Mit dem CLOUD Act hat die US-Regierung im März 2018 ein Gesetz geschaffen, dass im krassen Widerspruch zur DSGVO steht. Die DSGVO verpflichtet alle Unternehmen, also auch US-Unternehmen dazu, der DSGVO zu entsprechen, wenn die Datenhaltung in der EU erfolgt. Daher haben Unternehmen wie Google oder Microsoft europäische Datencenter geschaffen, um DSGVO-konforme Nutzung ihrer Dienste zu ermöglichen. Zur Erinnerung: US-Unternehmen, die nicht der DSGVO unterliegen, da die Datenhaltung/Dienstleistung außerhalb der EU stattfindet, können durch Selbst-Zertifizierung gemäß »EU-US Privacy Shield« von EU-Unternehmen DSGVO-konform beauftragt werden, die Unternehmen unterliegen aber nicht der DSGVO. (Zu »Privacy Shield«: EU-US Privacy Shield, wko.at, vom 24.5.2018)
Mit dem CLOUD Act (Clearifying Lawful Overseas Use of Data Act) erweitert nun die Trump Administration die Wirkung des Patriot Act (2001) auf Daten im Ausland, mit rückwirkender Wirkung: US-Unternehmen werden zur Herausgabe der Daten an die US-Behörden auch dann verpflichtet, wenn die lokalen Gesetze das verbieten. Damit stehen US-Firmen, die in der EU Daten speichern, in einem unlösbaren Dilemma: entweder verstoßen sie gegen die DSGVO oder gegen den CLOUD Act.
Manche US-Unternehmen, beispielsweise Microsoft, versuchen sich damit zu behelfen, dass sie ihre Produkte und Services an europäische Firmen übergeben. So ist »Office 365 Deutschland« eine Dienstleistung von T-Systems. Doch auch dagegen will die Trump Administration vorgehen, solche Übertragungen von Services sollen verboten werden. Mehr dazu in iX 7/2018, p.116f, bzw. unter Heise Online.
Konsequenterweise bedeutet das, dass eine Verwendung von Cloud-Services und anderen Onlineservices von US-Firmen mit großer Vorsicht zu betrachten ist. Auf der sicheren Seite sind alle, die Open Source Lösungen in selbstgehosteter Form verwenden, wie etwa Nextcloud auf europäischen Systemen, am besten bei einem Dienstleister des Vertrauens.
Neueste Kommentare