Cloud und CLOUD-Act und DSGVO…

Cloud (= Wolke) klingt so nett. Aber die Wolken haben es in sich, insbesondere wenn der Cloud-Anbieter aus den USA kommt.

Unter der Regierung Trump wurde in den USA der so genannte CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) erlassen -passend zum Begriff „Cloud“. DIeser regelt per Gesetz, dass Anbieter für Kommunikations- oder Cloud-Lösungen, die dem US-Recht unterliegen, die Daten ihrer Kunden auf Anforderung amerikanischer Behörden offen legen müssen. Faktoren wie der Speicherort selbst sind dagegen irrelevant. Deswegen hilt der beliebte Satz der Dienstleister „der Server steht in der EU“ nicht.

Damit bleibt die Frage, ob ein amerikanischer CLOUD-Dienst mit der DSGVO überhaupt in Einklang zu bringen ist.

Micorsoft z.B. hatte mit einer Treuhandlösung über die Telekom reagiert. Diese Lösung hat Microsoft Mitte letzten Jahres eingestellt (https://www.heise.de/newsticker/meldung/Auslaufmodell-Microsoft-Cloud-Deutschland-4152650.html).

Was kann man also als Unternehmen tun, wenn man amerikanische Cloud- Dienstleister nutzt? Vor allem, da die Dienstleister im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO tätig sind und Sie als Unternehmen für die Auftragnehmer haften. Wie sich das entwickeln wird, bleibt spannend.

Stephanie Iraschko-Luscher

11.02.2019

MGDS – Ihre Unternehmensberatung für Datenschutz in Hamburg