Wonach suchen Sie?

Skip to main content

Was der US CLOUD Act für Ihre IT-Sicherheit bedeutet

Kurz bevor in Europa die Datenschutz-Grundverordnung in Kraft trat, wurde in den USA der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlassen. Das Gesetz regelt die Handhabung von Daten, die zwar nicht in den USA gespeichert, aber von US-Unternehmen verwaltet werden. Es räumt den US-Ermittlungsbehörden das Recht ein, ohne vorheriges Rechtshilfegesuch auf Daten von Unternehmen wie beispielsweise Microsoft, Google oder Amazon zuzugreifen, auch wenn diese auf Servern im Ausland gespeichert sind.

Hiervon betroffen sind nicht nur Verkehrsdaten, sondern auch Inhaltsdaten. Übrigens: Kommt es zur Herausgabe von Daten, sind die Cloudanbieter nicht dazu verpflichtet, die Betroffenen darüber zu unterrichten!


Der CLOUD Act steht in direktem Widerspruch zur DSGVO. Diese besagt nämlich, dass personenbezogene Daten nur auf Grundlage eines Gerichtsurteils oder einer internationalen Übereinkunft in ein Drittland übermittelt werden dürfen. Im Falle einer Anfrage nach Daten, die in Europa gespeichert sind, stehen Unternehmen somit vor der Problematik, gegen eines der beiden Gesetze verstoßen zu müssen. Innerhalb des CLOUD Acts gibt es zwar die Einschränkung, dass Daten nur dann herausgegeben werden dürfen, wenn dafür gegen keine nationalen Gesetze verstoßen wird. Doch in der Praxis ist es fraglich, inwiefern Unternehmen sich darauf berufen können. Zwar gibt es zwischen den USA und der EU bereits Verhandlungen über ein bilaterales Abkommen hierzu, doch stehen diese noch am Anfang. Die rechtliche Lage ist unsicher.

Ein Schritt in Richtung DSGVO

Bisher konnten Unternehmen, Behörden und Organisationen den Transfer persönlicher Daten in die USA mit dem Privacy Shield begründen. Dabei handelt es sich um ein Abkommen der EU-Kommission mit den USA, in dem sich US-Unternehmen verpflichten, den europäischen Mindest-Datenschutzstandard nach der DSGVO einzuhalten.

In seinem Urteil vom 16. Juli hat der EuGH eben diesen Privacy Shield für ungültig erklärt und die Position der DSGVO gestärkt. Das Urteil fiel im Rahmen des Rechtstreits zwischen dem österreichischen Datenschutzaktivisten Max Schrems und der irischen Datenschutzbehörde. Gegenstand des Verfahrens war die Datenübermittlungen von Facebook in die USA, die Schrems untersagen lassen wollte. Mit dem "Schrems II-Urteil" lehnt der EuGH den EU-US-Privacy-Shield nun ab. Konkret bedeutet dies, dass sich Unternehmen ab sofort nicht mehr auf den Privacy-Shield berufen dürfen, um Daten zu übertragen, da diese nicht wirkungsvoll vor dem Zugriff von US-Geheimdiensten geschützt werden.

Der BfDI sieht im EuGH-Urteil einen klar geschaffenen Rahmen für den internationalen Datenverkehr. Unternehmen, Behörden und Aufsichtsbehörden stehen nun vor der komplexen Aufgabe, das Urteil praktisch anzuwenden. Wie der BfDI in einer Pressemitteilung erklärte, werde man in besonders relevanten Fällen auf eine schnelle Umsetzung drängen.

Ihre Daten in sicheren Händen

Sie möchten auf "Nummer sicher" gehen? Dann vertrauen Sie Ihre Daten einem deutschen bzw. europäischen Cloud-Anbieter an, der weder Tochterunternehmen eines US-Unternehmens ist, noch Niederlassungen in den USA hat. Mit der BADEN CLOUD®, Ihrem regionalen Rechenzentrum, können Sie sicher sein, dass Ihre Daten vor einem Fremdzugriff geschützt sind.

Jetzt Daten sicher auslagern