US-amerikanische Cloud Anwendungen und die DSGVO

Cloud-Dienste sind aus den meisten Unternehmen nicht wegzudenken, allen voran beliebte US-amerikanische Anwendungen. Ob als Team-Chat, Online-Dokumentenspeicher, Customer Relationship Management System oder multifunktionale Kollaborations-Plattform. Alle eint ihre Innovationskraft auf die Arbeitswelt. Nicht verwunderlich also, dass einer Studie von Bitkom Research 2019 zufolge 3 von 4 Unternehmen Rechenleistungen aus der Cloud nutzen. Jedoch wird eine erhebliche Anzahl an europäischen Unternehmen seine Cloud Strategie von Grund auf neu ausrichten müssen. Denn das EU-Recht manövriert bewährte US-Cloud-Dienste ins rechtliche Abseits. Und das mit wenig Hoffnung auf eine langfristige Lösung der Problematik, die es uns Europäern erlauben würde, US-Dienste wieder guten Gewissens zu nutzen. Was sind die Hintergründe und wie können Unternehmen jetzt umdenken?

Rechtliche Hintergründe – DSGVO vs. Cloud Act

Im März 2018 trat in den USA eine neue Verordnung in Kraft, der CLOUD Act. Während die EU seit 2016 mit der Datenschutz-Grundverordnung, vereinfacht gesagt, die Absicht verfolgt, Personen und deren Daten zu schützen, zielt der CLOUD Act in die entgegengesetzte Richtung ab: Per Gesetz wurde geregelt, dass amerikanische Behörden Zugriff auf personenbezogene Daten der US-Cloud-Dienste haben mit der Begründung organisierte Kriminalität besser bekämpfen zu können. Konkret heißt das, dass US-Behörden ohne richterlichen Beschluss zu allen Daten, seien es Chats, Bilder oder sämtliche Dokumente, die wir bei Amazon, Dropbox, Google, etc. liegen, Zugang haben. Das bedeutet beispielsweise, dass jeder Privatnutzer von Dropbox, jeder Angestellte eines Unternehmens, das Microsoft Teams verwendet oder auch jeder Kunde eines Unternehmens, das Kundendaten in einer US-Cloud verarbeitet, seine Privatsphäre verliert.

EU – Datengrenze und – Rechenzentren – Falsche Versprechen?

Wie oft die Behörden den Weg der Datenabfrage gehen, ist zwar nicht ganz klar, allerdings ist allein die Tatsache, dass sie diese Option haben, stark bedenklich. Dass unter so einer Entwicklung nach und nach das internationale Geschäft leiden wird, sehen auch die US-Konzerne mit kritischem Auge. So gab Microsoft bekannt, dass sie in der ersten Hälfte 91 Anfragen von der Strafverfolgungsbehörde erhalten hatten, wovon sie zwar 42 Fälle, und damit weniger als die Hälfte, vor Gericht abweisen konnten, alle restlichen jedoch gestattet wurden. Da Herausgabeanordnungen aber auch häufig mit der Anweisung, diese geheim zu halten, einhergehen, bleibt zu befürchten, dass das nur die Spitze des Eisbergs ist. Es wird zwar weiterhin von verschiedenen Cloud-Anwendungsanbietern damit geworben, dass für den Schutz der Daten garantiert wird z.B. durch den Bau von Rechenzentren in Europa oder die Einführungen einer „Datengrenze“ für EU-Kunden, bei der Daten nur in der EU gespeichert und verarbeitet werden, allerdings ändert dies nichts an der Tatsache, dass sie als US-Unternehmen weiterhin dem CLOUD Act unterliegen. EU-Rechenzentrum hin oder her.

Warum Sie sich als Unternehmen nicht wegdrehen können

Die USA behandelt damit den Datentransfer und -schutz rechtlich konträr zu EU-Verordnungen, denn laut DSGVO ist eine Übertragung personenbezogener Daten an Drittländer nur zulässig, wenn hierfür ein Rechtshilfeabkommen zwischen dem Drittland und dem EU-Mitgliedsstaat vorliegt. Im Klartext heißt das, dass Kundendaten, die auf Servern von US-Providern gespeichert sind, auch wenn diese innerhalb der EU liegen, durch den CLOUD Act zu der Herausgabe verpflichtet sind auch wenn die örtlichen Gesetze etwas anderes besagen. Eine Zwickmühle, denn Europäische Unternehmen sind rechtlich an das gebunden, was lokal gilt, also die DSGVO Regelungen. Problem dabei ist, dass ohne rechtliches Abkommen der Datenexporteur sich selbst für die Rechtmäßigkeit des Datentransfers verantworten muss oder man riskiert ein Bußgeld, dass bis zu 20 Mio. € betragen kann 4 % des jährlich weltweiten Umsatzes.

Wird sich das Blatt noch wenden?

Aufgrund dieser Unterschiede in der Rechtsverordnung, gab es schon Versuche ein transatlantisches Datenschutzabkommen zu vereinbaren. Sowohl „Safe Habor“ und „Privacy Shield“ wurden jedoch vom Europäischen Gerichtshof für ungültig erklärt, da diese letztlich eigentlich nicht gesetzeskonform waren. Das neu kommende Abkommen „Trans-Atlantic Data Privacy Framework“, scheint aber auch nur eine verschärfte Variante des Privacy Shields zu sein, denn der US-behördliche Zugriff ist weiterhin nicht ausgeschlossen. Auch der Jurist Max Schrems, der auch schon die beiden ersten Abkommen zu Fall brachte, äußerte bereits scharfe Kritik an der Durchführungsverordnung. Auch die Möglichkeit von Workarounds wie eine eigene Verschlüsselung widerspräche den Gesetzen, den US-Konzerne ausgeliefert sind. Teilweise ist das auch nicht ohne weiteres in ein bestehendes Angebot integrierbar vor allem, wenn es sich um komplexe Programme handelt wie z.B. Google Analytics. Sobald das Programm „mitdenken“ muss, sei es Graphen erstellen, Verkaufsberichte bereitstellen oder eine Suchanfrage über mehrere Anwendungen hinweg tätigen soll, müssen die Daten auf dem Server im Klartext vorliegen, ansonsten werden Cloud-Programme unbrauchbar.

Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes Europäer weiterhin ausspionieren lassen will. – Max Schrems

Auch die Möglichkeit von Workarounds wie eine eigene Verschlüsselung widerspräche den Gesetzen, den US-Konzerne ausgeliefert sind. Teilweise ist das auch nicht ohne weiteres in ein bestehendes Angebot integrierbar vor allem, wenn es sich um komplexe Programme handelt wie z.B. Google Analytics. Sobald das Programm „mitdenken“ muss, sei es Graphen erstellen, Verkaufsberichte bereitstellen oder eine Suchanfrage über mehrere Anwendungen hinweg tätigen soll, müssen die Daten auf dem Server im Klartext vorliegen, ansonsten werden Cloud-Programme unbrauchbar.

Warum die lokale Cloud für viele Unternehmen die passende Lösung ist

Das Verschlafen der Digitalisierung in vielen Bereichen hat zu einer Abhängigkeit von den technologisch fortgeschritteneren US-Anbietern geführt, daher liegt die Lösung bereits vor unserer Nase: mit einer lokalen Cloud holen Betriebe ihre Daten und Cloud-Anwendungen zu sich. Sie sind unabhängig von US-Diensten, ohne auf die klassischen Cloud Merkmale, wie Zugriff von überall, Flexibilität, hohe Performance und Support verzichten zu müssen. Gerade für uns bei Uniki ist Datenschutz mit der wichtigste Treiber und ideologischer Grundpfeiler unseres Produkts. Wir sind mehr als stolz darauf, mit unserem Hybriden Cloud System eine Datenschutz-konforme Alternative zu vielen US-Diensten anbieten zu können.