Rechtliche Lage unklar

CLOUD Act kontra DSGVO – Zwickmühle für SaaS-Anbieter

Michael Hermann ist seit 2014 als Autor für IT- und TK-Themen bei Palmer Hargreaves tätig. Bereits seit 2000 schreibt er als Fachjournalist über Informations- und Kommunikationstechnologie. Zu seinen derzeitigen Schwerpunkten zählen Cloud Computing, Rechenzentren, Internet der Dinge (IoT) und künstliche Intelligenz. 
Nutzen Softwarehäuser Cloud-Ressourcen US-amerikanischer Anbieter, laufen sie Gefahr, mit saftigen Strafen belegt zu werden. So können sie sich schützen.

Zwei Gesetze auf Kollisionskurs: Der Clarifying Lawful Overseas Use of Data Act (kurz:CLOUD Act) und die europäische Datenschutzgrundverordnung (DSGVO) bringen Anbieter wie Nutzer in eine Zwickmühle. Denn der CLOUD Act verpflichtet in den USA ansässige Unternehmen, personenbezogene Daten auf Anfrage an US-Behörden herauszugeben. Das gilt auch dann, wenn die betroffenen US-Unternehmen ihre Daten in Europa speichern.

Somit steht der CLOUD Act in direktem Widerspruch zur DSGVO. Denn die besagt in Artikel 48, dass Zugriffe von beispielsweise US-Behörden auf Daten, die im EU-Raum gespeichert werden, nur im Rahmen von Rechtshilfeabkommen zulässig sind. Eine unmittelbare Datenweitergabe unter Umgehung der zuständigen nationalen Stellen ist unzulässig.

Lesetipp: Systemhäuser für die Open Telekom Cloud gesucht

So vermeiden Softwarehäuser Gesetzeskonflikte und Geldstrafen

Angesichts der derzeitigen Rechtslage besteht die sicherste Lösung darin, schlicht keine in den USA ansässigen Cloud-Anbieter zu nutzen. Für Softwarehäuser, die ihre Produkte skalierbar, schnell und sicher als SaaS-Dienst aus der Cloud bereitstellen möchten, bietet sich daher ein Cloud-Partner mit Sitz in der EU an, der professionell Compliance, Informationssicherheit und Datenschutz praktiziert und über Erfahrung im Schutz personenbezogener Daten verfügt.

Cloud-Anbieter aus der EU stellen sicher, dass keinerlei administrative Zugriffe aus Drittstaaten wie den USA auf Kundendaten erfolgen können, die im EU-Raum gehostet werden, weil sie nicht dem CLOUD Act unterworfen sind. Die DSGVO-Tauglichkeit eines Cloud-Anbieters können Software-Anbieter unter anderem anhand unabhängiger Zertifikate wie dem Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) und BSI C5 für Informationssicherheit überprüfen.

Herausforderung Datenschutz: Zwischen DSGVO und CLOUD Act den Durchblick behalten.
Herausforderung Datenschutz: Zwischen DSGVO und CLOUD Act den Durchblick behalten.
Foto: Deutsche Telekom

CLOUD Act verschafft US-Behörden Datenzugriff in Europa

Doch längst nicht alle Unternehmen prüfen ihre Cloud-Anbieter hinsichtlich dieser Kriterien. Vom CLOUD Act betroffen ist jeder Cloud-Anbieter mit Sitz in den USA und dessen Kunden wie etwa Microsoft, Google, Amazon, Adobe oder Apple. Zwar haben die Cloud-Provider die Möglichkeit, Widerspruch gegen die Herausgabe personenbezogener Daten einzulegen. Doch muss die Wahrscheinlichkeit, dass solchen Einsprüchen von US-Gerichten stattgegeben wird, als gering eingeschätzt werden, wenn US-Behörden die nationale Sicherheit als Begründung für einen Datenzugriff geltend machen.

Betroffene müssen nicht über Datenzugriff informiert werden

Zudem sind die Provider gemäß der US-Gesetzgebung nicht einmal dazu verpflichtet, die von der Herausgabe betroffenen Personen oder Unternehmen zu informieren. Darüber hinaus dürfen Provider Daten nicht mehr löschen, sobald eine Behördenanfrage vorliegt. Auch diese Bestimmungen des CLOUD Acts kollidieren mit den Schutzrechten und Informationspflichten der DSGVO, die unter anderem das Recht auf Datenlöschung beinhalten.

Mit Public Cloud-Angeboten aus deutschen Rechenzentren auf der sicheren Seite. Die Telekom unterstütz dabei mit ihrem Partnerprogramm SoftwareBoost.
Mit Public Cloud-Angeboten aus deutschen Rechenzentren auf der sicheren Seite. Die Telekom unterstütz dabei mit ihrem Partnerprogramm SoftwareBoost.
Foto: Deutsche Telekom

Konsequenzen für Auftragsdatenverarbeitung

Welche Auswirkungen der CLOUD Act haben kann, lässt sich am Beispiel einer weit verbreiteten Bürosoftware zeigen. Nutzt beispielsweise ein in der EU ansässiges Unternehmen Microsoft Office 365 als Software-as-a-Service (SaaS) aus der Cloud, schließt es dazu mit Microsoft einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO ab. Mit anderen Worten: Das Unternehmen beauftragt wissentlich einen Cloud-Anbieter, der im Falle einer Anforderung von US-Behörden Daten nach US-amerikanischem Recht gemäß CLOUD Act weitergeben muss. Folgt nun Microsoft dieser Aufforderung, können nach den Bestimmungen der DSGVO sowohl auf Microsoft als Auftragsverarbeiter als auch auf den oder die Unternehmensverantwortlichen gravierende datenschutzrechtliche Konsequenzen zukommen.

DSGVO-Bußgeldkatalog gegen rechtswidrige Datenübermittlung

Eine Datenübermittlung, die das Rechtshilfeverfahren übergeht, gilt als Verstoß gegen Artikel 48 der DSGVO und kann gemäß Artikel 83 hohe Bußgelder nach sich ziehen. Im Ernstfall drohen Strafen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Vorjahresumsatzes - je nachdem, welcher Betrag höher ist. Gleiches kann einem Softwarehaus widerfahren, das seinen Kunden SaaS-Produkte aus der Cloud eines US-amerikanischen Providers anbietet, falls dieser der Aufforderung seiner Behörden zur Datenherausgabe nachkommt.

Lesetipp: Per Software-Boost in die Open Telekom Cloud

Partnerprogramme von Cloud-Anbietern prüfen

Damit es nicht so weit kommt, können Softwarehäuser mit europäischen Cloud-Partnern zusammenarbeiten, die nicht der US-Gesetzgebung verpflichtet sind und sich darüber hinaus besonders bemühen, DSGVO-konform zu arbeiten. Einer dieser Anbieter ist beispielsweise die Telekom.

Mit SoftwareBoost hat der Bonner Provider kürzlich ein Partnerprogramm für Softwarehäuser aufgelegt, die ihren Kunden SaaS-Produkte aus der Cloud bieten wollen. Teilnehmer erhalten unter anderem bis zu 250.000 Euro Startguthaben für IaaS- und PaaS-Ressourcen aus derOpen TelekomCloud, der Public Cloud der Telekom.

Cloud-Experten des Bonner Konzerns begleiten die Transformation bis zum Start des SaaS-Betriebs und stehen bei Fragen oder Beratungsbedarf auch für Webex-Konferenzen und Vor-Ort-Termine zur Verfügung. Hilfestellungen bei der Vermarktung, beispielsweise durch digitales Marketing sowie gemeinsame Auftritte auf Messen, gehören ebenfalls zum Programm.

Zur Startseite