In den USA sind Unternehmen gemäß dem PATRIOT Act seit 2001 dazu verpflichtet, Daten auf behördliche oder richterliche Anweisung hin herauszugeben – allerdings nur dann, wenn die Daten auch in den USA gespeichert sind. Das soll sich nun ändern.
Ende März 2018 hat US-Präsident Donald Trump den CLOUD Act (Clarifying Lawful Overseas Use of Data Act) unterzeichnet. Dieses neue Gesetz erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten, solange die betroffenen Server unter der Kontrolle von US-Unternehmen sind.
Was bedeutet das konkret für Europa? Was passiert mit den Daten, wenn ein US-Unternehmen Server in Europa betreibt oder einen deutschen Cloud-Service-Provider bzw. Cloud-Hosting-Anbieter aufkauft? Greift hier schon der CLOUD Act, oder gilt auch weiterhin die DSGVO?
CLOUD Act: Rechtsunsicherheit made in USA
Konzerne wie Microsoft, die Server in der EU betreiben und eine Herausgabe von Daten bisher unter Berufung auf den Serverstandort außerhalb der Vereinigten Staaten verweigern konnten, sind nun also eindeutig zur Herausgabe verpflichtet.
Datenschutz-Experten sehen hier allerdings einen klaren Konflikt mit der DSGVO. Diese verbietet Unternehmen nämlich die Übergabe von in der EU gesicherten Daten ohne Rechtshilfeabkommen (vgl. DSGVO Art. 48). Bei einem Verstoß gegen die Pflichten aus Artikel 48 drohen nach Art. 83 DSGVO empfindliche Bußgelder in Höhe von bis zu 20 Millionen Euro oder mindestens vier Prozent des weltweiten Jahresumsatzes.
Betroffene US-Unternehmen, die Server innerhalb der EU betreiben, befinden sich damit zunächst in einer Zwickmühle: Egal, wie sie sich entscheiden, eines von beiden Gesetzen verletzen sie beinahe zwangsläufig. Also was könnten Unternehmen tun, um die Daten ihrer Kunden trotzdem zuverlässig gegen Zugriffe durch US-Behörden zu schützen?
Betreibersicherheit schafft Datenschutz
„Daten, die für Menschen einsehbar sind, können auch weitergegeben werden“, warnt Cloud-Security-Experte Dr. Hubert Jäger, CTO des Münchner Unternehmens Uniscon GmbH, einer Tochter des TÜV SÜD. „Vor allem Daten, die verarbeitet werden, liegen bei den meisten Anbietern von Cloud-Diensten unverschlüsselt auf den Verarbeitungs-Servern vor.“
Unternehmen, die auf Nummer Sicher gehen wollen, sollten sich demnach für Dienste entscheiden, bei denen auch der Betreiber durch technische Maßnahmen zuverlässig vom Zugriff auf Kundendaten ausgeschlossen ist. Dazu zählen beispielsweise die Versiegelte Cloud der Deutschen Telekom, ucloud von regio IT und iDGARD von Uniscon; bei der Suche nach geeigneten Diensten können entsprechende Zertifikate helfen, beispielsweise nach dem Auditor-Katalog oder dem Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP). „In einer betreibersicheren Cloud sind die Daten auch im Falle einer Übernahme durch US-amerikanische Unternehmen weiterhin geschützt, da ein Zugang schon rein technisch ausgeschlossen ist“, sagt Jäger.
Versiegelte Datenräume – versiegelte Anwendungen
Unternehmen, die nicht auf externe Anbieter setzen möchten, können sich Uniscons patentierte Technologie übrigens auch ins eigene Rechenzentrum holen: „Die Sealed-Cloud Technologie lässt sich einfach in bestehende Systeme integrieren und bildet die Basis für revisionssichere virtuelle Datenräume, über die IoT-Anwendungen, Big-Data-Analysen und M2M-Kommunikation einfach umgesetzt werden können“, erklärt Jäger.
Bei der Entwicklung der Sealed-Cloud-Technologie wurden Datenschutzgrundsätze bereits bei der Entwicklung von Anfang an in die Konzeption mit einbezogen. In der Konsequenz genügt die Sealed Cloud höchsten Ansprüchen:
- Die Verbindung zum Rechenzentrum ist durch eine sichere Transport-Verschlüsselung geschützt.
- Auch im Rechenzentrum selbst liegen die Daten verschlüsselt vor, wenn sie nicht verarbeitet werden. Dabei sind die Schlüssel unter alleiniger Kontrolle der Anwender.
- Dem Backend-Betreiber und seinen Mitarbeitern wird der Zugang zu den Daten während der Verarbeitung nicht nur organisatorisch, sondern durch rein technische Maßnahmen verwehrt. Die Verarbeitung erfolgt in einer nur dem Anwender zugänglichen „Kapsel“.
Dazu ist die Infrastruktur der Sealed Cloud im Rechenzentrum in mehrere Segmente unterteilt. Zusätzlich sind um alle Anwendungsserver des Dienstes mechanische Käfige mit elektro-mechanischen Schlössern angebracht. In diesem System schotten sich die Server automatisch sowohl elektronisch als auch elektromechanisch gegen jeden Zugriff des Betreibers ab.
So ermöglicht die Sealed Cloud nicht nur sicheren Datenaustausch und geschützte Kommunikation, sondern dienst auch als Enabler für rechts- und datenschutzkonforme SaaS‑, IoT-, und Industrie-4.0-Angebote.
Der Autor: Dr. Hubert Jäger ist Mitgründer und CTO der Uniscon GmbH. Der Münchner Cloud-Security-Dienstleister gehört seit Sommer 2017 zur TÜV SÜD Gruppe. Seine international patentierte Sealed-Cloud-Technologie ist der Stand der Technik für sichere und rechtskonforme Datenverarbeitung und bildet damit unter anderem die Basis die Sealed Platform und betreibersichere Cloud-Dienste wie iDGARD.
Hinweis: Wir übernehmen keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.