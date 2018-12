Zwei Gesetze auf Kollisionskurs: Der Clarifying Lawful Overseas Use of Data Act (kurz:CLOUD Act) und die europäische Datenschutzgrundverordnung (DSGVO) bringen Anbieter wie Nutzer in eine Zwickmühle. Denn der CLOUD Act verpflichtet in den USA ansässige Unternehmen, personenbezogene Daten auf Anfrage an US-Behörden herauszugeben. Das gilt auch dann, wenn die betroffenen US-Unternehmen ihre Daten in Europa speichern.

Somit steht der CLOUD Act in direktem Widerspruch zur DSGVO. Denn die besagt in Artikel 48, dass Zugriffe von beispielsweise US-Behörden auf Daten, die im EU-Raum gespeichert werden, nur im Rahmen von Rechtshilfeabkommen zulässig sind. Eine unmittelbare Datenweitergabe unter Umgehung der zuständigen nationalen Stellen ist unzulässig.

So vermeiden Softwarehäuser Gesetzeskonflikte und Geldstrafen

Angesichts der derzeitigen Rechtslage besteht die sicherste Lösung darin, schlicht keine in den USA ansässigen Cloud-Anbieter zu nutzen. Für Softwarehäuser, die ihre Produkte skalierbar, schnell und sicher als SaaS-Dienst aus der Cloud bereitstellen möchten, bietet sich daher ein Cloud-Partner mit Sitz in der EU an, der professionell Compliance, Informationssicherheit und Datenschutz praktiziert und über Erfahrung im Schutz personenbezogener Daten verfügt.

Cloud-Anbieter aus der EU stellen sicher, dass keinerlei administrative Zugriffe aus Drittstaaten wie den USA auf Kundendaten erfolgen können, die im EU-Raum gehostet werden, weil sie nicht dem CLOUD Act unterworfen sind. Die DSGVO-Tauglichkeit eines Cloud-Anbieters können Software-Anbieter unter anderem anhand unabhängiger Zertifikate wie dem Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) und BSI C5 für Informationssicherheit überprüfen.

CLOUD Act verschafft US-Behörden Datenzugriff in Europa

Doch längst nicht alle Unternehmen prüfen ihre Cloud-Anbieter hinsichtlich dieser Kriterien. Vom CLOUD Act betroffen ist jeder Cloud-Anbieter mit Sitz in den USA und dessen Kunden wie etwa Microsoft, Google, Amazon, Adobe oder Apple. Zwar haben die Cloud-Provider die Möglichkeit, Widerspruch gegen die Herausgabe personenbezogener Daten einzulegen. Doch muss die Wahrscheinlichkeit, dass solchen Einsprüchen von US-Gerichten stattgegeben wird, als gering eingeschätzt werden, wenn US-Behörden die nationale Sicherheit als Begründung für einen Datenzugriff geltend machen.

Betroffene müssen nicht über Datenzugriff informiert werden

Zudem sind die Provider gemäß der US-Gesetzgebung nicht einmal dazu verpflichtet, die von der Herausgabe betroffenen Personen oder Unternehmen zu informieren. Darüber hinaus dürfen Provider Daten nicht mehr löschen, sobald eine Behördenanfrage vorliegt. Auch diese Bestimmungen des CLOUD Acts kollidieren mit den Schutzrechten und Informationspflichten der DSGVO, die unter anderem das Recht auf Datenlöschung beinhalten.

Konsequenzen für Auftragsdatenverarbeitung

Welche Auswirkungen der CLOUD Act haben kann, lässt sich am Beispiel einer weit verbreiteten Bürosoftware zeigen. Nutzt beispielsweise ein in der EU ansässiges Unternehmen Microsoft Office 365 als Software-as-a-Service (SaaS) aus der Cloud, schließt es dazu mit Microsoft einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO ab. Mit anderen Worten: Das Unternehmen beauftragt wissentlich einen Cloud-Anbieter, der im Falle einer Anforderung von US-Behörden Daten nach US-amerikanischem Recht gemäß CLOUD Act weitergeben muss. Folgt nun Microsoft dieser Aufforderung, können nach den Bestimmungen der DSGVO sowohl auf Microsoft als Auftragsverarbeiter als auch auf den oder die Unternehmensverantwortlichen gravierende datenschutzrechtliche Konsequenzen zukommen.

DSGVO-Bußgeldkatalog gegen rechtswidrige Datenübermittlung

Eine Datenübermittlung, die das Rechtshilfeverfahren übergeht, gilt als Verstoß gegen Artikel 48 der DSGVO und kann gemäß Artikel 83 hohe Bußgelder nach sich ziehen. Im Ernstfall drohen Strafen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Vorjahresumsatzes - je nachdem, welcher Betrag höher ist. Gleiches kann einem Softwarehaus widerfahren, das seinen Kunden SaaS-Produkte aus der Cloud eines US-amerikanischen Providers anbietet, falls dieser der Aufforderung seiner Behörden zur Datenherausgabe nachkommt.

Partnerprogramme von Cloud-Anbietern prüfen

