Da Unternehmen zunehmend auf Cloud-Speicherlösungen, insbesondere S3-kompatible Sicherungsdienste, zurückgreifen, wenden sich viele in der Europäischen Union (EU) an Anbieter für eine sichere Datenspeicherung. Wenn diese Dienste jedoch von Unternehmen mit Sitz in den USA angeboten werden, stellt der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) eine erhebliche Bedrohung dar - nicht nur für die Einhaltung der GDPR (General Data Protection Regulation), sondern auch für die Sicherheit sensibler Daten, einschließlich Prototypen, Kundendaten und privater Informationen.
Das 2018 in Kraft getretene CLOUD Act ermöglicht es den US-Strafverfolgungsbehörden, in den USA ansässige Unternehmen zu zwingen, Zugang zu Daten zu gewähren, unabhängig davon, wo die Daten physisch gespeichert sind. Dies gilt auch für Daten, die in der EU gespeichert sind, aber von US-Unternehmen oder deren Tochtergesellschaften verwaltet werden. Die DSGVO, die die Privatsphäre der EU-Bürger schützen soll, regelt streng, wie personenbezogene Daten verarbeitet, gespeichert und übertragen werden dürfen, insbesondere in Drittländer wie die Vereinigten Staaten.
Das CLOUD Act birgt jedoch reale Risiken, die über die Einhaltung der DSGVO hinausgehen und die Sicherheit und Vertraulichkeit aller Arten von sensiblen Daten bedrohen, darunter geistiges Eigentum, Prototypen für Forschung und Entwicklung (F&E), Kundendaten und private Kommunikation.
1. In EU-Rechenzentren gespeicherte Daten: Trotz der Speicherung von Daten in EU-Rechenzentren kann das CLOUD Act Unternehmen mit Sitz in den USA dazu zwingen, diese Daten an US-Behörden zu übermitteln. Dies untergräbt nicht nur den GDPR-Schutz und die Datensouveränität der EU, sondern setzt auch kritische Geschäftsinformationen, wie Prototypen oder strategische Pläne, einem potenziellen unbefugten Zugriff aus.
2. Unveränderliche Speicherung: Unveränderbare Speicherfunktionen sollen Daten vor Veränderung oder Löschung schützen und damit Manipulationssicherheit gewährleisten. Nach dem CLOUD Act könnten die US-Behörden jedoch Zugang verlangen und die Anbieter zwingen, diese Schutzfunktionen zu deaktivieren. Dies gefährdet die Integrität sensibler Daten, auf die sich Unternehmen verlassen, um Wettbewerbsvorteile zu erhalten, wie z. B. geschützte Designs oder F&E-Ergebnisse.
3. Datenverschlüsselung: Die Verschlüsselung ist eine wichtige Sicherheitsmaßnahme zum Schutz von Daten im Ruhezustand und bei der Übertragung. Wenn Verschlüsselungsschlüssel von einem in den USA ansässigen Anbieter kontrolliert werden, könnten die US-Behörden den Anbieter zwingen, sie offenzulegen, wodurch verschlüsselte sensible Daten wie Kundendaten oder vertrauliche E-Mails zugänglich und angreifbar würden.
4. Zugangskontrolle und Identitätsmanagement: Während Zugangskontrollen und Identitätsmanagement für die Beschränkung des Datenzugriffs auf autorisiertes Personal von entscheidender Bedeutung sind, kann der CLOUD Act diese Sicherheitsvorkehrungen außer Kraft setzen. US-Anbieter könnten gezwungen werden, den US-Strafverfolgungsbehörden Zugang zu gewähren und dabei die strengen Sicherheitsprotokolle zum Schutz sensibler Kundeninformationen, Geschäftsgeheimnisse und anderer vertraulicher Daten zu umgehen.
5. Prüfprotokolle und Überwachung: Detaillierte Prüfprotokolle sind für die Transparenz und Rechenschaftspflicht beim Datenzugriff unerlässlich. Das CLOUD Act könnte es US-Behörden ermöglichen, ohne Wissen des Dateneigentümers auf diese Protokolle zuzugreifen, was gegen die Transparenzanforderungen der DSGVO verstößt und die Aufdeckung sensibler Geschäftsvorgänge und Kundendaten riskiert.
Der Konflikt zwischen dem CLOUD Act und der Datenschutz-Grundverordnung ist mehr als nur eine rechtliche Herausforderung; er stellt eine direkte Bedrohung für die Sicherheit und Vertraulichkeit sensibler Daten dar, die von EU-Unternehmen gespeichert werden. Die Nichteinhaltung der GDPR kann zu schweren Strafen führen, darunter Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens. Das Risiko erstreckt sich jedoch auch auf den unbefugten Zugang zu sensiblen Daten, was zu finanziellen Verlusten, Rufschädigung und der Gefährdung geschützter Informationen führen kann, die für den Wettbewerbsvorteil eines Unternehmens entscheidend sind.
Angesichts dieser schwerwiegenden Risiken sollten Unternehmen in der EU bei der Auswahl eines Anbieters für Cloud-Speicher oder -Sicherungen die folgenden Vorsichtsmaßnahmen treffen:
1. Wählen Sie einen Anbieter mit Sitz in der EU: Wählen Sie vorrangig einen Cloud-Service-Anbieter, der in der EU ansässig ist und nicht dem CLOUD Act unterliegt. Dadurch wird sichergestellt, dass Ihre Daten, einschließlich sensibler Geschäftsinformationen, ausschließlich den EU-Gesetzen unterliegen, was einen stärkeren Schutz vor unbefugtem Zugriff durch Nicht-EU-Behörden bietet.
2. Garantierte Datensouveränität: Entscheiden Sie sich für Anbieter, die ausdrücklich garantieren, dass sowohl die Daten als auch die Verschlüsselungsschlüssel vollständig im Hoheitsgebiet der EU aufbewahrt werden. Dies minimiert das Risiko, dass Daten, ob Kundeninformationen oder Geschäftsgeheimnisse, durch den CLOUD Act gefährdet werden.
3. Rechtliches und Compliance-Fachwissen: Wenden Sie sich an Rechtsexperten, die sich auf GDPR und Datenschutz spezialisiert haben, um die Auswirkungen der Nutzung von Cloud-Diensten vollständig zu verstehen, insbesondere von solchen, die von Unternehmen mit Sitz in den USA angeboten werden. Dies ist entscheidend für die Entwicklung von Strategien, die die Einhaltung der Vorschriften gewährleisten und vor potenziellen Verstößen gegen sensible Daten schützen.
Der CLOUD Act stellt eine erhebliche und direkte Bedrohung nicht nur für die Einhaltung der GDPR dar, sondern auch für die Sicherheit sensibler Daten wie geistiges Eigentum, Kundeninformationen und geschützte Geschäftsdaten. Die Möglichkeit eines unbefugten Datenzugriffs durch US-Behörden unter Umgehung des GDPR-Schutzes setzt Unternehmen erheblichen rechtlichen, finanziellen und betrieblichen Risiken aus. Für Unternehmen ist es von entscheidender Bedeutung, ihre Cloud-Service-Anbieter gründlich zu bewerten, Alternativen mit Sitz in der EU in Betracht zu ziehen und robuste Datenschutzstrategien zu implementieren, um ihre sensiblen Daten zu schützen und die Einhaltung der EU-Vorschriften zu gewährleisten.
Foto: Christian Lue