?>
Cloud Act
Author
Maren Keller, Mi, 31. Mai. 2023
 in Datensicherung

Cloud Act

Was ist der Cloud Act und wie sicher sind Daten in der Cloud?

Daten sind das Gold des 21. Jahrhunderts. Aber wissen Sie, dass Ihre Daten bei US-amerikanischen IT-Dienstleistern nicht zwangsläufig sicher sind? Grund ist der Cloud Act. Er ermöglicht den US-amerikanischen Behörden, Zugriff auf gespeicherte Daten außerhalb der USA zu bekommen.

Was der Cloud Act ist und was ihn vom Patriot Act unterscheidet, erfahren Sie bei uns.

Was ist der Patriot Act?

Wie an anderer Stelle im Blog über die Cloud beschrieben, gibt es in den USA den sogenannten Patriot Act, ein Heimatschutzgesetz. Es besagt, dass US-Unternehmen den amerikanischen Behörden im Verdachtsfall Zugriff auf ihre Rechenzentren gewähren müssen. Das heißt: Der US-Geheimdienst darf die auf dem Server gespeicherten Dateien durchsuchen. Und zwar immer dann, wenn die Daten Gegenstand strafrechtlicher Ermittlungen sind und es eine behördliche oder richterliche Anweisung  zur Herausgabe gibt.

Microsoft hatte sich 2018 der Herausgabe von Daten widersetzt – mit der Begründung, dass die Daten in einem Rechenzentrum in Irland und nicht in den USA gespeichert seien. Microsoft berief sich auf das Datenschutzrecht des Landes, in dem die Daten gespeichert sind. Und das sieht vor, dass Daten nur dann herausgegeben werden, wenn nationale irische Behörden und Gerichte auf der Basis von Rechtshilfeabkommen ihren US-Kollegen Amtshilfe gewähren.

Cloud Act: Hand hält Gesetzesbuch. Bild: Pexels/@mikhail-nilov

Der Cloud Act ist ein Gesetz, das US-Behörden den Zugriff auf Daten ermöglicht. Bild: Pexels/@mikhail-nilov

Was ist der Cloud Act?

Im April 2018 erklärte das höchste US-amerikanische Gericht den Rechtsstreit mit Microsoft für erledigt. Das Ergebnis: Microsoft muss den US-Ermittlungsbehörden Zugriff auf die in der EU gespeicherten Daten gewähren. Die Ursache dafür liegt in einem neuen Gesetz, das den Zugriff US-amerikanischer Behörden auf Daten erheblich ausweitet, dem Cloud Act.

Dabei handelt es sich um ein Gesetz, das den US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister im Ausland speichern. Wichtig: Das Gesetz hat nicht zwangsläufig mit Cloud-Diensten zu tun. Cloud steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“. Übersetzen könnte man das Gesetz in etwa mit „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“.

Ziel des Gesetzes ist, Strafverfolgungsbehörden ein Instrument an die Hand zu geben, das schlagkräftig genug ist, um organisierte Kriminalität und Terrorismus effektiv bekämpfen zu können. Denn der Cloud Act erlaubt es, Zugriffsanfragen an Cloud-Betreiber zu richten.

Was besagt der Cloud Act?

Der Cloud Act stellt sicher, dass es keine Rolle mehr spielt, ob US-Firmen ihre Daten „in der Cloud“ oder in einem bestimmten Datenzentrum speichern sind – ob im In- oder Ausland. Fordern die US-Behörden die Herausgabe der Daten, müssen die betroffenen Firmen das tun.

Dabei geht es nicht nur um firmeninterne Daten, sondern auch um die Daten von Kunden, wenn sie sich in der Obhut und Kontrolle der Firma befinden und in den Cloud-Infrastrukturen von US-Providern gespeichert sind, egal wo. US-Behörden haben also auch Zugriff auf Daten, die von US-Providern in europäischen Rechenzentren gespeichert sind.

Selbst, wenn lokale Vorgaben am Ort des Datenspeichers (wie im Falle Microsoft Irland) die Datenherausgabe verbieten, muss das US-Unternehmen der Forderung der US-Behörden nachkommen. Datenschutz? Fehlanzeige. EU-Recht und DSGVO? Interessiert die Amerikaner nicht!

Cloud Act: Rrot-weiß gestreifter Warnkegel auf Tastatur. Bild: Pexels/@ferarcosn

EU-recht und US-Recht sind mit DSGVO und Cloud Act absolut konträr. Bild: Pexels/@ferarcosn

DSGVO führt zu weiterem Zwist

Mit Inkrafttreten der DSGVO im Mai 2018 geht der Streit um die Daten in eine weitere Runde. Denn Artikel 48 der DSGVO regelt die Herausgabe von Daten an Behörden eines Landes außerhalb der EU:

Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen […] nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Ein solches Rechtshilfeabkommen gibt es zwischen den USA und der EU aber nicht. Und somit verstößt die Herausgabe von Daten aufgrund des Cloud-Act gegen EU-Recht. Datenschützer schlagen seit Inkrafttreten Alarm, denn die angeforderten Informationen können auch personenbezogene Daten beinhalten. Vor allem die Gefahr, dass unbescholtene Unternehmen und Bürger in der EU ohne Grund ins Fadenkreuz staatlicher US-Akteure geraten könnten, hinterlässt bis heute einen faden Beigeschmack am Cloud Act.

Cloud Act versus DSGVO

Für US-amerikanische Tochterfirmen, die ihren Sitz in Europa haben, bedeutet der Cloud Act, dass sie in jedem Fall entweder gegen das eine oder das andere Gesetz verstoßen. Verweigern sie die Herausgabe von Daten, wie Microsoft es 2018 versucht hat, verstoßen sie gegen den Cloud Act und somit gegen US-Recht. Geben die Firmen Daten heraus, verstoßen sie gegen EU-Recht und müssen mit einer Strafzahlung in Höhe von bis zu 20 Millionen Euro rechnen.

Microsoft hat mittlerweile eine Lösung für europäische Datensätze gefunden: Das Modell der Datentreuhand. T-Systems betreibt bei diesem Modell Office-Anwendungen unter dem Namen „Office 365 Deutschland“. Erzeugte Daten sind ausschließlich in Deutschland gespeichert, Microsoft hat keinen Zugriff – und somit auch die US-amerikanischen Behörden nicht.

Ob sich das Problem aus der Welt schaffen lässt, ist fraglich. Die USA verweigern sich Gesprächen mit der EU-Kommission und will nur mit den Regierungen einzelner Länder verhandeln. Leidtragende sind die Unternehmen. Wer ganz sicher sein will, muss nicht nur darauf achten, wo Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat.

Cloud Act: Zwei Frauen mit erhobenen Händen symbolisieren Stop. Bild: Pexels/@tkirkgoz

Widerstand gegen den Cloud Act kommt von den Big Playern mit Tochterfirmen in Europa. Bild: Pexels/@tkirkgoz

Widerstand der Big Player

Daten sind das Gold unseres Zeitalters und der Cloud-Markt gilt als Schlüsseltechnologie der Zukunft – kein Wunder also, dass dieser Markt hart umkämpft ist. Die Marktführer sind die Big Player Microsoft, Amazon, Apple oder Google, alle mit Sitz in den USA. Und die Tech-Riesen wehren sich gegen die pauschale Herausgabe ihrer Kundendaten an Strafverfolger. Von ihnen kommt der größte Widerstand gegen eine drohende Staatswillkür.

Die Folge: Zahlreiche Anfragen auf Datenherausgabe landen vor US-Gerichten. Dort müssen die anfragenden Strafverfolger zunächst stichfeste Beweise vorlegen, dass es sich beim jeweiligen Kunden auch wirklich um einen Angehörigen der organisierten Kriminalität oder einen Terrorverdächtigen handelt. Erst wenn die Anbieter rechtlich zur Datenherausgabe gezwungen werden, erhalten die Strafverfolger den Key zu den verschlüsselten Informationen.

Wenn Sie Ihr Unternehmen für die Zukunft gut aufstellen wollen, geben Sie die IT in die professionellen Hände von PC-SPEZIALIST in Ihrer Nähe. Mit dem proaktiven IT-Basisschutz sorgen wir dafür, dass Ihre IT stets einwandfrei läuft, Updates ausgeführt werden, Daten DSGVO-konform gesichert werden und Angreifer von außen keine Chance haben. Nehmen Sie gern unverbindlich Kontakt zu uns auf.

_______________________________________________

Quellen: heise, t3n, it-business

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren