Drei Jahre US CLOUD Act vs DSGVO: Ein Ringen um Compliance und Datensicherheit

Am 23. März 2018 wurde mit dem CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ein umstrittenes US-amerikanisches Gesetz aus der Taufe gehoben. Der CLOUD Act erlaubt es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten und soll es zudem erleichtern, diese Anfragen durchzusetzen.

Da die angeforderten Informationen in der Regel auch personenbezogene Daten beinhalten, äußern Datenschützer immer wieder Kritik. Vor allem die Gefahr, dass unbescholtene EU-Bürger ohne jeglichen Anlass ins Fadenkreuz von Ermittlern geraten könnten, hinterlässt bis heute einen faden Beigeschmack an dem Gesetz.

Compliance und Rechtssicherheit als Basis für Vertrauen und Wachstum

In Zeiten fortschreitender Digitalisierung findet über kurz oder lang nahezu jedes Unternehmen den Weg in die Cloud. Da jedoch die meisten der großen Cloud-Provider in den USA sitzen, sorgen sich viele europäische Firmen um die Daten ihrer Kunden. Denn diese fallen auch dann in den Geltungsbereich des Cloud Acts, wenn sie in der EU abliegen oder verarbeitet werden, solange der betreffende Server zu einem US-amerikanischen Anbieter gehört.

Das sorgt für Fragen: Machen Unternehmen sich strafbar, wenn sie die personenbezogenen Daten ihrer Kunden und Geschäftspartner bei einem US-Dienst speichern oder verarbeiten? Ist die DSGVO überhaupt mit dem Cloud Act vereinbar? Diese Sorgen kommen nicht von ungefähr. Denn mit dem Ende des EU-US Privacy Shields fehlt inzwischen jede Rechtssicherheit beim Datenaustausch zwischen EU und den USA. Die Frage nach eventuellen Compliance-Problemen ist daher berechtigt. Die Antwort darauf ist nicht ganz so einfach. Dazu müssen wir einen Blick darauf werfen, wie die US-amerikanischen Anbieter mit diesen Problemen umgehen.

Nicht jede Anfrage führt zur Datenfreigabe

Wer befürchtet, dass jeder Datensatz auf Servern von Microsoft, Amazon, Google & Co. automatisch in die Hände der US-Behörden gelangt, täuscht sich. Die Tech-Giganten wehren sich mit allen ihnen zur Verfügung stehenden Mitteln gegen die pauschale Herausgabe von Kundendaten an Strafverfolger. Erst, wenn die anfragende Behörde die geltenden rechtlichen Verfahren befolgt und die Rechtmäßigkeit der Anfrage nachgewiesen hat, kann der Cloud-Provider zu einer Datenherausgabe gezwungen werden.

Erfreulicherweise war die Ablehnung behördlicher Anfragen in jüngster Vergangenheit recht erfolgreich. So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem Microsoft diese vor einem US-Gericht angefochten hatte. Das stimmt optimistisch!

Europäische Cloud und Confidential Computing als sichere Alternative

Aber wenn wir den Datenschutz in Europa wirklich ernst nehmen, müssen wir unsere eigenen Strukturen und Märkte stärken. Dazu braucht es eine innovative und konkurrenzfähige IT-Industrie in Europa. Diese muss sowohl innovative Start-Ups als auch etablierte Player umfassen, die der US-Konkurrenz auf Augenhöhe begegnen können.

Vielversprechende Projekte wie die europäische Cloud GAIA-X, das als Gegengewicht zur US-Konkurrenz dienen soll, machen Hoffnung. Hinzu kommen Anbieter wie die TÜV SÜD-Tochter uniscon, die effektiven Datenschutz in der Cloud mit Hilfe von Confidential Computing bzw. Sealed Computing umsetzt.

Confidential Computing beschreibt den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dazu erfolgt diese innerhalb eines sicheren Bereichs, der sogenannten „Trusted Execution Environment“ (TEE). Das lässt sich sowohl auf Prozessorebene realisieren – wie es Google, Microsoft, Intel, IBM & Co. vormachen – oder, wie im Falle des Sealed Computing, auf Server-Ebene. Dort findet die Datenverarbeitung auf geschützten Server-Enklaven statt, die über reduzierte Schnittstellen verfügen und Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich so verhindern – nicht einmal der Betreiber der Cloud hat hier Zugang. Damit ist Confidential Computing nicht nur eines der mächtigsten Instrumente im Kampf gegen Industriespionage und Cyberkriminalität, sondern schützt auch vor dem Zugriff ausländischer Behörden.

An Ideen und Konzepten mangelt es in Europa wahrlich nicht. Am Ende entscheidet allerdings der Nutzer über Erfolg oder Misserfolg solcher Initiativen. Daher ist es wichtig, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen. Sachverstand und Erfindergeist haben uns in Europa noch nie gefehlt. Nun gilt es, die Fortschritte und Meilensteine der eigenen IT-Industrie gut und verständlich produktisieren und kommunizieren.

Haben wir Sie neugierig gemacht? Testen Sie uniscons Sealed-Cloud-Sienst idgard® jetzt selbst! idgard® ist die ideale Lösung für hochsicheren Datenaustausch im Internet – egal ob intern oder über Unternehmensgrenzen hinweg.
Starten Sie in nur zwei Minuten einen kostenlosen idgard®-Test!

Dies ist ein Gastbeitrag der uniscon GmbH. Weitere Blogbeiträge rund um die Themen Datenschutz und Datensicherheit finden Sie unter www.privacyblog.de.