Der sogenannte „Cloud Act“ bezeichnet eine Entscheidung des US-Supreme Court vom 17. April 2018. Er besagt, dass US-amerikanische Unternehmen auf Anordnung lokaler Behörden Daten übergeben müssen. Und zwar unabhängig davon, wo diese gespeichert oder verarbeitet werden. Also auch Daten aus Deutschland, Irland und anderen EU-Staaten.
Was ist passiert?
Der Entscheidung vorausgegangen war ein längerer Rechtsstreit zwischen Microsoft und dem US-Supreme Court über die Herausgabe von Daten auf Servern in Irland. In Irland und in anderen EU-Staaten speichert das Unternehmen Microsoft nämlich Kundendaten ohne Ende. Übrigens auch von deutschen Privatpersonen, welche zum Beispiel den kostenfreien Dienst Googlemail in Anspruch nehmen. Die Anwender des kostenpflichtigen Dienstes Office 365 sind ebenfalls mit von der Partie. Und damit auch viele deutsche Unternehmen, die dem Software-Giganten bisher vertrauten.
Cloud Act und die Folgen
Was bei Privatpersonen „nur“ den Bereich personenbezogener Daten betrifft, umfasst in Unternehmen alle internen Daten, die sich in den Cloud-Diensten von Microsoft Office 365 befinden. Hier die wichtigsten Beispiele.
- sämtlicher Mailverkehr
- alle Geschäftskorrespondenz
- Geschäftsberichte, Auswertungen
Der Cloud Act macht also alle diese zum Teil vertraulichen Dokumente für die US-Verfolgungsbehörden zugänglich, welche die Anwender der MS Office Cloudsoftware verarbeitet haben. Um den Anschein der Rechtsstaatlichkeit zu wahren, brauchen Lausch & Co. nur noch einen richterlichen Beschluss. Danach können die Daten der betroffenen in- und ausländische Unternehmen nach Herzenslust abgegriffen werden. Das heisst im Klartext: staatlich verordnete Wirtschaftsspionage ohne die technischen Mühen heimlicher Lauschangriffe. Direkt durch US-amerikanische Behörden. Das ist doch fein, denn das neue „America first“ spart viel Personal und Aufwand, den es prima in andere Aufgaben investieren kann. Oder etwa nicht?
Die nächsten Schritte
Die US-amerikanische Regierung strebt Einzelabkommen mit allen Staaten an. Und die Deutsche Regierung ist nicht abgeneigt, dem direkten Abkommen zum gegenseitigen Zugriff auf Server zuzustimmen. Jetzt muss man kein Hellseher sein um zu erraten, was das mit den europäischen Bemühungen um den Datenschutz macht.
Gegenmaßnahmen
Aber ganz so hilflos wie es scheint, sind wir nicht. Denn erstens sind die deutschen und europäischen Datenschützer stärker und wacher als es manchen Politikern lieb ist. Es wird also noch viel Wasser die Spree herunter fließen, bevor die Verträge geschlossen sind. Und zweitens können wir in Sachen Cloudservices auf andere Möglichkeiten zugreifen. Wir können uns für Anbieter aus dem Umkreis der deutschen Cloudservice Organisationen entscheiden. Davon gibt es einige, und die unterliegen dem deutschen Recht und der EU DS-GVO, egal was die Politiker aushandeln. Wir haben alle die Möglichkeit, Cloudanwendungen aus dem Open Source Bereich einzusetzen, denn man braucht dabei kein Microsoft. Und wir können uns für Anbieter wie die BB-ONE.net entscheiden, welche ausschließlich eine eigene Server-Infrastruktur verwendet. Da fällt der Zugriff über heimliche Hintertüren von Fertigprodukten bestimmter Hardware-Hersteller flach. Das kostet zwar etwas mehr, aber Freiheit hat eben ihren Preis.
Weitere Links
- Golem
https://www.golem.de/news/neues-us-gesetz-was-der-cloud-act-fuer-eu-buerger-bedeutet-1804-133931.html - Urteil des US-Supreme Court
https://www.supremecourt.gov/opinions/17pdf/17-2_1824.pdf - Der eigentliche Cloud Act
https://www.hatch.senate.gov/public/_cache/files/6ba62ebd-52ca-4cf8-9bd0-818a953448f7/ALB18102%20(1).pdf
