Thomas Deutschmann ist als CEO für die Festlegung und Umsetzung der künftigen Unternehmensstrategie der Brainloop AG verantwortlich. Darüber hinaus verantwortet er das Erreichen der operativen Ziele der Gesellschaft sowie die Bereiche Sales und Marketing.

Thomas Deutschmann

Cloud Act gefährdet Datensouveränität von US-Unternehmen

Das Verfahren gegen Microsoft zur Herausgabe von in Irland gespeicherten Daten ist diese Woche eingestellt worden. Das hört sich zunächst positiv an. Der Hintergrund ist allerdings bedenklich: Der Cloud Act soll den Zugriff auf europäische Daten ermöglichen.

Brainloop AG IT Cloud Datenschutz Blog

Am 23. März war von der US-amerikanischen Regierung mit dem Cloud Act völlig überraschend ein neues Gesetz verabschiedet worden. Es soll den Zugriff auf Daten in anderen Ländern in Zukunft erleichtern. Pikantes Detail: Das Gesetz war als Afterthought im Rahmen einer Haushaltsdebatte entschieden worden und damit ohne ausführliche Debatte „durch die Hintertür“ in den Gesetzgebungsprozess eingegangen (zu den Hintertüren unten mehr).

Der Cloud Act wurde spontan von großen amerikanischen Herstellern wie Apple und Microsoft begrüßt. Das verwundert etwas. Hatten sie sich doch in den letzten Monaten gegenüber den Forderungen der US-Regierung zur Herausgabe von Daten standhaft gezeigt. Der Beifall ist so zu bewerten, dass der Cloud Act den US-amerikanischen Anbietern nun mehr Rechtssicherheit gibt und sie nicht weiter zwischen den Stühlen europäischer und US-amerikanischer Gesetzgebung sitzen. Dies wird ihnen vor allem Klagen aus Europa ersparen.

Die Folgen des Cloud Acts

Der Cloud Act sieht vor, dass Daten auf Basis von bilateralen Vereinbarungen ausgetauscht werden. Auch heute bestehen vergleichbare Vereinbarungen zwischen den USA und anderen Ländern wie beispielsweise der globale automatische Informationsaustausch. Im Zuge des Cloud Acts müssen in Zukunft US-Anbieter Daten auf Servern in anderen Ländern herausgeben, wenn es sich um Daten von US-Bürgern handelt.

White Paper zum Thema

Dies ist ein weiteres Beispiel einer schrittweisen Aufweichung der regionalen Datensouveränität, basierend auf einem grundsätzlich anderen kulturellen Verständnis von IT-Sicherheit und Datenschutz. Angefangen vom Patriot Act, der Zugriff auf Daten in den USA auch ohne Gerichtsbeschluss ermöglicht, über breit angelegte Überwachungsprogramme wie Prism und den Druck, der auf US-Anbieter zur Herausgabe von Daten ausgeübt wird (Apple, Microsoft), bis hin zum Cloud Act. Individuelle Verfehlungen wie kürzlich von Facebook kommen hinzu.

So überraschend der Cloud Act verabschiedet wurde, so sehr kann man gespannt sein, was als nächstes kommt. Der Gesetzentwurf 2016 zur verpflichtenden Einrichtung von Backdoors durch US-Hersteller, um die Verschlüsselung zu umgehen, konnte nach öffentlichen Protesten noch abgewendet werden.

Doch was bedeutet das für europäische Unternehmen?

Alle Daten, die mit US-amerikanischen Unternehmen und Personen ausgetauscht werden und die im Zugriff amerikanischer Anbieter sind, sind potenziell vom Cloud Act gefährdet. Dazu gehören nicht nur Dateien auf Fileservern sondern auch E-Mails. Was das für die Strafverfolgung von VW und Bosch bei der Dieselgate-Affäre bedeutet hätte, lässt sich nur schwer ermessen.

De facto ist jedoch eine erhöhte Unsicherheit in Bezug auf die Datensouveränität bei der Zusammenarbeit mit US-Unternehmen zu erwarten. Auf lange Sicht kann sich das außerdem als problematisch für amerikanische Softwarehersteller herausstellen. 

Verwandte tecfindr-Einträge