Die dunkle Seite der Cloud: Warum der US-amerikanische Cloud-Act die Datensouveränität von europäischen Cloud Nutzer:innen bedroht.
Datensouveränität bezieht sich auf das Recht und die Fähigkeit von Einzelpersonen, Unternehmen oder Organisationen, zu jedem Zeitpunkt über die vollständige Kontrolle ihrer Daten zu verfügen und selbständig zu entscheiden, wie und wo diese Daten genutzt, gespeichert und verarbeitet werden. Datensouveränität beziehungsweise Datenhoheit bedeutet auch, dass die Kontrolle über den Zugriff auf die Daten uneingeschränkt beim Eigentümer der Daten verbleibt, ohne dass Dritte diese Entscheidungen beeinflussen oder umgehen können.
Datensouveränität ist in vielen verschiedenen Bereichen wichtig, insbesondere in Bezug auf Datenschutz, Datensicherheit und Compliance Vorgaben. Gesetzliche Regelungen wie die europäische Datenschutz-Grundverordnung (DSGVO) zielen darauf ab, für europäische Privatpersonen die Kontrolle über ihre personenbezogenen Daten zu stärken und ihre Privatsphäre zu schützen.
Die Debatte um den Schutz sensibler persönlicher Informationen erstreckt sich auf alle Bereiche des privaten und beruflichen Lebens und ist in den letzten Jahren zu einem Top-Thema geworden.
In der IT-Infrastruktur und insbesondere beim Cloud Computing spielt die Datenhoheit eine wichtige Rolle. Unternehmen und Organisationen müssen sicherstellen, dass ihre Daten gemäß den eigenen Sicherheitsrichtlinien und den geltenden Gesetzen geschützt und verwaltet werden, unabhängig davon, ob sie auf eigenen Servern oder in der Cloud gespeichert sind.
Darüber hinaus schafft Datensouveränität Vertrauen bei Kunden, Partnern und Investoren. Unternehmen sollten daher dringend in den Aufbau ihrer Datensouveränität investieren, um jederzeit unabhängig agieren zu können.
Datenschutz: Im Cloud-Umfeld werden Daten auf externen Servern gespeichert und verarbeitet, die von Cloud-Service-Providern betrieben werden. Es muss sichergestellt werden, dass personenbezogene Daten entsprechend den rechtlichen Anforderungen angemessen geschützt werden.
Compliance und gesetzliche Anforderungen: Verschiedene Länder und Regionen haben unterschiedliche Datenschutzgesetze und -vorschriften. Jedes Unternehmen und jede Organisation muss sicherstellen, dass alle anwendbaren Gesetze und Vorschriften, die in ihrem Land und ihrer Region gelten, vollständig umgesetzt werden.
Geschäftsgeheimnisse und geistiges Eigentum: Fast alle Unternehmen verfügen über sensible Daten und geistiges Eigentum, die einen wichtigen Wettbewerbsvorteil darstellen. Deshalb ist es wichtig, dass diese Daten nicht von Unbefugten eingesehen, gestohlen oder missbraucht werden können. Durch die kontinuierliche Überprüfung der eigenen Datenhoheit bzw. Datensouveränität können Unternehmen den Zugriff auf ihre Daten kontrollieren und sicherstellen, dass diese nicht in fremde Hände gelangen.
Vertrags- und Servicekontrolle: Aufgrund der Datenhoheit ist es wichtig, dass Unternehmen die volle Kontrolle über Verträge und Services behalten, die sie mit Cloud Service Providern vereinbart haben. Unternehmen sollten jederzeit in der Lage sein, ihre Daten zu verschieben, den Anbieter zu wechseln oder den Leistungsumfang anzupassen, wenn dies erforderlich ist.
Insgesamt ist die Datenhoheit im Cloud-Umfeld wichtig, um die Kontrolle, Sicherheit und Compliance über die Daten zu gewährleisten. Unternehmen sollten sicherstellen, dass sie die volle Kontrolle und Transparenz über ihre Daten haben, unabhängig davon, wo sie in der Cloud gespeichert oder verarbeitet werden.
In einer zunehmend digitalisierten Welt ist es für Unternehmen und Organisationen von entscheidender Bedeutung, ihre Daten zu schützen. Ein wichtiger Aspekt ist dabei die Kontrolle und Verfügungsgewalt über die eigenen Daten, also die Datensouveränität.
Nicht alle Cloud-Anbieter können diese Datensouveränität ihren Kunden garantieren. Insbesondere große Anbieter wie Amazon AWS, Microsoft Azure, Google Cloud sowie Meta und Salesforce, unterliegen als US-amerikanische Unternehmen dem US-amerikanischen Cloud Act.
Da der Cloud-Act US-Behörden den Zugriff auf Daten von Nicht-US-Bürgern ermöglicht, auch wenn diese außerhalb der USA gespeichert werden, können US-Unternehmen ihren Kunden keine uneingeschränkte Datenhoheit garantieren.
Aus diesem Grund bieten auch europäische Rechenzentren von US-Unternehmen, die sich geografisch in der Europäischen Union befinden, keinen wirksamen Schutz vor dem Zugriff durch US-Behörden.
Eine gleichzeitige Erfüllung der Anforderungen der europäischen Datenschutz-Grundverordnung im Einflussbereich des US Cloud Act ist nicht möglich.
Das US-amerikanische Unternehmen Alphabet veröffentlicht regelmäßig in seinem Transparency Report die Anzahl der jährlichen Auskunftsersuchen zu zivil-, verwaltungs- und strafrechtlichen Zwecken sowie zu Zwecken der nationalen Sicherheit. Diese Auflistung gibt einen guten Eindruck davon, wie oft die Bestimmungen des Cloud Act tatsächlich angewendet werden.
Jedes Unternehmen, jede Organisation oder jede Privatperson die Cloud-Dienste von US-Unternehmen nutzt, sollten Sie darüber bewusst sein, dass US-Behörden ohne richterlichen Beschluss die Herausgabe aller Art von gespeicherten Daten erzwingen können.
Der Cloud-Act oder “Clarifying Lawful Overseas Use of Data Act” ist ein US-amerikanisches Gesetz, welches am 23. März 2018 verabschiedet wurde. Es regelt den Zugriff auf elektronische Daten in der Cloud und betrifft US-amerikanische Unternehmen, welche Cloud-basierte Dienste anbieten. Alle bekannten Hyperscaler und unzählige SaaS Anbieter sind als US-amerikanische Unternehmen von den Bestimmungen des Cloud-Act betroffen.
Der Cloud-Act umfasst zwei wesentliche Aspekte. Erstens ermöglicht er den US-Behörden den Zugriff auf Daten, die von US-amerikanischen Unternehmen in der Cloud gespeichert werden, unabhängig vom physischen Speicherort der Daten. Explizit davon ausgenommen sind nur die Daten von US-Bürgern.
Zweitens erlaubt das Gesetz ausländischen Behörden den Zugriff auf Daten, die von US-amerikanischen Unternehmen in der Cloud gespeichert werden, sofern diese für strafrechtliche Ermittlungen oder schwere Verbrechen benötigt werden und bilaterale Abkommen zwischen den USA und anderen Ländern bestehen. Der Cloud-Act hat somit weitreichende Auswirkungen auf den Datenschutz, die Datensouveränität und die grenzüberschreitende Strafverfolgung.
Der Cloud-Act hat wegen Bedenken bezüglich Datenschutzes heftige Diskussionen ausgelöst. In erster Linie wird kritisiert, dass das Gesetz den Zugriff auf Daten von Personen, Unternehmen oder Organisationen ohne ausreichende Gerichtsbeschlüsse ermöglicht. Befürworter des Cloud-Act argumentieren, dass das Gesetz unabdingbar ist, um Verbrechen zu bekämpfen und den Zugang zu Beweismitteln zu erleichtern.
In den letzten Jahren drängen auch chinesische Cloud-Anbieter wie Alibaba Cloud oder Tencent Cloud auf den internationalen Markt. In China gibt es jedoch ein ähnliches Gesetz wie den US-amerikanischen Cloud-Act: das Cybersecurity Law. Das Gesetz regelt den Umgang mit Daten und die Cybersicherheit in China und gibt den Behörden weitreichende Befugnisse, auf Daten zuzugreifen, die von Unternehmen und Nutzern in China gespeichert werden. Ähnlich wie beim Cloud-Act ermöglicht das Cybersecurity Law den chinesischen Behörden auch Zugriff auf Daten, die auf Servern außerhalb Chinas gespeichert sind.
Viele weitere Länder haben ebenfalls eigene Gesetze und Vorschriften, die den Zugriff der Behörden auf Cloud-Daten regeln. Unternehmen, Organisationen und Einzelpersonen sollten daher bei der Nutzung von Cloud-Services und SaaS Lösungen in Bezug auf Datenschutzbestimmungen immer die Gesetze und Vorschriften in ihrem eigenen Land und im Land des Cloud Providers beachten.
Europäische Privatpersonen, Unternehmen und Organisationen sollten aus den oben genannten Gründen sicherstellen, dass die Souveränität über ihre Daten in der Cloud zu 100 % gewährleistet ist. Dazu gehört beispielsweise die Auswahl von Cloud- oder SaaS-Anbietern, die nicht in Ländern ansässig sind, in denen die Datensouveränität aufgrund der dort geltenden Gesetze gefährdet ist.
Der Einsatz von Verschlüsselungstechnologien kann dazu beitragen, die Lesbarkeit von Daten zu verhindern, sofern der dafür verwendete private Schlüssel an einem anderen, sicheren Ort verwaltet wird und sichergestellt werden kann, dass die Daten nur mit einem einzigen privaten Schlüssel verschlüsselt wurden. Es ist jedoch zu bedenken, dass bei der Nutzung verschlüsselter Daten, wie z.B. beim Cloud Computing, die Daten unverschlüsselt im Arbeitsspeicher des Cloud Servers vorliegen müssen. Spätestens dann könnten sie von Dritten eingesehen werden.
In der heutigen digitalen Welt ist die Umsetzung von Compliance- und Regulierungsanforderungen in der Cloud von entscheidender Bedeutung. Besonders die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) ist hierbei ein relevanter Faktor. Unternehmen, die diese Vorgaben nicht erfüllen, können mit empfindlichen Geldstrafen oder anderen Sanktionen rechnen.
Zusammenfassend lässt sich sagen, dass Datenhoheit ein entscheidender Faktor bei Cloud-basierten Arbeitsabläufen ist. Sie ermöglicht es Unternehmen, die geltenden Vorschriften einzuhalten und die Vorteile des Cloud-Computing zu nutzen, ohne die Kontrolle über ihre Daten zu verlieren.
Um eine erfolgreiche Umsetzung der Datensouveränität in einer Cloud-Umgebung zu gewährleisten, sollten Unternehmen ständig neue Risiken im Zusammenhang mit Sicherheit und Datenschutz bewerten und sich über die Plattformen und Fähigkeiten ihrer Cloud Provider informieren. Die Schulung des Personals über den richtigen Umgang mit Daten und die Auswahl eines seriösen Cloud-Partners mit einschlägiger Erfahrung ist für die Maximierung des Potenzials der Datensouveränität unerlässlich. Letztendlich müssen Unternehmen eine anpassungsfähige Governance-Strategie entwickeln, um die Einhaltung der Datenschutzbestimmungen zu garantieren und ihre Datensouveränität zu gewährleisten.
9 Fragen zur Cloud Sicherheit →
Auswirkungen des Schrems II-Urteils auf Cloud-Provider →