Cloud Act und DSGVO – neue Herausforderung für Unternehmen

Konsequenzen des Cloud Act für europäische Unternehmen

Für europäische Unternehmen hat der Cloud Act gravierende Konsequenzen. Die Verpflichtung von US-Unternehmen zur Herausgabe von Daten gilt schließlich auch dann, wenn diese in der EU gelagert werden, und zwar ungeachtet, ob durch die Herausgabe der Daten nationales/europäisches Recht verletzt wird. US Firmen müssen also auf Anordnung von Behörden EU Daten auch entgegen aller EU Datenschutzbemühungen herausgeben und somit auch die aktuelle DSGVO der EU verletzen!

Cloud Act und DSGVO

Europäische Unternehmen sind nun aber seit Mai 2018 an die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union gebunden. Die DSGVO verpflichtet Unternehmen auf den Schutz personenbezogener Daten in der Cloud und zu einer Dokumentation des Datenaustauschs mit der Cloud. Sollte es also z.B. zu einem Datendiebstahl oder Manipulationen kommen und eine Verletzung der Sorgfaltspflichten nachweisbar sein, drohen Geldstrafen (siehe: Mahr EDV-Artikel zur DSGVO).

Wie reagieren?

Diese neue Entwicklung in der us-amerikanischen Gesetzgebung beinhaltet für europäische Unternehmen zwei problematische Momente: 1.) einen Unsicherheitsfaktor: Noch ist alles andere als klar, welche rechtlichen Konsequenzen es für Unternehmen hat, wenn der amerikanischer Cloud Anbieter auch in Europa gelagerte Kundendaten herausgibt und das Unternehmen so gegen die DSGVO verstößt. 2.) ein Glaubwürdigkeitsproblem: Wer mit einem amerikanischen Cloudanbieter zusammenarbeitet, kann wiederum seinen Kunden nicht mehr wirklich eine Sicherheit seiner Daten versprechen, egal, wo diese physisch gelagert sind.

Mahr EDV kann angesichts dieser komplexen und juristisch verzwickten Lage daher nur empfehlen, Cloud-Anbieter zu wählen, die der DSGVO und nicht dem Cloud Act verpflichtet sind.