Wie ist das eigentlich, wenn ein Unternehmen aus den USA Server in der EU betreibt oder einen europäischen Cloud-Anbieter übernimmt? Gilt nach der Übernahme noch die DSGVO oder greift hier der Cloud Act? Was wird aus den Daten? Und wie können sich Unternehmen angesichts dieser Unklarheiten rechtlich absichern?
Wie Länder mit dem behördlichen Zugriff auf Cloud-Daten umgehen, ist ganz unterschiedlich. In den USA beispielsweise sind Cloud-Provider nach dem Patriot Act dazu verpflichtet, Daten auf Anweisung von Gerichten oder Behörden herauszugeben. Der US Cloud Act geht noch einen Schritt weiter: Er ermöglicht US-Behörden den Zugriff auf Cloud-Server, die von US-Providern außerhalb der USA betrieben werden.
In Europa hingegen ist die Weitergabe von Daten unter anderem durch die EU-DSGVO (Art. 48) geregelt. Unternehmen, die auf europäische Cloud-Anbieter mit Server-Standorten in der EU setzen, wähnen sich und ihre Daten sowie die Daten ihrer Kunden deshalb in Sicherheit.
Doch wie verhält es sich, wenn ein US-Konzern Server in Europa betreibt oder einen deutschen Cloud-Anbieter übernimmt? Gilt dann noch die DSGVO oder greift hier der Cloud Act? Und wie können sich Unternehmen angesichts dieser Unklarheiten rechtlich absichern?
US Cloud Act – was ist das überhaupt?
Ende März 2018 hat der ehemalige US-Präsident Donald Trump den US Cloud Act („Clarifying Lawful Overseas Use of Data Act„) unterzeichnet. Die Verordnung ist Teil des Haushaltsgesetzes und erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten – vorausgesetzt, die betroffenen Server sind unter der Kontrolle von US-Unternehmen oder deren Tochtergesellschaften. US-Gerichte können (müssen aber nicht!) den Zugriffsprozess unterbinden – etwa, wenn Nicht-US-Bürger betroffen sind.
>>Lesen Sie jetzt den vollständigen Artikel auf blog.idgard.com!