bluebit

USA verabschiedet Gesetz

Cloud Act vs. DSGVO – Rechtssicherheit für EU-Unternehmen beendet

von Robert Klatt •

Unternehmen können sich nicht an den Cloud-Act und die DSGVO halten, wenn US-Behörden Daten anfragen. Sie müssen dann eines der Gesetze missachten.


0 Kommentare

Die vor einigen Monaten eingeführte Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) sollte eigentlich dafür sorgen, dass ein einheitlicher rechtlicher Rahmen geschaffen wird, der Unternehmen klare Regeln für den Umgang mit Daten bietet. Die durch die DSGVO definierten Datenschutzstandard gelten dabei für alle innerhalb der EU angemeldeten Unternehmen aber auch Unternehmen aus dem Ausland, die innerhalb der EU Geschäfte betreiben. Auch Unternehmen aus den USA müssen sich daher an die Vorgaben der DSGVO halten, wenn sie in der EU aktiv sind.

Dies umfasst beispielsweise Cloud-Anbieter, die obwohl ihr Firmensitz in den USA ist der DSGVO unterliegen, wenn sie innerhalb der EU Rechenzentren betreiben, auf denen Daten von Kunden liegen, die aus der EU stammen. Der im März 2018 durch den US-Kongress verabschiedete Cloud Act (Clarifying Law-ful Overseas Use of Data Act) beendet diese Rechtssicherheit nun wieder. Durch das US-Gesetz sind US-Unternehmen dazu verpflichtet US-Behörden Zugriff auf Dateien zu ermöglichen, die in ihrer Cloud-Infrastruktur gespeichert sind auch dann, wenn sich die Server außerhalb der USA befinden und die Daten zu einem ausländischen Unternehmen gehören. Dies ist ein Widerspruch zu zur DSGVO, die die Datenherausgabe in diesem Fall verbietet. US-Cloudanbieter können somit nicht mehr gesetzeskonform agieren und müssen sich entscheiden ob sie gegen die DSGVO oder den Cloud-Act verstoßen, wenn eine Anfrage einer US-Behörde erfolgt.

Cloud-Act verlangt umfassenden Zugriff

Problematisch am Cloud-Act ist außerdem die weite Auslegung des Gesetzes. Die USA vertritt die Ansicht, dass alle Unternehmen die einen Sitz in den USA haben unter die neue Regelung fallen. Dies umfasst auch ausländische Unternehmen die ihren Hauptsitz an einem anderen Standort beispielsweise in der EU betreiben. Neben Cloud-Anbietern sind von der neu geschaffenen Unsicherheit auch Data Owner, also Unternehmen die Daten bei Cloud-Anbietern speichern betroffen.

Im Falle einer Anfrage einer US-Behörde sind die Unternehmen daher gezwungen intern zu entscheiden gegen welches Recht sie verstoßen. Die DSGVO sieht in so einem Fall eine Maximalstrafe von 4 Prozent des weltweiten Jahresumsatzes vor. Sollten die Unternehmen sich an die DSGVO halten, müssen sie eine Strafe der US-Behörden befürchten, wenn sie die angeforderten Daten nicht übermitteln.

Der Cloud-Act schafft aus Sicht von EU-Unternehmen also vor allem weitere rechtliche Probleme. Neben der noch unsicheren Auslegung der DSGVO in wichtigen Punkten müssen die Unternehmen nun auch noch abwägen, an welches der für sie geltende Rechte sie sich halten.

0 Kommentare

Kommentar verfassen