Der US-CLOUD-Act verpflichtet Provider auch dann zur Herausgabe von Daten internationaler Kunden, wenn diese durch Gesetze wie die DSGVO im Heimatland geschützt sind. In diesem Whitepaper erfahren Sie, welche Risiken für deutsche Unternehmen entstehen, wenn Sie US-Cloud-Dienste nutzen, und welche Maßnahmen Sie dagegen ergreifen sollten.
Inhalt:
Schon mehrfach hat der Europäische Gerichtshof (EuGH) festgestellt, dass das Datenschutzniveau in den USA nicht europäischen Standards entspricht. So erklärten die Richter beispielsweise in dem als „Schrems II“ bekannten Urteil vom 16. Juli 2020 das EU-US-Privacy Shield für ungültig, das den USA ein angemessenes Datenschutzniveau attestierte. Ob die sogenannten Standardvertragsklauseln für eine rechtskonforme Übertragung personenbezogener Daten ausreichen, ist zumindest umstritten. Schließlich müssen US-Provider seit Inkrafttreten des CLOUD Act (Clarifying Lawful Overseas Use of Data) Daten ausländischer Kunden auch dann an US-Behörden herausgeben, wenn Gesetze des Heimatlandes dies verbieten.
Für die Kunden der US-Cloud-Provider birgt diese Rechtslage erhebliche Risiken, die nicht auf den Missbrauch personenbezogener Daten beschränkt sind. Schließlich können sich US-Behörden durch den CLOUD Act auch Zugriff auf Geschäftsgeheimnisse, Patente und andere wettbewerbsrelevante Informationen verschaffen.
Das vorliegende Whitepaper zeigt Ihnen, welche Konsequenzen sie aus diesem Sachverhalt ziehen sollten. Sie erfahren:
- Wie es zum CLOUD Act kam und was er genau bedeutet.
- Welche Risiken durch den CLOUD Act entstehen.
- Welche Sicherheit Standardvertragsklauseln wirklich bieten.
Originalauszug aus dem Dokument:
Die größte Neuerung unter dem CLOUD Act ist nun, dass nicht mehr nach dem Speicherort der Daten differenziert wird. Vielmehr reicht es aus, dass die Daten durch einen Provider, der seinen Sitz oder seine Niederlassung in den USA hat oder dort einer Geschäftstätigkeit nachgeht, verarbeitet werden. Somit können durch den CLOUD Act auch personenbezogene Daten betroffen sein, die von Verantwortlichen in Europa verarbeitet werden, sofern sie diese Daten an einen US-Provider übermitteln.
Zudem ermöglicht der CLOUD Act den Abschluss von Abkommen zwischen den USA und anderen Ländern. Sofern es ein solches Abkommen gibt, können die Behörden des jeweiligen Landes unmittelbar von US-Providern die Herausgabe von Daten ohne weitere Überprüfung verlangen und umgekehrt. Lediglich die Abkommen mit den Ländern selbst sollen durch die USA alle fünf Jahre im Hinblick auf das dort herrschen- de Menschenrechtsniveau überprüft werden.
Folglich ist jedes Unternehmen, das cloudbasierte Datenverarbeitungen durch US- Provider oder ihre Tochtergesellschaften durchführt, potentiell von Herausgabeverlangen unter dem CLOUD Act betroffen. Unternehmensdaten können also bereits bei Beauftragung europäischer IT-Dienstleister, die ihre Dienste über amerikanische Server oder EU-Server von US-Providern laufen lassen, betroffen sein. Zu ersterem zählen auch webbasierte Services wie Google Drive oder Google Analytics.