Die Auswirkungen des Cloud Act auf Nutzer von Cloud Services
Lisa
Lisa Figas | Marketing Manager
@meet_lisa
2018 M11 9, Fri

Der CLOUD Act der USA - Vielen Dank für die Werbung

Es gibt diese Tage, da kommen wir ins Büro, lesen die Nachrichten und stellen fest, dass schon wieder jemand eine großangelegte Imagekampagne für Cloud-Verschlüsselung gestartet hat (Achtung, Ironie).

Nach Edward Snowden und dem Hacker von Jennifer Lawrences iCloud möchten wir uns diesmal in aller Form bei der US-amerikanischen Regierung bedanken, die mit dem CLOUD Act ein Gesetz auf den Weg gebracht hat, welches die Nutzung von Boxcryptor für jeden absolut empfehlenswert macht. Natürlich war das bisher auch schon so, aber es schadet ja nicht, diese Tatsache ab und zu mal wieder ins Gedächtnis zu rufen.

Was ist der CLOUD Act?

Die USA haben nun also extra für Boxcryptor ein Gesetz entworfen, das amerikanische Cloud-Provider dazu zwingt, die gespeicherten Daten auf Anfrage der US-Behörden zugänglich zu machen. Dass mit so einem Gesetz die Regularien der DS-GVO außer Kraft gesetzt werden, interessiert den amerikanischen Gesetzgeber herzlich wenig. Ganz bewusst – und wenig überraschend – setzt man sich über das geltende Recht anderer Staaten hinweg. Darauf lässt auch schon der Titel “Clarifying Lawful Overseas Use of Data Act“ schließen.

Auch bisher hatten US-amerikanische Behörden schon die Möglichkeit, sich Zugang zu Dateien von Verdächtigen zu verschaffen. Doch war dafür bislang der (Um-)Weg über ein Gericht notwendig. Dieser Umstand führte zu dem großen und vielbeachteten Rechtsstreit, der unter dem Namen „Microsoft Irland“ bekannt wurde. Das Unternehmen weigerte sich, Daten herauszugeben, die in Irland gespeichert sind. Der CLOUD Act gilt auch als Reaktion der US-Regierung auf dieses Gerichtsverfahren.

Derzeit ist das Gesetz unter dem Kurznamen CLOUD Act zur Lesung im Senat. Uns liegen keine Informationen darüber vor, wann mit einer Verabschiedung durch den Senat zu rechnen ist. Den aktuellen Status des Gesetzgebungsverfahrens kann man hier verfolgen. Jedoch sind das Gesetzgebungsverfahren und die Praxis der Rechtsauslegung in den USA anders als in Deutschland. US-Gerichte orientieren sich am sog. common law, dem Gewohnheitsrecht. Sie können mit ihrer Rechtsprechung auch die Gesetzgebung beeinflussen. Das führt dazu, dass der CLOUD Act bereits Wirkung zeigt, obwohl das Gesetz noch nicht verabschiedet wurde.

Die Auswirkungen des Cloud Act auf Cloud-Provider

US-amerikanische Firmen, die Cloud-Dienste anbieten, kommen durch den Cloud Act in die Situation, sich rechtswidrig verhalten zu müssen. Denn es ist nicht möglich, sich als Unternehmen gleichzeitig an den CLOUD Act und an die DS-GVO zu halten, da diese sich widersprechen.

Das Magazin com! Professional fasst die missliche Situation treffend zusammen:

Ein US-Unternehmen mit Server-Standort in der EU ist also verpflichtet, US-Behörden Zugriff auf diese Server zu gewähren, obwohl ihm dies laut DS-GVO untersagt ist.

Die Auswirkungen des Cloud Act auf Nutzer von Cloud-Services

Einmal mehr steht zu befürchten, dass Daten, die in der Cloud gespeichert sind, abgerufen oder durchsucht werden könnten. Neu ist diesmal aber, dass wir uns nicht vor Hackern oder menschlichem Versagen fürchten müssen, sondern vor amerikanischen Strafverfolgungsbehörden.

Besonders perfide am CLOUD Act ist, dass es den Cloud-Anbietern ausdrücklich untersagt ist, ihre Nutzer zu informieren, sollte es zu einer Abfrage durch die Behörden kommen.

Daniel Athursson, CEO CloudMe

„Europäische Unternehmen zwingt der CLOUD Act in Kombination mit der DS-GVO dazu, eine Geldstrafe in Höhe von 20 Millionen Euro oder 4% des weltweiten Umsatzes (je nachdem welcher Betrag höher ist) zu riskieren. Es ist jetzt eindeutig illegal, einen US-amerikanischen Dienst zu verwenden, um jegliche Art von persönlichen Daten (d.h. drei E-Mail-Adressen in einer Datei reichen bereits aus) zu speichern, ohne dass Ihre Daten zuvor auf dem Client verschlüsselt wurden. Denn Sie als Unternehmen können nicht garantieren, dass Ihr US-amerikanischer Serviceanbieter keine Offenlegung vornimmt und die Informationen an Dritte weitergibt, da er gesetzlich dazu verpflichtet ist. Es ist nicht von Bedeutung, was Ihr Cloudanbieter in seinen allgemeinen Geschäftsbedingungen verspricht, da das Bundesgesetz eine Geschäftsvereinbarung übertrumpft. Boxcryptor wird somit zu einer der wichtigsten Versicherungen, die ein Unternehmen haben kann.“ (Daniel Arthursson, CEO von CloudMe. Zitat aus dem Englischen übersetzt)

CloudMe ist ein Cloud-Speicheranbieter, der seinen Sitz in Europa hat. Boxcryptor unterstützt CloudMe als einen von mehr als 30 Cloud Providern nativ.

Vor allem das Verbot der Information Betroffener stört zum Beispiel das Unternehmen Microsoft sehr. In einem Grundsatzpapier mit Ideen für ein internationales Abkommen zur Datensicherheit wird das Recht auf Benachrichtigung gleich an erster Stelle genannt.

Wie kann man sich vor dem CLOUD Act schützen?

Derzeit ist der CLOUD Act noch nicht Gesetz, aber bereits wirksam. Die Befürchtung, das Gesetz könnte genauso verabschiedet werden, wie es derzeit diskutiert wird, ist berechtigt. So oder so hilft gegen den Zugriff durch die amerikanischen Behörden einzig eine starke Verschlüsselung. Dadurch mag der Inhalt eines Cloud-Speichers zwar immer noch einsehbar sein, aber die Dateien enthalten eben nur unverständliche Zeichenketten – ein unberechtigter Zugriff, oder eine Auswertung der Dateien ist deshalb nicht möglich.

Wir empfehlen dringend den Einsatz von Boxcryptor. Zusätzlich ist es sinnvoll, ausschließlich europäische Cloud-Speicheranbieter zu nutzen. Dabei spielt nicht nur der Standort des Servers eine Rolle, auf dem die Daten gespeichert werden, sondern auch der Hauptsitz des Unternehmens, das den Server betreibt. CloudMe ist ein Anbieter, der diesen Kriterien entspricht.

Beschützen Sie Ihre Daten - Kontaktieren Sie Boxcryptor

Beginnen Sie noch heute damit, die Daten Ihres Unternehmens vor unberechtigtem Zugriff zu schützen. Kontaktieren Sie unser Sales-Team für mehr Informationen.

Boxcryptor kontaktieren
Beitrag teilen