Vorsicht bei der Nutzung von US-Cloud-Diensten

Widersprüche zur DSGVO

Europäischer Gerichtshof in Luxemburg
Europäischer Gerichtshof in Luxemburg: Das Urteil des Gerichts bezüglich Privacy Shield und Standardvertragsklauseln soll im Dezember gefällt werden.
Quelle: Gerichtshof der Europäischen Union
Die DSGVO regelt in Artikel 48 explizit die Herausgabe von Daten an Behörden und andere staatliche Stellen eines Drittlandes. Rechtlich dürfen Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder eine ähnliche Übereinkunft zwischen dem Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Daneben ist allerdings auch Artikel 5 der DSGVO von Bedeutung, der weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer verlangt.
Michael Scheffler von Bitglass führt aus, ein grundlegender Unterschied bestehe in der Rolle von Datenverarbeitungs- und Unternehmensstandort. Die DSGVO setze am Verarbeitungsstandort an und sehe strenge Richtlinien vor, wenn Daten in Regionen ausserhalb ihres Geltungsbereichs übermittelt werden sollen. Der CLOUD Act hingegen beanspruche für sich ein Zugriffsrecht auf Daten von in den USA registrierten Firmen und zwar bezüglich all ihrer Verarbeitungsstandorte weltweit. «Die Schwierigkeit, die sich im Zusammenwirken von CLOUD Act und DSGVO ergibt, ist folgende: Der CLOUD Act ermächtigt die in seinen Geltungsbereich fallenden Unternehmen dazu, gegen die DSGVO zu handeln: Die Service­Anbieter sind nicht dazu verpflichtet, Betroffene über die Herausgabe der Daten an die US-Behörden in Kenntnis zu setzen. Gleichzeitig findet damit eine nicht vorschriftsmässige Übermittlung von personenbezogenen Daten in ein Drittland statt. Ausserdem sind lediglich die Service-Anbieter dazu berechtigt, gegen die Herausgabe Widerspruch einzulegen. All das verstösst gegen die Vorgaben der DSGVO.»
“US-Behörden könnten an den Gerichten vorbei agieren und an personenbezogene Daten oder gar Betriebsgeheimnisse gelangen, ohne betroffene Personen oder Unternehmen darüber informieren zu müssen.„
Eva-Maria Scheiter, Managing Consultant GRC bei NTT Security, www.nttsecurity.com
Datenschützer sehen ausserdem mit Besorgnis, dass der CLOUD Act kaum Vorgaben für den Zugriff der US-Behörden macht. Dies bringe Unternehmen in die Zwickmühle, die personenbezogene Daten in Cloud-Services hosten. Man könne ihnen gemäss der DSGVO vorwerfen, dass sie den Zugriff unbefugter Dritter und die unsachgemässe Übermittlung von Daten in Drittländer billigend in Kauf genommen hätten. Und es gibt noch einen verschärfenden Punkt: Der US-Präsident darf nach Belieben mit Staaten Abkommen zum erweiterten Datenabfluss schliessen. Die Behörden dieser Staaten dürfen dann auch Daten von US-Cloud-Providern erhalten - ohne Gerichtsbeschluss.
Seite 3/5
Auf einer Seite lesen
  1. Vorsicht bei der Nutzung von US-Cloud-Diensten
  2. Was der CLOUD Act besagt
  3. Widersprüche zur DSGVO
  4. Privacy Shield
  5. Schutz vor dem CLOUD Act
Artikel drucken
Andreas Dumont
Autor(in) Andreas Dumont
Das könnte Sie auch interessieren
Online-Handel
Edöb kritisiert Kundenkontozwang bei Digitec Galaxus
 
vor 1 Tag
Cybersecurity hat höchste Priorität
Wachsende digitale Bedrohungs­landschaft
 
vor 2 Tagen
Oracle Cloud Infrastructure
«Näher bei den Kunden, näher beim Thema Cloud»
 
vor 3 Tagen
AWS
Amazon soll in Patentprozess mehr als halbe Milliarde Dollar zahlen
 
11.04.2024