US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit

Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

[datensicherheit.de, 16.04.2021] Uniscon hat den dritten Jahrestag des sogenannten CLOUD Act der USA zum Anlass genommen, die rechtlichen Fallstricke für europäische Unternehmen genauer zu beleuchten. Am 23. März 2018 sei mit dem CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ein umstrittenes US-amerikanisches Gesetz aus der Taufe gehoben worden. Dessen Ziel sei es, Strafverfolgungsbehörden ein schlagkräftiges Instrument an die Hand zu geben, um Organisierte Kriminalität sowie Terrorismus effektiv bekämpfen zu können. Der CLOUD Act erlaube es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten, und solle es zudem erleichtern, diese Anfragen durchzusetzen.

Datenschützer äußern immer wieder Kritik am CLOUD Act

Da die angeforderten Informationen in der Regel auch personenbezogene Daten beinhalteten, äußerten Datenschützer immer wieder Kritik am CLOUD Act. Vor allem die Gefahr, dass unbescholtene EU-Bürger ohne Anlass ins Fadenkreuz staatlicher Akteure geraten könnten, hinterlasse bis heute einen faden Beigeschmack an diesem Gesetzeswerk.
In Zeiten fortschreitender Digitalisierung könne sich kaum ein Unternehmen dem Gang in die Cloud erwehren. Da sich jedoch die meisten – und größten – Cloud-Provider in den USA befänden, sorgten sich viele in der EU ansässige Firmen um die Daten ihrer Kunden. Denn diese fielen auch dann in den Geltungsbereich des CLOUD Act, wenn sie in der EU lägen oder verarbeitet würden, solange der betreffende Server einem US-amerikanischen Anbieter oder einer Tochtergesellschaft gehöre.

Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?

Dieser Umstand sorge bei vielen Unternehmen für Fragen: „Mache ich mich strafbar, wenn ich die personenbezogenen Daten meiner Kunden und Geschäftspartner bei einem US-Dienst speichere oder verarbeiten lasse? Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?“ Diese Sorgen kämen nicht von ungefähr – denn mit dem Ende des „EU-US Privacy Shield“ fehle nun jede Rechtssicherheit beim Datenaustausch zwischen EU und den USA. Die Frage nach möglichen Compliance-Problemen sei somit berechtigt und sollte von jedem Datenschutzbeauftragten gestellt werden. Die Antwort indes sei nicht ganz so einfach und bedürfe einer Betrachtung, wie die US-amerikanischen Provider mit dieser Problematik umgehen.
„Wer nun befürchtet, dass jeder Datensatz auf Servern von Microsoft, Amazon, Apple oder Google automatisch in die Hände der amerikanischen Behörden gelangt, liegt daneben.“ Die Tech-Giganten nämlich wehrten sich mit allen ihnen zur Verfügung stehenden Mitteln, um die pauschale Herausgabe von Kundendaten an Strafverfolger zu verhindern. Eine Datenfreigabe erfolge nur, wenn die anfragende Behörde die geltenden rechtlichen Verfahren befolge und die Rechtmäßigkeit der Anfrage nachweisen könne. Erst dann könne der Cloud-Provider zu einer Datenherausgabe gezwungen werden.

Antwort auf CLOUD Act: Konkurrenzfähige und innovative IT-Industrie in Europa!

Erfreulicherweise sei die grundsätzliche Ablehnung von behördlichen Anfragen in jüngster Vergangenheit recht erfolgreich und lasse europäische Firmen und Privatnutzer optimistisch in die Zukunft blicken: „So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem Microsoft diese vor einem US-Gericht angefochten hatte.“
Doch wenn wir den Datenschutz unserer europäischen Mitbürger wirklich ernstnehmen, gelte es, die eigenen Strukturen und Märkte zu stärken. Dazu brauche es eine konkurrenzfähige und innovative IT-Industrie in Europa. Diese müsse sowohl innovative Start-Ups als auch etablierte Player umfassen, welche der US-Konkurrenz auf Augenhöhe begegnen könnten.

Confidential Computing – ein mächtiges Instrumente im Kampf gegen Industriespionage, Cyber-Kriminalität und Zugriff via CLOUD Act

Vielversprechende Projekte wie „GAIA-X“, welche als Gegengewicht zur US-Konkurrenz dienen solle, machten Hoffnung. Hinzu kämen Anbieter wie etwa die TÜV SÜD-Tochter Uniscon, die nach eigenen Angaben „effektiven Datenschutz in der Cloud mit Hilfe von ,Confidential Computing‘ bzw. ,Sealed Computing‘ umsetzt“. „Confidential Computing“ beschreibt demnach den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dazu erfolge diese innerhalb eines sicheren Bereichs, der sogenannten „Trusted Execution Environment“ (TEE).
Dies lasse sich sowohl auf Prozessorebene realisieren – wie es Google, Microsoft, Intel, IBM & Co. umsetzten – oder, wie im Falle des „Sealed Computing“, auf Server-Ebene. „Dort findet die Datenverarbeitung auf geschützten Server-Enklaven statt, die über reduzierte Schnittstellen verfügen und Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich so verhindern.“ Damit sei „Confidential Computing“ eines der mächtigsten Instrumente im Kampf gegen Industriespionage und Cyber-Kriminalität – und schütze auch vor dem Zugriff durch ausländische Behörden.

Am Ende entscheidet der Nutzer: CLOUD Act oder lieber DSGVO?

An Ideen und Konzepten mangele es in Europa wahrlich nicht. „Am Ende jedoch entscheidet der Nutzer über den Erfolg oder Misserfolg solcher Initiativen.“ Daher sei es von existenzieller Wichtigkeit, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen.
Dafür gelte es noch viel Überzeugungsarbeit zu verrichten. „Sachverstand und Erfindergeist haben uns in Europa noch nie gefehlt; nun gilt es, die Fortschritte und Meilensteine der eigenen IT-Industrie gut und verständlich zu produktisieren und kommunizieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

Bundesministerioum für Wirtschaft und Energie
GAIA-X Eine vernetzte Datenstruktur für ein europäisches digitales Ökosystem

privacyblog, Eine Initiative von UNiSCON – A member of TÜV SÜD, 21.02.2020
Confidential Computing: Was hat das mit der Sealed Cloud zu tun?

Microsoft, 11.02.2021
Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht

LHR RECHTSANWÄLTE, Kevin Heitmeier, 21.07.2020
Schrems II-Urteil: EuGH erklärt EU-US „Privacy Shield“ für ungültig