweis von Mahr EDV zur Cloud Anbieter Wahl erfolgt aus gegebenem Anlass: Mit dem US-Budget wurde in den Vereinigten Staaten am 23. März 2018 ein neues Gesetz verabschiedet: der sogenannte Cloud Act (siehe: hier). Danach sind us-amerikanische Cloud-Anbieter verpflichtet, Kundendaten auf Anforderung der Regierung bzw. Behörden herauszugeben, und zwar unabhängig davon, in welchem Staat die Daten physisch gelagert sind.
Konsequenzen des Cloud Act für europäische Unternehmen
Für europäische Unternehmen hat der Cloud Act gravierende Konsequenzen. Die Verpflichtung von US-Unternehmen zur Herausgabe von Daten gilt schließlich auch dann, wenn diese in der EU gelagert werden, und zwar ungeachtet, ob durch die Herausgabe der Daten nationales/europäisches Recht verletzt wird. US Firmen müssen also auf Anordnung von Behörden EU Daten auch entgegen aller EU Datenschutzbemühungen herausgeben und somit auch die neue DSGVO der EU verletzen!
Cloud Act und DSGVO
Europäische Unternehmen sind nun aber seit Mai 2018 an die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union gebunden. Die DSGVO verpflichtet Unternehmen auf den Schutz personenbezogener Daten in der Cloud und zu einer Dokumentation des Datenaustauschs mit der Cloud. Sollte es also z.B. zu einem Datendiebstahl oder Manipulationen kommen und eine Verletzung der Sorgfaltspflichten nachweisbar sein, drohen Geldstrafen (siehe: Mahr EDV-Artikel zur DSGVO).
Wie reagieren?
Diese neue Entwicklung in der us-amerikanischen Gesetzgebung beinhaltet für europäische Unternehmen zwei problematische Momente: 1.) einen Unsicherheitsfaktor: Noch ist alles andere als klar, welche rechtlichen Konsequenzen es für Unternehmen hat, wenn der amerikanischer Cloud Anbieter auch in Europa gelagerte Kundendaten herausgibt und das Unternehmen so gegen die DSGVO verstößt. 2.) ein Glaubwürdigkeitsproblem: Wer mit einem amerikanischen Cloudanbieter zusammenarbeitet, kann wiederum seinen Kunden nicht mehr wirklich eine Sicherheit seiner Daten versprechen, egal, wo diese physisch gelagert sind.
Mahr EDV kann angesichts dieser komplexen und juristisch verzwickten Lage daher nur empfehlen, Cloud-Anbieter zu wählen, die der DSGVO und nicht dem Cloud Act verpflichtet sind.