Bei der Auswahl eines Cloud-Dienstleisters wird das Regulierungsgeflecht für viele Unternehmenskunden immer enger. Insbesondere ein ausgeprägter Schutz bei der Speicherung von persönlichen Daten in der Cloud, aber auch Gesetze und Verordnungen zur Cybersicherheit wie das KRITIS-Dachgesetz oder die noch in diesem Jahr zu erwartenden NIS2-Regelungen stellen an die Anbieter von Cloud-Diensten, aber auch an Entscheider in Organisationen immer höhere Anforderungen.
Zentrale Frage ist für viele Unternehmen dabei, ob ihre Daten in der Cloud bei US-Anbietern genauso sicher aufgehoben und geschützt sind wie bei heimischen Diensten. Um diese Frage beantworten zu können, ist ein Blick auf die jeweiligen Gesetze wichtig.
Ausgangspunkt Datenschutz-Grundverordnung (DSGVO)
Für alle Unternehmen und Organisationen innerhalb der EU, die personenbezogene Daten verarbeiten, ist die seit dem Jahr 2018 verbindliche Datenschutz-Grundverordnung (DSGVO) relevant. Eine Weitergabe von personenbezogenen Daten an Behörden in Drittländern außerhalb der EU und des EWR ist nach der DSGVO nur noch dann möglich, wenn zwischen der EU und dem ersuchenden Drittland eine rechtskräftige internationale Übereinkunft wie beispielsweise ein Rechtshilfeabkommen besteht.
Geben Cloud-Dienstleister im Geltungsbereich der DSGVO trotz der klaren Rechtslage personenbezogene Daten ohne Vorliegen der entsprechenden juristischen Prämissen in Drittländer weiter, so können nach Artikel 83 Abs. 5 DSGVO Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens festgesetzt werden, wobei im Einzelfall der höhere Wert relevant ist.
In den USA sind hingegen mehrere Gesetze und präsidiale Anweisungen in Kraft, die nicht mit der DSGVO in Einklang zu bringen sind:
Der Patriot Act
Der sogenannte Patriot Act wurde als Reaktion auf die Terroranschläge in New York am 11. September 2001 verabschiedet und regelt die Herausgabe personenbezogener Daten durch Kommunikationsdienstleister an US-amerikanische Behörden. Cloud-Dienstleister in den USA müssen nach ihm solche Daten an die örtlichen Behörden auf Anfrage herausgeben, wenn die Daten innerhalb der USA gespeichert sind. Der Patriot Act hat in den letzten Jahren einige Bekanntheit erlangt im Kontext mit sogenannten National Security Letters, die von US-Behörden ausgestellt werden.
Hierbei handelt es sich um behördliche Anordnungen, mit denen es den Kommunikationsdienstleistern untersagt wird, Informationen über die Datenherausgabe an die Betroffenen zu geben. Dadurch erhalten diese noch nicht einmal Kenntnis darüber, wenn US-Behörden ein entsprechendes Ermittlungsverfahren gegen sie führen und in den Besitz der personenbezogenen Daten gelangt sind.
Der CLOUD-Act
Der im Jahr 2018 von der ersten Trump-Regierung in Kraft gesetzte CLOUD-Act (Akronym für „Clarifying Lawful Overseas Use of Data Act“) erweitert den Patriot Act und gestattet US-Behörden den Zugriff auf im Ausland gespeicherte persönliche Daten, wenn die entsprechenden Server von einem US-amerikanischen Unternehmen oder dessen Tochtergesellschaft im Ausland betrieben werden.
Mit diesem Gesetz sind also Microsoft, Google, Amazon und andere US-Anbieter gezwungen, Daten auf Anforderung an amerikanische staatliche Institutionen herauszugeben, und zwar auch dann, wenn die Daten nicht direkt auf Servern in den USA liegen. Es ist dabei unerheblich, ob es sich um Daten von Privatpersonen oder Unternehmen handelt.
Auch europäische Cloud-Anbieter, die von US-amerikanischen Mitbewerbern übernommen werden und sich somit unter deren Kontrolle befinden, unterliegen zukünftig dem CLOUD-Act und sind zur Herausgabe von Daten auf behördliche Anweisung hin verpflichtet. Amerikanische Gerichte können die Herausgabe allerdings blockieren, wenn die Daten Bürger ohne US-Staatsangehörigkeit betreffen.
Der CLOUD-Act gestattet es US-Behörden außerdem, ohne individuelle gerichtliche Genehmigung die Herausgabe sämtlicher bei US-Cloud-Diensten gespeicherten Daten von ausländischen Unternehmen zu verlangen. Dadurch verlieren also ausländische Unternehmen die Datenhoheit und auch die Souveränität über ihr geistiges Eigentum sowie Geschäfts- und Betriebsgeheimnisse, wenn diese in der Cloud eines US-Anbieters gespeichert sind.
Datenschutz ausgehebelt durch FISA
Ein weiteres Problem im Kontext mit dem Schutz personenbezogener Daten stellt der FISA-Act dar (Akronym für „Foreign Intelligence Surveillance Act“). Section 702 FISA – und hier insbesondere der 50 U.S. Code § 1881a – ermöglichen es US-Behörden, auf alle Kommunikationsdaten zuzugreifen, die von US-Unternehmen verarbeitet werden.
Nach diesen Regularien können der Generalstaatsanwalt und der Direktor der US-Sicherheitsdienste die Genehmigung erteilen, Informationen über Personen mit ausländischer Staatsbürgerschaft zu beschaffen, und zwar auch dann, wenn sich diese außerhalb der USA aufhalten. Die Beschaffung der Informationen muss lediglich im Interesse der USA liegen. Der FISA-Act ist extraterritorial anwendbar, beschränkt sich also in seiner Wirksamkeit ebenfalls nicht auf das Territorium der USA.
Die Executive Order 12333
Als zusätzliches Problemfeld im Kontext mit dem Datenschutz bei US-amerikanischen Cloud-Dienstleistern und deren Abkömmlingen erweist sich die Executive Order 12333. Diese bereits im Jahr 1981 vom damaligen US-Präsidenten Ronald Reagan erlassene Vorschrift gestattet es US-Nachrichtendiensten, Überwachungen außerhalb der USA durchzuführen.
Dabei stehen ebenfalls Kommunikationsdaten im Vordergrund, wobei diese jedoch nicht Unternehmen oder Einzelpersonen adressieren, sondern Knotenpunkte der globalen Kommunikations-Infrastruktur wie beispielsweise Seekabel, über die Daten in die USA transferiert werden.
Zweifelhafte zwischenstaatliche Regularien
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 ergaben sich erhebliche Widersprüche für die Gewährleistung eines gesetzeskonformen Datenschutzes für Cloud-Anbieter aus den USA und deren hiesige Tochtergesellschaften. Die DSGVO verbietet in den Artikeln 44 bis 49 explizit die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU (sogenannte „Drittländer“), wenn nicht im Drittland ein angemessenes Datenschutzniveau festgestellt wurde.
So bemängelte der Europäische Gerichtshof (EuGH) bereits im Jahr 2020 in seinem vielbeachteten Schrems II-Urteil zum sogenannten Privacy Shield (Az.: C-311/18 vom 16.07.2020) das Ausmaß der US-Überwachungsprogramme und die fehlenden Rechtsbehelfe für EU-Bürger gegen die Datenverarbeitung der amerikanischen Behörden. Mit fehlenden Rechtsschutzoptionen für EU-Bürger hatte der EuGH zudem bereits im Jahr 2015 das Safe-Harbor-Abkommen für ungültig erklärt.
Nach diesen beiden gescheiterten Anläufen hat die EU-Kommission im Jahr 2023 mit den USA das sogenannte EU-US Data Privacy Framework als informelle Vereinbarung für den elektronischen Datenaustausch abgeschlossen. Dieser Rahmen soll die Angemessenheit des Datenschutzniveaus in den USA feststellen, wenn sich die betreffenden Cloud-Dienstleister beim US-Handelsministerium durch eine Selbstzertifizierung legitimieren. Für EU-Bürger bietet das Abkommen zudem einen marginal verbesserten Rechtsschutz.
Das EU-US Data Privacy Framework unterliegt jedoch ebenfalls substantiierter Kritik. So hat das EU-Parlament bereits im Jahr 2023 eine Resolution mit 306 Ja- zu 27 Nein-Stimmen verabschiedet, welche die Konformität der neuen Rahmenvereinbarung mit dem bestehenden EU-Recht anzweifelt. Vor allem seien EU-Bürger nicht ausreichend gegen die Massenüberwachung durch die US-Nachrichtendienste geschützt.
Auch die Nichtregierungsorganisation „NOYB – Europäisches Zentrum für digitale Rechte“ strebt eine Verhandlung zum EU-US Data Privacy Framework vor dem Europäischen Gerichtshof an. Deren Vorstandsvorsitzender Max Schrems hat bereits die beiden Vorgängerabkommen zu Fall gebracht.
Politische Entwicklungen
Auch politische Entwicklungen stellen die Rechtmäßigkeit der Übertragung personenbezogener Daten aus der EU in die USA oder zu Standorten von US-Diensten in Europa infrage. So hat die Trump-Administration die Überprüfung aller Executive Orders der abgewählten Biden-Regierung angekündigt. Zudem wurden die drei der Demokratischen Partei angehörenden Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) entlassen.
Das PCLOB soll als unabhängige Behörde die Einhaltung der Datenschutzregelungen durch die US-amerikanischen Nachrichtendienste und staatliche Institutionen überwachen und ist daher wichtiger Bestandteil des EU-US Data Privacy Framework. Dem PCLOB obliegt dabei die Aufgabe, eine allzu großzügige Auslegung des CLOUD-Act zu verhindern. Die aktuell nur noch mit zwei Mitgliedern besetzte Behörde ist nicht nur in ihrer Handlungseffizienz durch die Entlassungen erheblich eingeschränkt, sondern durch leicht zu ändernde Executive Orders des jeweils amtierenden US-Präsidenten auch politisch nicht unabhängig.
Gleiches gilt für den zweistufigen Rechtsbehelfsmechanismus für EU-Bürger, der im EU-US Data Privacy Framework vorgesehen ist. Auch dieser ist nicht gesetzlich fixiert. Lediglich die Existenz des PCLOB ist gesetzlich abgesichert.
Aufgrund der fehlenden Unabhängigkeit des PCLOB haben bereits die deutsche Bundesdatenschutzbeauftragte ebenso wie die schwedische Datenschutzbehörde eine längerfristige Geltung des transatlantischen Data Privacy Framework unter den gegebenen Umständen bezweifelt. Auch der Europäische Datenschutzausschuss EDSA hat bereits vor Amtsantritt der Trump-Administration Ende 2024 einen Bericht angenommen, in welchem Verbesserungen der Rahmenvereinbarung angemahnt werden.
Ausweichmanöver der US-Cloud-Anbieter
Zahlreiche US-Anbieter von Cloud-Dienstleistungen haben inzwischen auf die grundsätzliche Unvereinbarkeit zwischen DSGVO und den US-Gesetzen reagiert. Sie versuchen mit verschiedenen Hilfskonstruktionen, den lukrativen Markt in der EU zu verteidigen. Lösungen wie die von Microsoft propagierte „EU-Datenschutz-Grenze“ oder diverse Verschlüsselungsmechanismen können nicht darüber hinwegtäuschen, dass solche Hilfskrücken weder den CLOUD-Act außer Kraft setzen noch US-Nachrichtendienste beeindrucken.
Wie US-Behörden auf solche Umgehungspraktiken reagieren werden, bleibt abzuwarten. Auch eine entsprechende Erweiterung des CLOUD Act, welche die Einrichtung solcher abgeschotteter Umgebungen zukünftig untersagt, ist denkbar. Über allen in der EU und dem EWR ansässigen Unternehmen und Organisationen, die personenbezogene Daten bei US-Diensten speichern und verarbeiten, schwebt damit ein juristisches und legislatives Damoklesschwert, welches ein erhebliches Geschäftsrisiko beinhaltet.
Langfristig sicher und DSGVO-konform
Für Unternehmen und staatliche Institutionen in der EU, die auch langfristig rechtssicher und optimal geschützt ihre Daten in der Cloud verarbeiten möchten, kommen daher nur Cloud-Dienstleister in der EU infrage, die den entsprechenden Regularien unterliegen, und bei denen sich keine Grauzonen beim Datenschutz und der Datensicherheit ergeben können.
Verstöße gegen die DSGVO, die mit hohen Bußgeldern bis in den neunstelligen Bereich geahndet werden können, beschädigen nicht nur das Renommee eines Unternehmens in der Öffentlichkeit, sondern zerstören auch Vertrauen.
Daher sollten Entscheider, die einen Cloud-Dienst beauftragen möchten, stets auf die Herkunft der möglichen Dienstleister und deren Server-Standorte achten. Darüber hinaus sollten aber auch entsprechende wichtige Zertifizierungen von den Cloud-Anbietern vorgelegt werden können, damit ein entsprechend hohes Sicherheitsniveau nachgewiesen wird.
Secure Cloud ist nicht nur technisch und organisatorisch völlig unabhängig von US-Diensten, sondern weist dank einer aktuellen ISO 27001-Zertifizierung und einem BSI C5-Testat auch ein Sicherheitsniveau auf, wie es nur wenige mittelständische deutsche Cloud-Anbieter vorweisen können. Bei uns sind Ihre Daten daher stets in guten Händen – ohne dass Sie Gefahr laufen, in einer rechtlichen Grauzone zu agieren.
Interessiert Sie die souveräne Cloud?
Unsere Experten erklären Ihnen gerne mehr.
