Dieser Artikel ist auch verfügbar in: English
In der heutigen digitalen Welt sind Cloud-Dienste und Softwarelösungen zu unverzichtbaren Werkzeugen für Unternehmen, Institutionen und Behörden geworden. Insbesondere im Rahmen der digitalen Transformation wächst der Wunsch, digitale Prozesse zu schaffen und zu stärken – nicht selten wird hierfür entsprechende Software eingekauft. Doch hier lohnt sich ein genauer und kritischer Blick darauf, welche Systeme in die IT-Landschaft integriert werden und wo versteckte Gefahren lauern.
Gerade in Hinblick auf die Einhaltung der europäischen Datenschutzvorgaben empfiehlt sich ein genauer Blick hinter die Kulissen der Software und deren Anbieter, die oft im Ausland sitzen und dem dortigen Regelwerk unterliegen. Ein prominentes Beispiel ist der amerikanische US Cloud Act, dessen Einführung erhebliche Fragen über Datenschutz und Sicherheit aufgeworfen hat, denen sich Unternehmen und Institutionen in Deutschland und Europa bei der Wahl neuer Software dringend stellen sollten.
Im Folgenden geben wir einen Überblick über den US Cloud Act, seine Entstehungsgeschichte und die potenziellen Gefahren für europäische Unternehmen.
Was ist der Cloud Act?
Kurz gefasst: Hinter dem simplen Begriff „Cloud Act“ versteckt sich die Möglichkeit für US-Behörden, ohne vorherige Genehmigung jederzeit auf personenbezogene Daten in Rechenzentren in Europa und anderen Teilen der Welt zugreifen zu können. Der US Cloud Act, vollständig der „Clarifying Lawful Overseas Use of Data Act“, ist ein Gesetz, das 2018 in den Vereinigten Staaten verabschiedet wurde.
Es umfasst ein Regelwerk zur Klarstellung des rechtmäßigen Umgangs mit Daten, die im Ausland liegen. Dieses Gesetz ermöglicht es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen in der Cloud gespeichert sind, unabhängig davon, ob diese Daten auf Servern in den USA oder außerhalb der USA gespeichert sind.
Wie entstand der US Cloud Act?
Allem voran stand ein Beschluss, der ursprünglich nur der Terrorabwehr nach dem 11. September 2001 dienen sollte. Der sogenannte “Patriot Act” ermöglichte es dem FBI und den US-Behörden, auf Daten von US-Unternehmen im Ausland zuzugreifen. Schon damals wurde der Beschluss in Europa kritisch diskutiert. Daraus resultierte einige Jahre später der wirtschaftlich erweiterte US Cloud Act.
Der US Cloud Act entstand zur selben Zeit wie die Datenschutz-Grundverordnung “DSGVO”. Der Beschluss wurde am 23. März 2018 verabschiedet, als Reaktion auf einen langwierigen Rechtsstreit zwischen Microsoft und der US-Regierung. Im Kern ging es darum, ob Microsoft verpflichtet sei, Kundendaten, die auf Servern in Irland gespeichert sind, ohne gerichtlichen Beschluss an die US-Behörden herauszugeben.
Die Antwort lautet: Ja, da Microsoft ein US-Unternehmen ist, waren sie dazu verpflichtet, unabhängig davon, wo die Server stehen. Der US Cloud Act wurde verabschiedet, um Klarheit in dieser Angelegenheit zu schaffen und den US-Behörden die uneingeschränkte Befugnis zu erteilen, auf diese Daten zuzugreifen. Damit steht der Cloud Act im eindeutigen Widerspruch zu unserer DSGVO.
Wie gefährlich ist der US Cloud Act?
Der US Cloud Act wirft erhebliche Bedenken hinsichtlich des europäischen Datenschutzes und der Privatsphäre auf. Da er US-Behörden den uneingeschränkten Zugriff auf Daten ermöglicht, die außerhalb der USA gespeichert sind, könnten europäische Unternehmen und Organisationen, die amerikanische Cloud-Dienste oder Softwarelösungen nutzen, potenziell von US-Behörden überwacht werden, ohne dass sie davon in Kenntnis gesetzt werden. Es gibt hierzu keine Informationspflicht seitens der USA.
Konsequenzen für europäische Unternehmen und Organisationen
Europäische Unternehmen und Behörden stehen vor der Herausforderung, die Datenschutzbestimmungen der EU, insbesondere die Datenschutz-Grundverordnung (DSGVO), einzuhalten, und vollen Datenschutz und Datensouveränität zu gewährleisten, während sie gleichzeitig amerikanische Software und Cloud-Dienste nutzen. Sobald sie in irgendeiner Form mit US-amerikanischem Cloud-Computing in Berührung kommen, wird die Einhaltung von Datenschutzstandards zur Herausforderung.
Der US Cloud Act und seine potenziellen Auswirkungen auf den Datenschutz könnten zu erheblichen rechtlichen und finanziellen Risiken führen, im Zweifel folgen bei Missachtung der DSGVO hohe Geldstrafen und Sanktionen. Unternehmen müssen sicherstellen, dass sie die Daten ihrer Kunden und Mitarbeiter angemessen schützen und die Anforderungen der DSGVO einhalten.
Die grundlegende Regel lautet: Gespeicherte Daten, die in Europa verarbeitet werden, unterliegen den Bestimmungen der Europäischen Union und damit der Datenschutz-Grundverordnung (DSGVO). Es existiert kein Abkommen zwischen der EU und den USA, das speziell auf das Cloud Act-Gesetz eingeht. Daher führt bereits die Weitergabe von in der EU gespeicherten Daten automatisch zu einem Verstoß gegen die DSGVO. Dies zu vermeiden, gelingt ausschließlich mit dem Einsatz europäischer Software, die der europäischen DSGVO folgt.
An erster Stelle sollte neben der Einhaltung der DSGVO auch die Verantwortung gegenüber der eigenen Kunden stehen. Unternehmen, die weiterhin Cloud-Dienste von US-amerikanischen Anbietern nutzen, können nicht mehr sicherstellen, dass sie die Datenschutzanforderungen einhalten. Dies hat nicht nur rechtliche Konsequenzen, sondern mindert auch das Vertrauen der Kundschaft in erheblichem Maße.
So nicht! Die deutsche Verwaltung als aktuelles Beispiel
Ein aktuelles Beispiel für die Herausforderungen, die der US Cloud Act für europäische Datenschutzbestimmungen darstellt, ist der Rahmenvertrag der deutschen Bundesverwaltung mit Unternehmen wie Microsoft und Oracle. Diese Vereinbarungen erlauben es diesen Unternehmen, Cloud-Dienste und Softwarelösungen für die deutsche Regierung bereitzustellen. Dies hat zu Bedenken hinsichtlich des Datenschutzes und der Souveränität geführt, da die Daten deutscher Bürger und Behörden potenziell von US-Behörden eingesehen werden könnten.
Unterschiede zwischen dem US Cloud Act und der DSGVO
Die DSGVO und der US Cloud Act unterscheiden sich grundlegend in ihrer Herangehensweise an den Datenschutz. Während die DSGVO den Schutz personenbezogener Daten betont und bei Weiterverwendung die Zustimmung der Betroffenen einfordert, ermöglicht der US Cloud Act den US-Behörden den uneingeschränkten Zugriff auf Daten unabhängig von der Zustimmung der Betroffenen. Dieser Unterschied in den Ansätzen kann zu Konflikten, Unsicherheiten und schlussendlich Straftaten führen, wenn es um den Schutz von Daten in europäischen Organisationen geht.
Grenzüberschreitende Strafverfolgung als Teil des US Cloud Act
Mit dem US Cloud Act entstand das Konzept der grenzüberschreitenden Strafverfolgung. Das bedeutet, dass US-Behörden jederzeit auf Daten außerhalb der USA zugreifen können, um strafrechtliche Ermittlungen durchzuführen. Dies stellt eine neue Dimension der Rechtsdurchsetzung dar, die potenziell den Datenschutz in Europa gefährdet, da sie weit über diesen Anwendungszweck hinaus betrieben wird.
US-amerikanische Behörden betonen hierfür die Dringlichkeit der grenzüberschreitenden Verbrechensbekämpfung und der Gewährleistung umfassender Sicherheit durch das US-Gesetz. Obwohl Unternehmen theoretisch die Möglichkeit haben, die Weitergabe sensibler Daten zu verweigern, gestaltet sich dies in der Praxis oft schwierig.
Die DSGVO der Europäischen Union erlaubt die internationale Übermittlung sensibler Daten nur unter bestimmten Bedingungen, darunter das Vorhandensein von Rechtshilfeabkommen in Strafsachen oder anderen Abkommen zwischen Drittländern und der EU gemäß Artikel 48 der DSGVO. Zudem müssen gemäß Artikel 5 der DSGVO rechtfertigende Gründe für die Übermittlung personenbezogener Daten in Drittländer vorhanden sein.
Die Lösung: Vorsicht bei US-Software und Cloud-Diensten!
Unternehmen und besonders öffentliche Einrichtungen, in denen die Sicherheit der IT-Systeme und der Schutz sensibler Daten und Geschäftsinformationen notwendig sind, sollten äußerst kritisch vorgehen, wenn es darum geht, den richtigen Cloud-Anbieter auszuwählen.
Zuerst sollte gründlich geprüft werden, wo sich der Hauptsitz und die Rechenzentren des potenziellen Cloud-Anbieters befinden. Datenschutzrechtlich gesehen sind Unternehmen in Europa auf der sicheren Seite, wenn sie nur Anwendungen verwenden, die von einem europäischen Cloud-Anbieter bereitgestellt werden und deren Rechenzentren sich in Europa befinden. So ist es auch bei Conceptboard gegeben.
Es ist daher ratsam, vor allem bei hohen Ansprüchen an Datenschutz und Datensicherheit, von der Nutzung amerikanischer Cloud-Anbieter gänzlich abzusehen. Unternehmen gehen auf Nummer sicher, wenn sie ausschließlich Cloud-Dienste nutzen, die sich in der EU befinden. Zusätzlich ist die Verwendung verschlüsselter Cloud-Dienste äußerst sinnvoll. Denn die Aufforderung zur Herausgabe betrifft lediglich die Datenübertragung, nicht jedoch die Verpflichtung zur vorherigen Entschlüsselung.
Sollte dennoch eine Aufforderung zur Datenherausgabe durch US-Behörden erfolgen, empfiehlt es sich, Beschwerden bei den entsprechenden staatlichen Stellen der USA einzureichen und zu argumentieren, dass die Daten keine US-Bürger betreffen und daher der Datenschutz des jeweiligen EU-Landes gilt.
Keine Macht dem US Cloud Act! Conceptboard ist aus Deutschland
Als deutsches Unternehmen, Anbieter eines Kollaborations-Tools, das vor allem im öffentlichen Verwaltungssektor zum Einsatz kommt, stehen wir für Sicherheit und Datenschutz. Die Sicherheit und der Schutz personenbezogener Daten hat für uns und unsere Kunden höchste Priorität. Diesem Anspruch werden wir jeden Tag aufs Neue gerecht und gewährleisten 100-prozentige Datensouveränität. Deshalb wird Conceptboard nicht nur vollständig in Deutschland entwickelt, sondern hat sich auch bewusst für den Serverstandort Deutschland entschieden.
Um unseren eigenen Ansprüchen gerecht zu werden und dauerhaft den besten Datenschutz für unsere Nutzer gewährleisten zu können, hostet Conceptboard vollständig in Deutschland. Nur so kann sichergestellt werden, dass alle Daten vor dem Zugriff durch unbefugte Dritte geschützt sind. Nicht nur heute, sondern auch in Zukunft. Wem das nicht sicher genug ist, für den bieten wir die Möglichkeit eines dedizierten Servers oder auch das Hosting im eigenen Rechenzentrum.
Als erste visuelle Whiteboard-Lösung sind wir zudem ISO 27001 zertifiziert und im Gegensatz zu amerikanischen Anbietern DSGVO-konform. Wir verpflichten uns zur Wahrung der Vertraulichkeit und Integrität sowie der Zugänglichkeit von Informationen. Den Nachweis dafür haben wir mit der Zertifizierung nach ISO 27001 erbracht. Dies bestätigt nun offiziell die Wirksamkeit unseres Managementsystems für Informationssicherheit.
Conceptboard enthält keine gesellschaftliche Beteiligung eines US-Unternehmens und hat selbst keine Niederlassung in den USA. Weiterhin werden alle Daten der TeamDrive Kunden vor dem Hochladen in die Cloud hoch verschlüsselt und die Schlüssel verbleiben unter ausschließlicher Kontrolle des Kunden.
Fazit
Insgesamt sind die Auswirkungen des US Cloud Act auf europäische Unternehmen und den Datenschutz in Europa ein komplexes und kontroverses Thema. Die Nutzung amerikanischer Software und Cloud-Dienste erfordert in jedem Fall eine sorgfältige Abwägung der Risiken und die Implementierung von geeigneten Sicherheitsmaßnahmen, um die Privatsphäre und den Datenschutz zu schützen. Doch bei dieser Entscheidung sollte stets der Datenschutz vor dem Preis oder anderen Vorteilen stehen – ohne Kompromisse!
Wer jedoch auf Nummer sicher gehen möchte, entscheidet sich für einen Cloud-Dienst, der sich in der EU befindet. Bei Conceptboard sind Datenschutz, Datensouveränität und Privatsphäre selbstverständlich.