Aktuelles, Branche - geschrieben von dp am Mittwoch, August 21, 2019 17:57 - noch keine Kommentare
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld
Michael Scheffler rät Unternehmen zur „Zero Trust“-Policy
[datensicherheit.de, 21.08.2019] Mit der DSGVO trat fast zeitgleich der US-amerikanische „CLOUD Act“ in Kraft – von den Auswirkungen dieser beiden konkurrierenden Regelungen sind auch Cloud-nutzende Unternehmen betroffen. Beispielsweise können sich europäische Cloud-Anbieter nicht mehr sicher sein, vom Geltungsbereich des „CLOUD Act“ ausgenommen zu sein. Michael Scheffler, „Area VP EMEA“ bei Bitglass, zeigt in seiner aktuellen Stellungnahme auf, welche rechtlichen Konflikte diese Konstellation außerdem gegenwärtig aufwirft und welche Aspekte Unternehmen langfristig in der Cloud-Security-Strategie berücksichtigen sollten.
Michael Scheffler: Größere Sorgfalt in der Auswahl ihrer Cloud-Anbieter walten lassen!
In der Praxis können zwei Rechtsauffassungen unvereinbar miteinander in Konflikt geraten
Scheffler: „Nahezu zeitgleich mit der DSGVO ist der US-amerikanische ,CLOUD Act‘ in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt.“ Nicht nur für Cloud-Anbieter, sondern auch für Unternehmen, die Cloud-Anwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen.
„Anliegen des ,Clarifying Lawful Overseas Use of Data‘ (CLOUD) Act ist es, die US-amerikanische Strafverfolgung zu erleichtern, indem der Zugriff auf im Ausland gespeicherte Kommunikationsdaten von Verdächtigen vereinfacht wird.“ Was bislang im Rahmen von Rechtshilfeabkommen zwischen den Regierungsbehörden verschiedener Länder im Laufe mehrerer Monate abgewickelt worden sei, solle nun schneller möglich sein.
Nicht nur Verkehrsdaten sondern auch Inhaltsdaten betroffen
Gemäß „CLOUD Act“ könnten US-Ermittlungsbehörden Daten direkt von Unternehmen wie beispielsweise Microsoft, Google oder Amazon anfordern. Eingeschlossen seien damit auch Daten, „die auf Servern im Ausland gespeichert sind“. Betroffen davon seien nicht nur Verkehrsdaten sondern auch Inhaltsdaten.
Eine richterliche Anordnung benötigten die Ermittler für die Anforderung nicht. Der Cloud-Anbieter wiederum sei nicht dazu verpflichtet, die Betroffenen über die Herausgabe der Daten zu unterrichten. „Dies steht im Widerspruch zu den Bestimmungen der Datenschutzgrundverordnung“, betont Scheffler.
Verhandlungen zwischen EU und USA erst am Anfang
Komme es zu einer Anfrage nach in Europa gespeicherten Datensätzen, könnten Cloud-Anbieter nur eines der beiden Gesetze – „CLOUD Act“ oder DSGVO – einhalten. Zwar mache der „CLOUD Act“ die Einschränkung, „dass die Herausgabe von Daten nur erfolgen soll, sofern dadurch keine nationalen Gesetze gebrochen werden“. Für diese Fälle sollten bilaterale Abkommen geschlossen werden, um die Art des Zugriffs weiter zu regeln. Jedoch befänden sich die entsprechenden Verhandlungen zwischen der Europäischen Union und den Vereinigten Staaten erst am Anfang. Somit herrsche gegenwärtig rechtliche Unsicherheit.
Die Tatsache, dass die großen Anbieter geschlossen den „CLOUD Act“ begrüßt hätten, beunruhige europäische Datenschützer zusätzlich und veranlasse dazu, die aktuellen Auswirkungen auf die DSGVO genauer zu evaluieren. Neben der unmittelbaren Verletzung der durch die DSGVO geschützten Persönlichkeitsrechte bringe der „CLOUD Act“ theoretisch auch Auswirkungen für die Cloud nutzende Unternehmen mit sich.
EU-Unternehmen müssen hiesiges Datenschutzniveau der DSGVO einhalten
Scheffler erläutert: „Verarbeiten Unternehmen personenbezogene Daten in der Cloud, müssen sie sicherstellen, dass dabei das in der Europäischen Union geforderte Datenschutzniveau eingehalten wird. Dementsprechend ist es in europäischen Unternehmen ,best practice‘, sich für einen Cloud-Anbieter mit Rechenzentren in der EU zu entscheiden.“
Nun sei damit allerdings nicht mehr automatisch sichergestellt, den geforderten Standard zu erfüllen. „Warum? Weil der ,CLOUD Act‘ sich nicht auf Firmen mit Hauptsitz in den USA beschränkt“, so Scheffler. Er beziehe sich auf Unternehmen weltweit, „die eine Niederlassung in den USA unterhalten oder dort einer Geschäftstätigkeit nachgehen“.
Gegebenenfalls sind Verträge mit Cloud-Anbietern DSGVO-konform anzupassen
Damit sei der Blick auf den Unternehmenssitz und den Verarbeitungsstandort eines Unternehmens nicht mehr ausreichend, um seiner Sorgfaltspflicht im Rahmen der DSGVO nachzukommen. „Unternehmen, die die Verarbeitung personenbezogener Daten in der Cloud planen, müssten daher eine noch größere Sorgfalt in der Auswahl ihrer Cloud-Anbieter walten lassen und gegebenenfalls ihre Verträge mit ihnen entsprechend anpassen.“
Beispielsweise wäre es denkbar, den Cloud-Anbieter vertraglich zu verpflichten, den Nutzer über eine Expansion in die USA und damit in den Gültigkeitsbereich des „CLOUD Act“ zu informieren.
Nach DSGVO-Lesart ein Verstoß: Auswahl von Cloud-Anwendungen eines US-Anbieters
Vor dem Hintergrund des „CLOUD Act“ sähen Datenschützer außerdem die Nutzung populärer Cloud-Anwendungen mit Sorge, „sofern davon personenbezogene Daten betroffen sind“. Stellten US-Behörden eine Anfrage zu bestimmten Personendaten bei einem großen Cloud-Anbieter, bestehe theoretisch die Gefahr, „dass die mit der betroffenen Person verbundenen, in einem Unternehmen verarbeiteten Daten aus Cloud-Anwendungen herausgegeben werden“. Da ein Zugriff durch US-Behörden auf diese Daten nicht ausgeschlossen werden könne, sei auch hier womöglich das geforderte Datenschutzniveau nicht erfüllt und die Persönlichkeitsrechte nicht ausreichend gewahrt.
Demzufolge begingen Unternehmen nach DSGVO-Lesart einen Verstoß: „Indem sie sich für Cloud-Anwendungen eines US-Anbieters entscheiden, nehmen sie das Risiko eines unberechtigten Zugriffs Dritter in Kauf. Ihrer Verpflichtung zu einer Datenschutz-Folgenabschätzung wären sie dementsprechend nicht ausreichend nachgekommen“, warnt Scheffler.
Zero Trust-Policy für unternehmenseigene Daten empfohlen
Angesichts der laufenden Verhandlungen zwischen der Europäischen Union und den USA erscheine es zwar unwahrscheinlich, dass Cloud-Nutzer gegenwärtig auf Grund der eben erläuterten Szenarien Konsequenzen im Zuge der DSGVO befürchten müssten.
An der zu Grunde liegenden Problematik ändere dies allerdings nichts: „Die DSGVO verlangt von Unternehmen vollständige Kontrolle über die von ihnen erhobenen Daten und zwar über die gesamte Verarbeitungskette hinweg. Der ,CLOUD Act‘, der sich über diese Ebene hinwegsetzt, unterminiert diese Kontrollfunktion.“ Für Unternehmen stehe außerdem die Frage im Raum, inwieweit betriebsinterne Informationen von den Zugriffsrechten des „CLOUD Act“ beeinträchtigt sein könnten. Sollten im Zuge von Ermittlungen auch Unternehmensdaten an die Behörden übergeben werden, wüssten die betroffenen Unternehmen darüber nicht Bescheid. Ebenso wenig hätten sie Kenntnis darüber, „ob, wo und wie lange ihre Daten aufbewahrt werden oder ob noch weiteren Behörden darauf Zugriff ermöglicht wird“.
Unternehmensdaten während Übertragung und Speicherung verschlüsseln
Derartige Szenarien führten vor Augen, dass künftig in der Cybersecurity-Strategie von Unternehmen nicht nur die Sicherheit von Daten, sondern auch die Kontrolle über diese einen hohen Stellenwert einnehme. Eine „Zero Trust“-Policy, deren Maßnahmen auf Datenebene ansetzten, sei daher bei der Nutzung von Cloud-Anwendungen langfristig der richtige Weg, so Scheffler.
Unternehmensdaten müssten sowohl während der Übertragung als auch in den Cloud-Speicherorten zuverlässig gesichert und verschlüsselt werden. Ergänzend dazu sei für ein möglichst hohes Sicherheitsniveau ein angemessenes Schlüsselmanagement ratsam. Alle Keys sollten unternehmensintern gehostet werden. Scheffler rät: „Wer auf Nummer sicher gehen möchte, kann diese außerdem ,on-Premises‘ in einem Hardware-Sicherheitsmodul verwahren. Auf diese Weise erlangen Unternehmen nicht nur Kontrolle über ihre Daten zurück. Sie erfüllen auch die Sicherheitsvorgaben im Sinne der DSGVO: Werden verschlüsselte Daten entwendet, sind sie für Unbefugte wertlos.“
Weitere Informationen zum Thema:
datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten
datensicherheit.de, 12.07.2019
U.S. CLOUD Act: EDSA positioniert sich zu Auswirkungen
datensicherheit.de, 22.06.2019
Einfluss der Cloud auf das Thema „Cybersecurity“
datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial
datensicherheit.de, 24.08.2011
NIFIS warnt: US-amerikanische Cloud-Anbieter unterliegen Patriot Act
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren