Der Themenbereich Cloud und Datenschutz gerät nie aus der Mode - und nun kommt eine neue Schärfe in die Debatte durch CLOUD: Das US-amerikanische Gesetz (das ausgeschrieben "Clarifying Lawful Overseas Use of Data" heisst) könnte weitreichende Konsequenzen auch für europäische und damit Schweizerische Unternehmen haben.
Was ist der CLOUD Act?
Falls Du die Entwicklung des Internets und der Cloud-Provider aufmerksam verfolgst, wirst Du bereits bemerkt haben, dass nicht wenige von ihnen mit einem besonders hohen Mass an Datenschutz werben. In der heutigen Zeit, in der es praktisch zum guten Ton gehört, sich als gläserner Nutzer im Internet zu präsentieren, ist dies tatsächlich ein wirksames Marketinginstrument. Das am 23. März 2018 vom US-Kongress abgesegnete Gesetz, das den treffenden Namen CLOUD Act trägt, könnte diesen Datenschutz nun beinahe vollständig aushebeln.
Juristisch laienhaft ausgedrückt, handelt es sich um ein Gesetz, das US-Behörden jeglicher Art den Zugriff auf gespeicherte Daten erlaubt, selbst wenn die Server nicht in den USA stehen. Jedes US-Unternehmen muss sich diesem Gesetz seit dem oben genannten Datum unterwerfen. Genauso wäre es denkbar, dass ausländische - etwa europäische - Unternehmen Zugriff auf Dateien erhalten, die US-Unternehmen im Ausland speichern.
Der offizielle Sinn und Zweck des CLOUD Acts besteht darin, dass bilaterale Absprachen in Zukunft ohne den langwierigen Weg über Gericht getroffen werden können: Wenn eine Behörde in Frankreich Zugriff auf Deine bei einem US-Konzern gespeicherten Daten haben möchte, kann sie dies in Zukunft einfach tun - vorbei sind die Zeiten gerichtlicher Auseinandersetzungen. Die Umgehung von amtlichen Kontrollen sehen nicht wenige Datenschützer jedoch als ernsthaftes Problem an.
Wer hat Recht?
Durch die genannten Eckpunkte des Gesetzes entsteht ein nicht unerheblicher Graubereich für die Juristen. Nehmen wir beispielsweise an, dass Du wichtige persönliche Daten in die Cloud eines grossen US-Unternehmens auslagerst - etwa Microsoft (übrigens ein entschiedener Gegner des CLOUD Act). Das Unternehmen selbst gibt ausserdem an, die Daten auf Servern innerhalb der EU oder auch der Schweiz zu lagern.
Im Zweifelsfall ist trotzdem nicht klar, dass Deine Daten vor dem Übergriff durch US-Behörden geschützt sind, da Cloud-Provider durch den CLOUD Act nun US-amerikanischer Rechtsprechung unterliegen - ganz egal, wo sich die Server befinden. Der Zugriff auf Daten wäre in jedem Fall möglich und müsste nicht einmal (wie zu Zeiten der NSA-Skandale) verschleiert werden, da rechtlich gesehen alles absolut sauber abläuft.
CLOUD Act und die DSGVO - ein Drama in vielen Akten
Als die Datenschutz-Grundverordnung in Kraft trat, waren die Nachrichten für einige Zeit dominiert von diesem Thema. Möglicherweise ist es nun an der Zeit, die DSGVO noch einmal zu besprechen - weil sie in vielen Punkten mit dem CLOUD Act auf Kollisionskurs steht.
Cloud-Provider dürfen nach Artikel 48 der DSGVO nämlich nur Daten an andere Staaten weitergeben, wenn Verdacht auf Strafsachen besteht (oder anderweitige, von Gerichten abgesegnete Übereinkünfte bestehen). Der CLOUD Act würde den Zugriff jedoch zu jeder Zeit bereitstellen - und damit Unternehmen dazu zwingen, gegen die im eigenen Land geltende DSGVO zu verstossen.
Daten an Unternehmen im Ausland zu übermitteln, verstösst somit gegen die Vorschriften in Bezug auf personenbezogene Daten der DSGVO, während der CLOUD Act jedoch alle Unternehmen im Wirkungsbereich (sprich: jedes Unternehmen mit Kontakt in die USA) genau dazu verpflichtet. Sehr verwirrend und rechtlich kaum durchschaubar? Das finden wir auch - weshalb wir eine bessere Lösung ins Leben gerufen haben.
Probleme für das Eventmanagement
Aus unserer Sicht (das Bundesamt für Justiz übrigens auch, vgl. Schlussfolgerung S.46) entstehen durch den CLOUD Act erhebliche Probleme für Events jeglicher Art: Einladungs- und Gästemanagement ist ohne einen Zugriff auf einige persönliche Daten nicht möglich. Banken, Rechtsanwälte, grosse Unternehmen und andere Kunden legen aus verständlichen Gründen Wert auf ein möglichst hohes Mass an Diskretion. Würdest Du in der Lage sein, diese zu garantieren, wenn Du einem x-beliebigen Cloud-Provider vertraust und dabei um den CLOUD Act Bescheid wüsstest? Wahrscheinlich nicht - und wir könnten das auch nicht.
eyevip hat es sich daher zum Ziel gesetzt, die Angelegenheit selbst in die Hand zu nehmen: Mit der eigenen Cloud stellen wir sicher, dass Kundendaten jeglicher Art von einem Schweizer Provider in einer Schweizer Cloud gesichert werden. Daten werden nur über landesinterne Netzwerke gesendet und verlassen zu keinem Zeitpunkt das Land und unterliegen damit auch keiner internationalen, zweifelhaften Rechtsprechung. Dies ist unserer Meinung nach die sichere, vertrauensbasierte Lösung für die Speicherung von Daten in der Cloud für die nahe und mittelfristige Zukunft.
