DSGVO vs. Cloud Act

Das Thema Cloud Computing und Datenschutz sorgt wieder einmal für Schlagzeilen. Ausgangspunkt ist der Erlass des hessischen Datenschutzbeauftragten von Anfang Juli 2019, Microsoft Office 365, die Cloud-Version des Office-Pakets der Firma Microsoft, an hessischen Schulen zu verbieten. In seiner Stellungnahme erklärt er, die Schule als öffentliche Einrichtung dürfe die personenbezogenen Daten der Schüler nicht in einer (europäischen) Cloud speichern, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist”. Damit spricht er ein Thema an, dass natürlich nicht nur für Schulen, sondern auch für Unternehmen (Cloud-Anwender/Cloud Anbieter) eine zentrale Bedeutung hat: Den Schutz personenbezogener Daten in der Cloud und die dabei geltenden gesetzlichen Vorgaben.

Schutz personenbezogener Daten: Unterschiedliche Regelungen in Europa (DSGVO) und USA (Cloud Act)

Für die Länder der Europäischen Union gelten seit Ende Mai 2018 beim Datenschutz die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO). In Bezug auf den Schutz personenbezogener Daten sieht die Regelung unter anderem folgende Maßnahmen vor:

  • Für die Datenverarbeitung (z.B. Weitergabe an Dritte) ist eine Rechtsgrundlage (behördliche Ermittlung, etc.) erforderlich.
  • Die Verarbeitung (u.a. Weitergabe) der Daten darf nur für den beabsichtigten Zweck erfolgen.
  • Daten dürfen nur mit Zustimmung der betroffenen Person gespeichert werden.
  • Daten dürfen nicht unbegrenzt gespeichert werden.
  • Daten sind angemessen zu schützen.
  • Informationsplicht für die datenerhebende Stelle, bzw. das Unternehmen, wie die Daten verarbeitet (weitergegeben) werden

Im Gegensatz dazu sieht der Clarifying Lawful Overseas Use of Data (CLOUD) Act, der Ende März 2018 – also nur wenige Wochen vor Inkrafttreten der DSGVO – verabschiedet wurde, zum Teil der DSGVO widersprechende Regelungen für den Zugriff auf personenbezogene Daten vor:

  • Amerikanische Behörden können auf Nutzerdaten außerhalb der USA zugreifen: Die als vertrauensbildende Maßnahme für deutsche Cloud Computing-Kunden gedachten Ankündigungen amerikanischer Cloud Service Provider wie Microsoft, Oracle, Amazon AWS, Salesforce oder Google, auch in Deutschland ein Rechenzentrum zu betreiben, laufen damit ins Leere, denn sie schützen nicht vor dem Zugriff.
  • Nur der amerikanische Service Provider kann gegen den Zugriff Einspruch einlegen. Dies ist allerdings wohl an zahlreiche Bedingungen geknüpft so dass beispielsweise Heise online erklärt: "Selbst wenn der Betreiber zulässig Einspruch erhebt, müssen die dann zuständigen US-Gerichte so viele Faktoren berücksichtigen, dass eine Aufhebung oder Einschränkung des Herausgabebefehls die große Ausnahme bleiben dürfte."
  • Der vom Datenzugriff betroffene Nutzer kann gegen den Zugriff keinen Einspruch einlegen, er muss nicht einmal darüber informiert werden. Diese Regelung steht laut Rechtsexperten im krassen Gegensatz zu den oben genannten DSGVO-Vorgaben, die dem Nutzer ein umfassendes Informationsrecht und dem Betreiber eine Informationspflicht einräumen.

Amerikanische Anbieter bestimmen Lösungslandschaft: Was also tun?

Für amerikanische Cloud Computing-Anbieter ergibt sich daraus das Dilemma, dass sie, wenn sie die Vorgaben der DSGVO einhalten, automatisch gegen die Vorgaben des CLOUD Act verstoßen und umgekehrt. Doch auch für den Anwender ergibt sich die missliche Situation, dass es aktuell aufgrund der marktbestimmenden Position amerikanischer Anbieter wie Google, Amazon Web Services, Microsoft oder Salesforce.com fast unmöglich ist, sich DSGVO-konform zu verhalten. Dies bestätigen auch Rechtsexperten wie der bekannte Kölner Anwalt für Medien- und Internetrecht Christian Solmecke.

Ausweg: ITSM Local Cloud Hosting

Für viele Anwendungsfälle gibt es allerdings sehr wohl Möglichkeiten, die aktuelle rechtliche Unsicherheit von vorneherein zu vermeiden. So bieten Unternehmen wie ITSM mit seinem Local Cloud Hosting-Angebot bereits heute ein umfangreiches Lösungsportfolio an Cloud Services. Als in Deutschland ansässiges Unternehmen unterliegt ITSM zwar den Regelungen der DSGVO, aber natürlich nicht den Vorgaben des CLOUD Act. Damit ist auch der Zugriff auf in der ITSM-Cloud gespeicherte personenbezogene Daten durch ausländische Behörden generell ausgeschlossen.

Weitere Informationen zum ITSM Local Cloud Hosting stehen auf der ITSM-Webseite zur Verfügung.

P.S.: Der hessische Datenschutzbeauftragte ist mittlerweile wieder etwas „zurückgerudert". In einer zweiten Stellungnahme gab er im August 2019 an, den Einsatz von Office 365 „unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden." Die rechtliche Diskrepanz beim Zugriff auf personenbezogene Daten zwischen DSGVO und CLOUD Act wurde damit natürlich nicht ausgeräumt.