Zum Seitenanfang

Was der CLOUD Act für europäische Unternehmen bedeutet

1. Was ist der CLOUD Act?

Der CLOUD Act (mit vollem Namen: "Clarifying Lawful Overseas Use of Data Act") wurde im März 2018 in den USA verabschiedet. Er verpflichtet in den USA ansässige Cloud-Anbieter wie Microsoft, Google oder AWS, den US-Strafverfolgungsbehörden – wie etwa dem FBI – den Zugriff auf die Daten der Nutzer zu gewähren, selbst wenn diese auf Servern in Europa liegen.

Der CLOUD Act sieht zudem vor, dass die USA mit ausländischen Staaten bilaterale Regierungsvereinbarungen treffen, die ausländischen Ermittlungsbehörden den Zugriff auf Daten erlaubt, die von US-Firmen gespeichert werden. Im Gegenzug sollen die US-Ermittler ebenfalls Zugriff auf Daten haben, die in dem entsprechenden Land gespeichert sind. Das führt zwangsläufig zu Konflikten mit bestehenden nationalen Datenschutzbestimmungen. 

2. Was ist der aktuelle Stand beim CLOUD Act?

Vorerst ist der CLOUD Act ein unilateraler Vorstoss der USA, und der Europäischen Union ist viel an einer Regelung für die gesamte Union gelegen, die nicht durch bilaterale Abkommen mit Mitgliedsstaaten aufgeweicht wird. Trotzdem droht dieses Vorgehen der USA schon jetzt über die Hintertür die europäischen Bemühungen für einen besseren Datenschutz auszuhebeln. Das Resultat für Unternehmen ist Unsicherheit, vor allem, wenn man derzeit Compliance-Anforderungen erfüllt – und das auch in Zukunft erhalten möchte.

3. Welche potenziellen Probleme birgt der CLOUD Act für europäische Unternehmen?

Der CLOUD Act kann insbesondere Bemühungen um einen starken Datenschutz torpedieren. Er kollidiert mit der europäischen DSGVO (Datenschutzgrundverordnung), die seit dem 25. Mai 2018 verbindlich ist. Streng genommen sind US-Cloud-Services damit für europäische Unternehmen nicht mehr datenschutzkonform. 

Daten, die in der EU verarbeitet werden, unterliegen dem Recht der Europäischen Union und damit der DSGVO. Darin ist geregelt, dass für die Weitergabe von personenbezogenen Daten in ein Drittland aufgrund eines gerichtlichen Urteils oder einer Entscheidung einer Verwaltung internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedsstaat bestehen muss. Ein solches Abkommen besteht allerdings für den CLOUD Act zwischen der EU und den USA nicht – ebensowenig wie selbstständig von einzelnen EU-Mitgliedsstaaten mit den USA geschlossene Abkommen mit den USA.

Aufgrund dieser Rechtslage ist eine Weitergabe der Daten, die in der EU gespeichert und verarbeitet werden, ein Verstoss gegen die DSGVO, der mit Bussen bestraft wird. Für US-Anbieter, die im europäischen Raum mit der Datenverarbeitung tätig sind bedeutet dies, dass sie sich letztendlich entscheiden müssen, gegen welches Recht sie verstossen wollen: gegen die europäische DSGVO oder gegen den US Cloud Act.

4. Wie können europäische Unternehmen diesen Problemen vorbeugen?

Für Unternehmen, die sich bei der Nutzung von Clouds um die Vertraulichkeit sensibler Geschäftsinformationen ebenso sorgen wie um ihre Kundendaten und Gesetzeskonformität, wird vor allem eine Frage immer wichtiger: Wo befinden sich der Firmensitz und die Rechenzentren des Anbieters, dessen Lösungen und Cloud-Ressourcen wir nutzen?

Datenschutzrechtlich ist der sicherste Weg, die Daten und Applikationen bei einem europäischen Cloud-Anbieter in einem Rechenzentrum mit europäischem Standort zu hosten. 

Neuen Kommentar schreiben

Filtered HTML

  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <h2> <h3> <h4> <h5> <h6> <!--break--> <p> <div> <img>
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.

Plain text

  • Keine HTML-Tags erlaubt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.