US Cloud Act

  • 3 Minuten Lesezeit
daten-sicherheit-souverenitaet-datenschutz in der cloud

Was es bedeutet und warum deutsche Cloud-Provider wie sc synergy eine sichere Alternative sind

Die digitale Transformation hat in den letzten Jahren viele Bereiche unseres Lebens erfasst – von der Art und Weise, wie wir kommunizieren und arbeiten, bis hin zur Speicherung und Verwaltung unserer Daten. Dabei spielen Cloud-Services eine immer wichtigere Rolle, da sie Unternehmen und Privatpersonen die Möglichkeit geben, ihre Daten und Anwendungen einfach und flexibel online zu nutzen. Doch die Nutzung von Cloud-Diensten birgt auch Risiken, insbesondere hinsichtlich des Datenschutzes. In diesem Kontext ist der US Cloud Act ein aktuelles Thema, das für viele Nutzer von Cloud-Services relevant ist.

thinking-face

Was ist der US Cloud Act?​

Der US Cloud Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, das im Jahr 2018 verabschiedet wurde. Ziel des Gesetzes ist es, den Zugang von US-Strafverfolgungsbehörden zu elektronischen Daten, die auf Servern außerhalb der USA gespeichert sind, zu erleichtern. Konkret bedeutet dies, dass US-Behörden nun Zugriff auf Daten von US-Unternehmen und Bürgern haben können, die bei Cloud-Providern außerhalb der USA gespeichert sind. Auch wenn die Daten auf Servern in Europa oder anderen Regionen gespeichert werden, können sie somit unter das Gesetz fallen.

Welche Auswirkungen hat der US Cloud Act auf den Datenschutz?

kubernetes hypervisor

Der US Cloud Act hat Auswirkungen auf den Datenschutz, da er den Zugriff auf personenbezogene Daten durch US-Behörden erleichtert. Dies kann insbesondere für Unternehmen und Privatpersonen problematisch sein, die sensible Daten in der Cloud speichern. Durch den Zugriff von US-Behörden auf diese Daten können Vertraulichkeit und Datenschutz nicht mehr garantiert werden.

Gesetzliche Entwicklungen

Mit dem neuen EU-U.S. Data Privacy Framework wurde ein weiterer Schritt unternommen, um den Datenaustausch zwischen der EU und den USA rechtlich abzusichern. Dennoch bleibt der US Cloud Act ein kritischer Punkt, da US-Dienstleister weiterhin unter diese Regelungen fallen. Das EuGH-Urteil zu Schrems II zeigt, dass solche Vereinbarungen weiterhin auf ihre Vereinbarkeit mit europäischen Datenschutzgesetzen geprüft werden.

thinking-face

EU-U.S. Data Privacy Framework

Das EU-U.S. Data Privacy Framework (DPF) wurde im Juli 2023 als Nachfolger des früheren Privacy Shield eingeführt. Es regelt die Übermittlung personenbezogener Daten zwischen der EU und den USA und soll gewährleisten, dass Daten in den USA ähnlich geschützt werden wie innerhalb der EU unter der DSGVO.

Wichtige Merkmale:

  1. Eingeschränkter Datenzugriff: US-Geheimdienste dürfen auf Daten nur in eng definierten Fällen und mit angemessenen Sicherheitsmaßnahmen zugreifen.
  2. Rechtsbehelfsmechanismen: EU-Bürger können sich an ein neues Datenschutzgericht (Data Protection Review Court) wenden, um Verstöße gegen Datenschutzregeln zu überprüfen.
  3. Verpflichtungen für US-Unternehmen: Unternehmen, die am Framework teilnehmen, müssen spezifische Datenschutzanforderungen erfüllen und unterliegen einer kontinuierlichen Überprüfung.

Das DPF adressiert Kritikpunkte, die vom EuGH in Schrems II am Privacy Shield festgestellt wurden, bleibt jedoch umstritten und könnte erneut vor Gericht landen.

idea-bulb

EuGH-Urteil zu Schrems II

Das Urteil Schrems II des Europäischen Gerichtshofs (EuGH) vom Juli 2020 hatte weitreichende Auswirkungen auf den internationalen Datentransfer. Es erklärte das EU-U.S. Privacy Shield für ungültig, da es den Anforderungen der DSGVO nicht genügte.

Zentrale Kritikpunkte:

  1. Mangelnder Schutz vor Überwachung: US-Geheimdienstgesetze wie der FISA 702 erlauben weitreichenden Zugriff auf Daten von Nicht-US-Bürgern, ohne ausreichende Kontroll- und Rechtsbehelfsmechanismen.
  2. Unzureichende Datenschutzrechte: EU-Bürger hatten im Rahmen des Privacy Shield keine Möglichkeit, effektiv gegen die Verarbeitung ihrer Daten in den USA vorzugehen.

Folgen:

  • Unternehmen müssen sich nun stärker auf alternative Mechanismen wie Standardvertragsklauseln (SCCs) oder Datenanonymisierung verlassen.
  • Strengere Anforderungen an Datenschutzmaßnahmen und mögliche Sanktionen bei Nichteinhaltung.

Das Urteil ist weiterhin ein maßgeblicher Referenzpunkt in der Diskussion um transatlantischen Datentransfer und Datenschutz.

Alternativen zu US-basierten Clouds

Europäische Anbieter oder spezialisierte nationale Lösungen bieten oft nicht nur höhere Sicherheitsstandards, sondern auch bessere Kontrolle über Datenzugriffe. Diese Alternativen sollten in Betracht gezogen werden, wenn Unternehmen Datensouveränität priorisieren.

Praktische Handlungsempfehlungen

Unternehmen können sich durch die folgenden Maßnahmen besser absichern:

  1. Nutzung europäischer Cloud-Dienste, die ausschließlich lokalen Datenschutzgesetzen unterliegen.
  2. Implementierung von Ende-zu-Ende-Verschlüsselung, um sicherzustellen, dass Daten für Drittparteien unlesbar bleiben.
  3. Einrichtung hybrider Cloud-Modelle, bei denen sensible Daten ausschließlich in Europa gespeichert werden.

Sind deutsche Cloud-Provider wie sc synergy eine sichere Alternative?

Ja, deutsche Cloud-Provider wie sc synergy können eine sichere Alternative zu US-Cloud-Providern sein. Dies liegt daran, dass deutsche Cloud-Provider, im Gegensatz zu US-Cloud-Providern, den strengen europäischen Datenschutzvorschriften unterliegen. Diese Vorschriften sind in der Datenschutz-Grundverordnung (DSGVO) der EU festgelegt und garantieren ein hohes Maß an Datenschutz und Vertraulichkeit. Da deutsche Cloud-Provider ihre Server und Datenzentren in Europa betreiben, sind sie auch nicht dem US Cloud Act unterworfen.

Der US Cloud Act ist ein Gesetz, das den Zugriff von US-Behörden auf elektronische Daten erleichtert. Dies kann für Unternehmen und Privatpersonen, die Cloud-Dienste nutzen, problematisch sein, da Datenschutz und Vertraulichkeit nicht mehr garantiert werden können. Deutsche Cloud-Provider wie sc synergy bieten eine sichere Alternative, da sie den europäischen Datenschutzvorschriften unterliegen und somit einen hohen Standard an Datenschutz und Vertraulichkeit.

Zu unseren Cloud Services
Zu Infrastructure as a Service

Kommentarfunktion ist geschlossen.