#cloudact

Al recente Mobile World Congress di Barcellona, l'attenzione non si è concentrata solo sulle nuove tecnologie o sugli investimenti miliardari dei giganti statunitensi, come i 33,7 miliardi di dollari annunciati da AWS in Spagna. L'evento ha segnato un punto di svolta istituzionale per il futuro digitale europeo con la presentazione di EURO-3C, un'infrastruttura paneuropea sovrana progettata per integrare telecomunicazioni, edge computing, cloud e intelligenza artificiale all'interno di un modello federato, aperto e sicuro.

Sostenuto da 75 milioni di euro tramite il programma Horizon Europe, il consorzio è guidato da Telefónica e riunisce oltre 70 entità europee. L'obiettivo dell'Unione Europea non è replicare gli hyperscaler americani, ma costruire una solida federazione di infrastrutture esistenti e interoperabili.

Il mercato del cloud sovrano e i timori delle aziende

La spinta verso una reale sovranità digitale è supportata dai dati di mercato. Secondo Gartner, la spesa globale per i servizi cloud sovrani toccherà gli 80 miliardi di dollari nel 2026, segnando un +35,6% annuo. L'Europa è in prima linea con un tasso di crescita dell'83% e un mercato stimato a 6,9 miliardi di dollari già nel 2025.

Questa accelerazione è dettata anche dalla necessità di mitigare i rischi. Attualmente, il 61% dei CIO dell'Europa occidentale ritiene che le tensioni geopolitiche avranno un impatto negativo sull'utilizzo dei provider cloud globali.

Le vulnerabilità della supply chain e il CLOUD Act

Le preoccupazioni europee derivano da problematiche strutturali e legali. Il CLOUD Act statunitense del 2018 obbliga le aziende tech americane a fornire alle autorità USA i dati conservati sui loro server in qualsiasi parte del mondo, vanificando le garanzie contrattuali di residenza dei dati in Europa.

A questo si aggiungono i rischi sistemici della supply chain. Il caso CrowdStrike del luglio 2024, che ha bloccato ospedali, banche e aeroporti a livello globale, ha dimostrato i pericoli di una dipendenza totale da un'unica infrastruttura esterna. L'affidamento di infrastrutture critiche europee ad aziende soggette al diritto estero rappresenta un profilo di rischio che l'UE sta cercando di neutralizzare.

L'architettura federata di EURO-3C

EURO-3C si pone come un'alternativa operativa reale. Il consorzio include attori di primo piano come Deutsche Telekom, Orange, TIM, Vodafone, OVH, Ericsson, Nokia e Capgemini. L'infrastruttura sarà distribuita su oltre 70 nodi edge e cloud in 13 Paesi europei.

La convergenza tra reti di telecomunicazione, computing periferico (edge) e cloud è il fulcro del progetto. Questa architettura distribuita mira a portare potenza di calcolo sicura e a bassa latenza vicino agli utenti, focalizzandosi su settori critici come l'automotive, l'e-health e i servizi governativi, ambiti in cui la protezione dei dati è essenziale.

Normative e conformità "by design"

L'Europa vanta un allineamento rigoroso tra sviluppo infrastrutturale e quadro normativo. Regolamenti come il GDPR, il Data Act, l'AI Act e il DORA (Digital Operational Resilience Act) impongono requisiti stringenti su residenza dei dati, portabilità, trasparenza e mitigazione del rischio sistemico.

Queste normative, pensate per proteggere i cittadini, hanno creato un ostacolo all'adozione del cloud pubblico estero. McKinsey rileva che il 44% dei leader tecnologici europei evita il cloud pubblico per motivi di sicurezza, mentre il 31% cita esplicitamente la mancanza di sovranità. L'obiettivo di EURO-3C è fornire un'infrastruttura che sia conforme a queste normative fin dalla progettazione, e non solo tramite clausole contrattuali. L'UE ha già avviato nel 2025 una gara d'appalto da 180 milioni di euro per servizi cloud istituzionali, richiedendo per la prima volta un reale controllo operativo europeo e non solo la presenza fisica dei server.

I limiti delle soluzioni "sovrane" degli Hyperscaler

AWS, Microsoft e Google controllano oltre due terzi della spesa globale in infrastrutture cloud. Anche unendo gli sforzi dei principali attori europei (come STACKIT, OVHcloud o T-Systems), il divario in termini di economie di scala rimane enorme.

Per rispondere alle richieste europee, gli hyperscaler hanno lanciato hub e cloud "sovrani" localizzati in Europa. Tuttavia, progetti europei come Gaia-X evidenziano come la vera sovranità richieda una sede legale europea, management locale, diritti di audit diretti e una catena di controllo indipendente. Fintanto che le società madri restano soggette a leggi come il CLOUD Act, le soluzioni localizzate rischiano di offrire garanzie puramente di facciata.

Frammentazione, hardware e talenti

Il percorso verso la sovranità digitale deve superare tre ostacoli principali:

- Frammentazione: La mancanza di un approccio univoco tra gli Stati membri rallenta la creazione di un mercato unico del cloud sovrano. - Dipendenza hardware: Le infrastrutture europee dipendono ancora pesantemente dai semiconduttori asiatici o statunitensi, un problema che l'European Chips Act sta solo iniziando ad affrontare. - Fuga dei talenti: Le aziende europee faticano a competere con i salari e le stock option offerti dai giganti della Silicon Valley. Molti ingegneri formatisi in Europa finiscono per lavorare per aziende statunitensi, svuotando di capitale umano i progetti di infrastrutture pubbliche del continente. La sovranità come servizio

Nonostante le sfide, l'Europa possiede un vantaggio competitivo unico: la sua capacità normativa. Il GDPR e l'AI Act sono già standard di riferimento a livello mondiale.

Unendo infrastrutture sovrane a questo solido framework legale, l'Europa ha l'opportunità di esportare la sovranità digitale come servizio, in particolare verso il Sud del mondo. Paesi dell'Africa subsahariana, del Sud-Est asiatico e del Golfo Persico cercano alternative sia alla sorveglianza commerciale legata al modello americano, sia all'opacità gestionale di quello cinese. In questo scenario, EURO-3C non rappresenta solo un investimento interno di 75 milioni di euro, ma il potenziale punto di partenza per posizionare l'Europa come fornitore globale di infrastrutture digitali affidabili e trasparenti.

Es ist sehr auffallend, wie insbesondere Microsoft in den vergangenen Wochen versucht, sich wieder möglicherweise verloren gegangenes Vertrauen zurück zu erobern. Nachdem E-Mail-Konten des Internationalen Strafgerichtshofs einfach mal so auf Anweisung gesperrt wurden, gab es entsprechend schlechte Presse für den Hilfssheriff Microsoft. Das führte dazu, dass Microsoft Vize Brad Smith schnell…

In puncto Sicherheit auf einen Public Cloud Provider zu vertrauen, kann problematisch sein. Das wird am Beispiel von Microsoft deutlich. Ab 2019 bietet der Softwaregigant die Microsoft Cloud Deutschland nicht mehr an. Unternehmen, die den Service bereits einsetzen, können ihn zwar auch weiterhin nutzen und erhalten die nötigen Sicherheitsupdates. Es wird künftig jedoch keine neuen Dienste mehr für die deutsche Cloud geben. Microsoft hatte diese 2015 ins Leben gerufen, um den hohen Sicherheitsbedürfnissen von deutschen Unternehmen nachzukommen. Kundendaten werden dabei getrennt von der globalen Infrastruktur in einem separaten Netzwerk in Deutschland gespeichert und ein deutscher Treuhänder kontrolliert den Zugang zu diesen Daten. Ab 2019 können Neukunden nur noch die weltweite Azure Cloud nutzen. Unternehmen, die sich für die Microsoft Cloud Deutschland entschieden hatten, stehen jetzt vor einem Dilemma. Entweder sie bleiben in der geschützten deutschen Cloud und verzichten auf Neuerungen. Oder sie wechseln zu Azure und vertrauen auf Microsofts Aussage, dass auch die globale Cloud die strengen Datenschutzrichtlinien der DSGVO einhält. Wer auf der sicheren Seite sein will, sollte einen dritten Weg wählen und sensible Daten in der Cloud mit einem externen Hardware-Sicherheitsmodul verschlüsseln. Dadurch übernehmen Unternehmen selbst die Kontrolle über den Schutz ihrer Daten – unabhängig davon, bei welchem Public Cloud Provider sie liegen. Die unabhängige sichere Lösung: ein Cloud-HSM Dies lässt sich komfortabel mit einem Hardware-Sicherheitsmodul (HSM) in der Cloud wie dem Utimaco CryptoServer Cloud bewerkstelligen. Unternehmen können damit die Funktionalität eines HSM als Service nutzen und dort zum Beispiel kryptographische Schlüssel und eigene Kryptographie-Funktionen sicher aufbewahren. Ein solches HSM-as-Service arbeitet mit den großen Public Clouds wie Microsoft Azure, der Google Cloud Platform oder Amazon Web Services zusammen, hält Schlüssel und Kryptographie-Funktionen jedoch sicher getrennt von der Infrastruktur des Public Cloud Providers. Nur der Kunde selbst hat Zugang zum virtuellen Schlüssel-Safe. Er genießt volle administrative Rechte auf das HSM und kann auch eigenen Code anwenden. Dadurch sind Unternehmen in der Lage, ihre Daten nach ihrem Ermessen zu schützen, ohne dass sie von den Datenschutzmaßnahmen des Providers abhängig sind. Darüber hinaus eignet sich der Einsatz eines HSM in der Cloud auch hervorragend für Hybrid- und Multi-Cloud-Umgebungen. Immer mehr Unternehmen gehen dazu über, eine Private Cloud und Public Cloud Services verschiedener Provider zu kombinieren. Dadurch können sie die jeweils besten Angebote für ihren Bedarf auswählen und von deren Vorteilen profitieren. Auf der anderen Seite macht eine Multi Cloud jedoch die konsistente Umsetzung von Datenschutz und Compliance komplexer und unübersichtlicher, da jede Cloud ihr eigenes Sicherheitskonzept hat. Mit einem Cloud-HSM können Unternehmen diese Schwierigkeiten überwinden und für durchgängigen Datenschutz unabhängig vom Public Cloud Provider sorgen. Das ebnet den Weg für eine sichere Multi-Cloud-Umgebung. Malte Pollmann, CEO der Utimaco GmbH    

Wo sich EU- und US-Recht widersprechen – Die Cloud muss Grenzen kennen

31. August 2018 Seit Mai 2018 gibt es einen Konflikt zwischen der Europäischen DSGVO und dem US-amerikanischen CLOUD Act. Was hinter der Regelung steckt und wie Mittelständler dem Konflikt aus dem Weg gehen können.

Illustration: Absmeier, Thommas68   Seit dem Frühjahr befinden sich das US-amerikanische und das europäische Datenschutzrecht auf Kollisionskurs. Viele mittelständische Unternehmen in Deutschland sollten sich der weitreichenden Auswirkungen bewusst sein, wenn sie über Softwarelösungen und Dienste aus der Cloud nachdenken. Seit März dieses Jahres steht der Begriff CLOUD als Abkürzung für »Clarifying Lawful Overseas Use of Data«, also die Klärung der gesetzmäßigen Verwendung ausländischer Daten. Das zugehörige US-Gesetz trägt den Titel CLOUD Act und steht aufgrund seiner Natur in Widerspruch zu europäischen Datenschutz- und Sicherheitsbestimmungen: Unternehmen, die ihren Firmensitz in den USA haben, sind nun nicht mehr nur im Rahmen des sogenannten Patriot Act zur Kooperation mit den Ermittlungsbehörden ihres Landes verpflichtet. Sie sind es auch dann, wenn sie Nutzungs- und Kundendaten auf Servern außerhalb der Vereinigten Staaten verarbeiten und selbst wenn sie eigene Rechenzentren in Deutschland oder im sonstigen Geltungsbereich europäischer Gesetze wie der DSGVO (Datenschutzgrundverordnung) unterhalten. Mit Inkrafttreten des CLOUD Act ist nun auch der Schlusspunkt unter ein Gerichtsverfahren gesetzt, das Microsoft jahrelang durch alle Instanzen verfolgt hatte: Das Unternehmen hatte sich gegen die Herausgabe von Daten auf ihren Servern in Irland gewehrt und bis zum obersten amerikanischen Gerichtshof geklagt. Angesichts der neuen gesetzlichen Bestimmungen sieht der Supreme Court jetzt jedoch keine Veranlassung mehr, sein ursprünglich für den Sommer angekündigtes Urteil zu fällen.   Zugriff vs. Schutzanspruch Die spannende Frage für amerikanische Technologie-, Internet- und Cloud-Unternehmen ist, ob und in wieweit der CLOUD Act sie bei ihrem internationalen Geschäft beeinträchtigen kann. Transkontinentale Konflikte beim Datenschutz und der Konformität mit den Bestimmungen der europäischen Datenschutzgrundverordnung (DSGVO) scheinen kaum vermeidbar zu sein. Das gilt vor allem für den in der EU gültigen Anspruch auf Auskunft zum Umgang und zur Weiterverwendung personenbezogener Daten: Der CLOUD Act untersagt, Betroffene über Datenweitergaben zu informieren, die DSGVO hingegen beinhaltet die Auskunftspflicht. Nicht nur deshalb bezweifeln Juristen und Datenschützer auf beiden Seiten des Atlantiks, dass die aktuellen Rechtsgrundlagen für eine Umsetzung des US-Gesetzes auf europäischem Boden ausreichend sind. Laut DSGVO darf eine Offenlegung und Weitergabe von Nutzer- und Kundeninformationen an Behörden in »Drittländern« (also Staaten außerhalb der EU) nur dann erfolgen, wenn offizielle Rechtshilfeabkommen und verbindliche Übereinkunft mit dem jeweiligen Drittland bestehen. Als besonders kritisch in diesem Zusammenhang gilt daher die Abwesenheit gerichtlicher Kontrolle, die der CLOUD Act vorsieht. Demnach brauchen US-Behörden keine richterlichen Durchsuchungsbeschlüsse mehr und können ein langes Stück der aktuellen internationalen Rechtswege umgehen.   Compliance als Konfliktfeld Für amerikanische Technik- und Internetkonzerne sind die neuen Bestimmungen ein zweischneidiges Schwert: Wenn sie US-Behörden Daten aushändigen, die auf ihren Servern in Europa gespeichert sind, könnte dies im Geltungsbereich der DVGSO als massiver Rechtsverstoß (etwa gegen Art. 48) betrachtet werden. Dieser Aspekt schmälert die Freude, mit der Unternehmen wie Amazon, Apple, Facebook, Google und selbst Microsoft den CLOUD Act im Frühjahr noch als vernünftige und zeitgemäße Leitlinie für den internationalen Datenaustausch begrüßt hatten. Vom US-Gesetz quasi verlangte Verstöße gegen die DSVGO und deren Ahndung mit Bußgeldern, die bis zu vier Prozent des –weltweiten—Jahresumsatzes oder 20 Millionen Euro betragen können, sind jedoch nur eine Seite der Medaille. Die andere heißt Kundenvertrauen.   Digitalisierung braucht Vertrauen Für Unternehmen, die ihre Digitalisierung vorantreiben und sich bei der Nutzung von Public Clouds um die Vertraulichkeit sensibler Geschäftsinformationen ebenso sorgen wie um ihre Kundendaten und Gesetzeskonformität, gewinnt eine Frage an Bedeutung: Wo befindet sich der Firmensitz der Anbieter, dessen Lösungen und Cloud-Ressourcen wir nutzen? Der Grund: Anders als amerikanische Konzerne können regionale Anbieter nicht in die schwierige Lage kommen, Daten von europäischen Servern zwangsweise an US-Behörden weitergeben zu müssen. »Als deutsches Unternehmen unterliegen wir europäischem Recht und sorgen mit umfassenden Know-how für die Sicherheit der Anwendungen und Daten unserer Kunden«, berichtet Michael Padberg, Geschäftsführer der Professionals Telecom (www.PTC.de). Das Unternehmen aus Wörthsee bietet mittelständischen und Großunternehmen ganzheitliche Voice-, Video- und Web-Kommunikationsinfrastrukturen. Die Sicherheit der Daten ist bei den Gesprächen, die Michael Padberg mit seinen Kunden führt, ein wesentliches Thema. Er weist darauf hin, dass Unternehmen nicht notwendig darauf verzichten müssen, Technologie amerikanischer Anbieter zu nutzen: »Zu unseren Leistungen gehört selbstverständlich auch, dass wir die von Kunden genutzten Lösungen amerikanischer Hersteller quasi treuhänderisch betreuen und gegen unberechtigte Zugriffe schützen.« Allerdings bemerkt Padberg bei seinen Kunden auch einen klaren Trend hin zu Private-Cloud-Lösungen.   Fazit Noch ist nicht abzusehen, ob und wie schnell neue bi-laterale Abkommen zum Datenzugriff- und Datenaustausch ausreichende Rechtssicherheit zwischen der EU und den USA schaffen werden. Entscheider in Unternehmen könnten es daher sinnvoller finden, sich von den Business-Plattformen amerikanischer Firmen zurückzuziehen beziehungsweise sich stattdessen von vorn herein regionalen Anbietern zuzuwenden – also Unternehmen mit Hauptsitz innerhalb der EU, die alle ihnen anvertrauten Daten und Anwendungen nach hiesigen Bestimmungen verwalten, speichern und sichern.      

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

28. Juni 2018

Illustration: Absmeier, ocv   Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in Richtung informationeller Selbstbestimmung. Dank Neuregelungen wie den Einwilligungsanforderungen, dem Auskunftsrecht oder dem sogenannten »Recht auf Vergessenwerden« wurden unsere Rechte als Betroffene erheblich gestärkt.   Gesetzlich gebilligter Zugriff auf personenbezogene Daten – Widerspruch zwecklos Wäre da nicht diese dunkle Wolke, die sich scheinbar unbemerkt von Medien und Politik über der friedlichen Szenerie breitmacht: Der CLOUD Act – kurz für »Clarifying Lawful Overseas Use of Data Act«. Ein US-Gesetz, erlassen am 23. März, das es US-Behörden erlaubt, auf personenbezogene Daten im Ausland zuzugreifen. Der Provider – laut US-Gesetz jede Institution, die Daten sammelt oder bereitstellt – darf ab dem Zeitpunkt der Anfrage keine Daten mehr löschen (auch nicht außerhalb der USA) und ist auch nicht verpflichtet, die betroffene Person beziehungsweise das Unternehmen über den Zugriff zu informieren. Handelt es sich um eine Person, die kein US-Bürger oder -Bewohner ist, oder um ein außerhalb der USA registriertes Unternehmen, kann der Provider Widerspruch gegen den Datenzugriff einlegen. Theoretisch – denn die US-Behörden können vor Gericht gegen den Widerspruch klagen. Ist der Datenzugriff »im Interesse der USA«, wird zugunsten der US-Behörden entschieden und die Daten müssen unmittelbar übergeben werden. Der Provider wird sich also tunlichst überlegen, ob er sich tatsächlich mit den US-Behörden anlegt, denn die Rolle des Gewinners scheint von Anfang an festzustehen … Doch es wird noch abstruser: Verabschiedet wurde der CLOUD Act als Anhängsel des 2.232-seitigen US-Haushaltsplans. Dieser führt eigentlich die veranschlagten Einnahmen und Ausgaben des Haushaltsjahres auf. Man könnte fast meinen, das Gesetz sollte unentdeckt durchgewunken werden. Wie es der Zufall will, setzt der CLOUD Act auch einem seit Jahren andauernden Streit zwischen Microsoft und den US-Behörden ein Ende. Microsoft weigerte sich, E-Mail-Daten herauszugeben, die sich auf Servern in Irland befanden. Dank des CLOUD Acts ist der Datenzugriff für die USA nun gesichert.   CLOUD Act hebelt Errungenschaften der DSVGO aus – wo bleibt der Aufschrei? Fragen Sie sich jetzt auch, wie sich der CLOUD Act mit unserer DSVGO vereinbaren lässt? Die Antwort: Überhaupt nicht. Es ist vielmehr so, dass der CLOUD Act die Errungenschaften der DSVGO völlig außer Kraft setzt. Unterhalten europäische Provider Niederlassungen in den USA, unterliegen sie automatisch dem CLOUD Act. Mit der Folge, dass US-Behörden Zugriff auf die europäischen Server fordern können. Die betroffenen Personen werden höchstwahrscheinlich niemals davon erfahren. Datenschutz sieht definitiv anders aus. Als Folge dessen hat der Innenausschuss des EU-Parlaments die EU-Kommission ultimativ aufgefordert, das Datenschutzabkommen »EU-US Privacy Shield« als Folge des CLOUD Act zum 1. September zu kippen, wenn sich die US-Seite nicht an die Vereinbarungen von 2016 hält. Selbstverständlich ist die Weitergabe personenbezogener Daten von EU-Bürgern an US-Behörden ohne Zustimmung eines EU-Gerichts ein Verstoß gegen die DSVGO. Und die betroffenen Personen haben auch das Recht, gegen die Verantwortlichen vorzugehen und Schadensersatz zu fordern, selbst für immaterielle Schäden. Doch wie sollen sie dieses Recht in Anspruch nehmen können, wenn die Provider laut CLOUD Act nicht über einen Zugriff informieren müssen? Es ist daher zwingend notwendig, dass die Kollision von CLOUD Act und DSVGO nicht länger totgeschwiegen wird und sich die Aufmerksamkeit von Politik und Medien auf dieses brisante Thema richtet. Solange die Rechtslage so unsicher ist, lässt sich das Problem nur lösen, indem Privatpersonen und Unternehmen keine Provider mit US-Niederlassung wählen oder diese verpflichten, sie zumindest über Anfragen im Rahmen des CLOUD Act zu informieren, damit sie von dem drohenden Unheil erfahren.  

Illustration: Absmeier, ocv   Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in Richtung informationeller Selbstbestimmung. Dank Neuregelungen wie den Einwilligungsanforderungen, dem Auskunftsrecht oder dem sogenannten »Recht auf Vergessenwerden« wurden unsere Rechte als Betroffene erheblich gestärkt.   Gesetzlich gebilligter Zugriff auf personenbezogene Daten – Widerspruch zwecklos Wäre da nicht diese dunkle Wolke, die sich scheinbar unbemerkt von Medien und Politik über der friedlichen Szenerie breitmacht: Der CLOUD Act – kurz für »Clarifying Lawful Overseas Use of Data Act«. Ein US-Gesetz, erlassen am 23. März, das es US-Behörden erlaubt, auf personenbezogene Daten im Ausland zuzugreifen. Der Provider – laut US-Gesetz jede Institution, die Daten sammelt oder bereitstellt – darf ab dem Zeitpunkt der Anfrage keine Daten mehr löschen (auch nicht außerhalb der USA) und ist auch nicht verpflichtet, die betroffene Person beziehungsweise das Unternehmen über den Zugriff zu informieren. Handelt es sich um eine Person, die kein US-Bürger oder -Bewohner ist, oder um ein außerhalb der USA registriertes Unternehmen, kann der Provider Widerspruch gegen den Datenzugriff einlegen. Theoretisch – denn die US-Behörden können vor Gericht gegen den Widerspruch klagen. Ist der Datenzugriff »im Interesse der USA«, wird zugunsten der US-Behörden entschieden und die Daten müssen unmittelbar übergeben werden. Der Provider wird sich also tunlichst überlegen, ob er sich tatsächlich mit den US-Behörden anlegt, denn die Rolle des Gewinners scheint von Anfang an festzustehen … Doch es wird noch abstruser: Verabschiedet wurde der CLOUD Act als Anhängsel des 2.232-seitigen US-Haushaltsplans. Dieser führt eigentlich die veranschlagten Einnahmen und Ausgaben des Haushaltsjahres auf. Man könnte fast meinen, das Gesetz sollte unentdeckt durchgewunken werden. Wie es der Zufall will, setzt der CLOUD Act auch einem seit Jahren andauernden Streit zwischen Microsoft und den US-Behörden ein Ende. Microsoft weigerte sich, E-Mail-Daten herauszugeben, die sich auf Servern in Irland befanden. Dank des CLOUD Acts ist der Datenzugriff für die USA nun gesichert.   CLOUD Act hebelt Errungenschaften der DSVGO aus – wo bleibt der Aufschrei? Fragen Sie sich jetzt auch, wie sich der CLOUD Act mit unserer DSVGO vereinbaren lässt? Die Antwort: Überhaupt nicht. Es ist vielmehr so, dass der CLOUD Act die Errungenschaften der DSVGO völlig außer Kraft setzt. Unterhalten europäische Provider Niederlassungen in den USA, unterliegen sie automatisch dem CLOUD Act. Mit der Folge, dass US-Behörden Zugriff auf die europäischen Server fordern können. Die betroffenen Personen werden höchstwahrscheinlich niemals davon erfahren. Datenschutz sieht definitiv anders aus. Als Folge dessen hat der Innenausschuss des EU-Parlaments die EU-Kommission ultimativ aufgefordert, das Datenschutzabkommen »EU-US Privacy Shield« als Folge des CLOUD Act zum 1. September zu kippen, wenn sich die US-Seite nicht an die Vereinbarungen von 2016 hält. Selbstverständlich ist die Weitergabe personenbezogener Daten von EU-Bürgern an US-Behörden ohne Zustimmung eines EU-Gerichts ein Verstoß gegen die DSVGO. Und die betroffenen Personen haben auch das Recht, gegen die Verantwortlichen vorzugehen und Schadensersatz zu fordern, selbst für immaterielle Schäden. Doch wie sollen sie dieses Recht in Anspruch nehmen können, wenn die Provider laut CLOUD Act nicht über einen Zugriff informieren müssen? Es ist daher zwingend notwendig, dass die Kollision von CLOUD Act und DSVGO nicht länger totgeschwiegen wird und sich die Aufmerksamkeit von Politik und Medien auf dieses brisante Thema richtet. Solange die Rechtslage so unsicher ist, lässt sich das Problem nur lösen, indem Privatpersonen und Unternehmen keine Provider mit US-Niederlassung wählen oder diese verpflichten, sie zumindest über Anfragen im Rahmen des CLOUD Act zu informieren, damit sie von dem drohenden Unheil erfahren.  

President signs overseas data access bill into law

The House of Representatives has approved a piece of legislation (PDF) that makes it easier for law enforcement to get access to info even if it’s stored in other countries. Officially known as Clarifying Lawful Overseas Use of Data Act, the set of regulations was part of the 2,000-page Omnibus Spending Bill the president has just signed. CLOUD was created to replace the current rules for…