Colocation in Deutschland „Cloud Act und DSGVO widersprechen sich“

Anbieter zum Thema

DataCore Software GmbH

Impossible Cloud GmbH

Zadara Ltd.

Datenschutzgrundverordnung und Cloud Act sind nicht miteinander vereinbar. Diese These vertritt Jerome Evans, der Chef von Firstcolo. Der Colocation-Anbieter mit Sitz in Deutschland profitiert in der Cloud-Ära von der strittigen Rechtslage.

Aus der Perspektive von Jerome Evans, dem Chef des Colocation-Anbieters Firstcolo, passen Cloud Act und Datenschutzgrundverordnung (DSGVO) grundsätzlich nicht zusammen. Ein US-Unternehmen ist – so Evans – grundsätzlich verpflichtet, Zugriff auf Unternehmensdaten durch US Behörden zu gewähren (Cloud Act). Die DSGVO hingegen untersage den willkürlichen ­Zugriff auf die Unternehmensdaten durch Behörden. „Somit ist es rechtlich gesehen unmöglich, sich gleichzeitig an beide ­Gesetze zu halten – sie stehen im Widerspruch zueinander“, so der Firstcolo-Chef.

Der Cloud Act ist ein US-amerikanisches Gesetz, welches US-Behörden den Zugriff auf außerhalb der USA gespeicherte Daten US-amerikanischer IT-Firmen und Cloud-Provider gestattet. Cloud steht in dem ­Zusammenhang für „Clarifying Lawful Overseas Use of Data“.

Artikel 48 DSGVO und seine Folgen

Eine Rechtsauffassung besagt, dass eine Datenweitergabe auf Grundlage dieses ­Gesetzes in grundsätzlichem Widerspruch zu den ­DSGVO-Prinzipien steht. So dürfen Daten nach Artikel 48 DSGVO nur aufgrund einer ­behördlichen Entscheidung oder eines ­Gerichtsurteils in ein Drittland herausgegeben werden, wenn zwischen diesem und der EU beziehungsweise einem EU-Mitgliedsstaat ein spezielles Rechts­hilfeabkommen existiert.

Was der Cloud Act erlaubt

„Ein US-Unternehmen mit Server-Standort in der EU verpflichtet sich, US-Behörden Zugriff auf diese Server zu gewähren, obwohl ihm dies die DSGVO untersagt“, heißt es aus dem Hause Firstcolo. Es bleibe daher zu befürchten, dass sich in der Cloud verarbeitete oder gespeicherte Daten abrufen oder durchsuchen lassen. „Doch der Schutz persönlicher Informationen gilt nur als die eine Hälfte des Problems, bei der ­anderen handelt es sich um die Daten­souveränität“, führt der Anbieter aus. Der Cloud Act legitimiere amerikanische ­Behörden, die Herausgabe sämtlicher in amerikanischen Cloud-Diensten gespeicherten ­Daten eines Unternehmens zu verlangen. „Dadurch verlieren Unternehmen de facto die Hoheit über ihre Angaben und damit verbunden über ihr geistiges Eigentum, ­also insbesondere über ihre Geschäfts- und Betriebsgeheimnisse.“

TADPF regelt den Datenaustausch

Datenaustauschabkommen zwischen der EU und den USA werden häufig in diesem Kontext genannt, nämlich das Safe-­Harbor-Abkommen und der Privacy Shield. Beide sind vom EuGH einkassiert worden, weil Rechte von EU-Bürgern dadurch verletzt wurden, dass US-Behörden auf Daten von EU-Bürgern zugreifen können. Es folgte ­eine Krückenlösung auf Grundlage der so genannten EU-Standardvertragsklauseln, die das Problem aber nicht grundlegend lösten. Und auch der neueste Wurf von EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden ist kein großer: Das „Trans-Atlantic Data Privacy Framework“ (TADPF) brät für EU-Bürger keine Extra-Würste, die nötig wären, um das Datenschutzniveau für EU-Bürger in den USA auf das der EU zu heben.

Der wichtigste Punkt dazu: Das TADPF ­regelt den Datenaustausch mit den USA, der Cloud Act hingegen regelt die Herausgabe von Daten von außerhalb der USA ­gelegenen Standorten US-amerikanischer Unternehmen.

Perspektive des Colocation-Anbieters

Vor dem Hintergrund dieser Rechtslage rät man seitens des Colocation-Anbieters Firstcolo: „Eingriffe in die eigene Datenhoheit und Verstöße gegen die DSGVO lassen sich allerdings vermeiden, es braucht nur einen guten Cloud-Anbieter aus dem europäischen Raum – und eine Open-Source-Software, die Datenschutz und Daten­souveränität gewährleistet.“ Denn liegt der Quellcode offen, kann sich jeder davon überzeugen kann, dass die Software keine Hintertüren enthält.

(ID:49726155)