US-Behörden können umfassend auf europäische Cloud-Daten zugreifen

Ein neues Gutachten der Universität Köln im Auftrag des Bundesinnenministeriums zeigt, dass US-Behörden weitreichenden Zugriff auf Daten in europäischen Cloud-Rechenzentren haben. Grundlage sind der Stored Communications Act, der Cloud Act sowie Abschnitt 702 des FISA. Entscheidend ist dabei die Kontrolle durch US-Unternehmen, nicht der physische Speicherort der Daten. Selbst Daten in europäischen Tochtergesellschaften sind betroffen, ebenso potenziell rein europäische Unternehmen mit Geschäftsverbindungen in die USA.

Technische Schutzmaßnahmen wie anbieterseitige Verschlüsselung können eine Herausgabe von Daten nicht verhindern, da die Anbieter diese Verschlüsselungen aufheben können und dies vermutlich auch tun werden. Grundsätzlich ist eine Datenübermittlung an Drittstaaten wie die USA durch die DSGVO eingeschränkt und unterliegt der Kontrolle europäischer Aufsichtsbehörden. Unternehmen dürfen sich derzeit aber noch auf das EU-US Data Privacy Framework (DPF) als Angemessenheitsbeschluss der EU stützen, um personenbezogene Daten durch US-Unternehmen verarbeiten zu lassen, die sich zum DPF bekannt haben. In der Praxis dürfte die DSGVO die Herausgabe europäischer Daten, die US-Unternehmen anvertraut wurden, an US-Behörden kaum verhindern, da die Unternehmen bei Nichtbefolgung US-rechtlicher Anordnungen mit erheblichen Sanktionen rechnen müssen.

Das Gutachten verdeutlicht die Spannungsfelder zwischen US-Recht und europäischem Datenschutz und unterstreicht die Notwendigkeit, europäische Lösungen zur Stärkung der digitalen Souveränität zu entwickeln. Unternehmen sollten daher sorgfältig prüfen, inwieweit der Einsatz von US-Cloud-Diensten wie Office 365 sinnhaft und nachhaltig ist, auch wenn die Nutzung derzeit noch auf Basis des Angemessenheitsbeschlusses der EU (DPF) zulässig ist. Diese Rechtsgrundlage ist mitlerweile stark umstritten und könnte in absehbarer Zeit erneut aufgehoben werden. Besonders erstaunlich ist, dass die Bayerische Staatsregierung trotz dieser Problematik über eine Ausweitung der Datenverarbeitungen bei Microsoft nachdenkt und Office 365 künftig in vollem Umfang einsetzen möchte.

Als Datenschützer raten wir Unternehmen grundsätzlich dazu, europäische Lösungen zu prüfen oder frühzeitig Strategien zu entwickeln, wie sie vorgehen, falls ein Datentransfer in die USA oder die Nutzung entsprechender Dienstleister künftig nicht mehr auf das Data Privacy Framework gestützt werden kann. Auch der Umgang mit bestehenden Risiken, etwa im Hinblick auf Haftungsfragen, sollte bereits heute sorgfältig bedacht werden.

Quellen:
Gutachten zu Zugriffsmöglichkeiten von US-amerikanischer Sicherheitsbehörden
https://fragdenstaat.de/dokumente/273689-rechtsgutachten-zur-us-rechtslage_geschwaerzt/

Cloud-Abhängigkeit des Landes Bayern: Ein Risiko für Datenschutz und Grundrechte
https://it-news-blog.com/?p=3381

Datenschutzbratung durch tec4net
https://www.tec4net.com/web/datenschutz/

 

 

Wir sind Experten für Datenschutz und IT-Sicherheit

Profitieren Sie von unserer umfassenden Beratung zu den Themen Datenschutz und IT-Sicherheit. Unser erfahrenes Team unterstützt Sie dabei, Ihre Website und digitalen Dienste datenschutzkonform zu gestalten um die gesetzlichen Vorgaben zu erfüllen.

Kontaktieren Sie uns noch heute und sichern Sie sich praxisnahe Beratung zur Umsetzung der DSGVO und Normen wie ISO 27001, PCI-DSS oder TISAX.

Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.com