Wie ist das eigentlich, wenn ein Unternehmen aus den USA Server in der EU betreibt oder einen europäischen Cloud-Anbieter übernimmt? Gilt nach der Übernahme noch die DSGVO oder greift hier der Cloud Act? Was wird aus den Daten wenn ein US-Konzern eine EU-Cloud kauft – und was wird aus meinen Daten? Und wie können sich Unternehmen angesichts dieser Unklarheiten rechtlich absichern?
Wie Länder mit dem behördlichen Zugriff auf Cloud-Daten umgehen, ist ganz unterschiedlich. In den USA beispielsweise sind Cloud-Provider nach dem Patriot Act dazu verpflichtet, Daten auf Anweisung von Gerichten oder Behörden herauszugeben. Der US Cloud Act geht noch einen Schritt weiter: Er ermöglicht US-Behörden den Zugriff auf Cloud-Server, die von US-Providern außerhalb der USA betrieben werden.
In Europa hingegen ist die Weitergabe von Daten unter anderem durch die EU-DSGVO (Art. 48) geregelt. Unternehmen, die auf europäische Cloud-Anbieter mit Server-Standorten in der EU setzen, wähnen sich und ihre Daten sowie die Daten ihrer Kunden deshalb in Sicherheit.
Doch wie verhält es sich, wenn ein US-Konzern Server in Europa betreibt oder einen deutschen Cloud-Anbieter übernimmt? Gilt dann noch die DSGVO oder greift hier der Cloud Act? Und wie können sich Unternehmen angesichts dieser Unklarheiten rechtlich absichern?
US Cloud Act – was ist das überhaupt?
Ende März 2018 hat der ehemalige US-Präsident Donald Trump den US Cloud Act („Clarifying Lawful Overseas Use of Data Act„) unterzeichnet. Die Verordnung ist Teil des Haushaltsgesetzes und erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten – vorausgesetzt, die betroffenen Server sind unter der Kontrolle von US-Unternehmen oder deren Tochtergesellschaften. US-Gerichte können (müssen aber nicht!) den Zugriffsprozess unterbinden – etwa, wenn Nicht-US-Bürger betroffen sind.
>>Lesen Sie jetzt den vollständigen Artikel auf blog.idgard.com!