Derzeit stehen die europäische DSGVO und der US-amerikanische Cloud Act („Clarifying Lawful Overseas Use of Data Act“) in einem gewissen Spannungsfeld. [...]
Der Cloud Act gibt US-Behörden das Recht, auch auf Daten auf EU-Servern zuzugreifen, solange der Besitzer US-Bürger ist, in den USA lebt oder es sich um eine in den USA registrierte Firma handelt. Dies kann die Daten europäischer Unternehmen betreffen, die bei Public-Cloud-Anbietern wie Amazon Web Services, Google, Microsoft Azure oder Oracle gespeichert sind und verarbeitet werden.
Das Thema Daten hat natürlich seit Inkrafttreten der DSGVO eine noch höhere Bedeutung. Mit ihren saftigen Bußgeldern für Verstöße (bis zu 20 Millionen Euro oder 4 % des Umsatzes) ist die Datenschutz-Grundverordnung nicht zu unterschätzen. In ihrem Artikel 48 ist auch geregelt, wie mit Anfragen von Behörden aus Nicht-EU-Ländern umgegangen werden soll. Nur wenn sie auf eine internationale Übereinkunft wie etwa ein Rechtshilfeabkommen basieren, sind sie zulässig. Hier wird also schon das Spannungsfeld zwischen US-Ansprüchen und EU-Schutzrechten an Daten auf EU-Servern klar. Weiterhin führt der zugehörige Erwägungsgrund 115 aus, dass eine Aushebelung des mit der DSGVO definierten Schutzniveaus durch den Cloud Act verhindert werden soll.
Die EU und USA wollen daher einen Rahmenvertrag aushandeln, der den Cloud Act mit der DSGVO in Einklang bringt. Dazu wurde das nötige Mandat in der Europäischen Kommission am 6. Juni 2019 bewilligt. Wie ein fehlendes Puzzlestück soll das neue Vertragswerk festlegen, unter welchen Umständen staatliche Stellen auf Daten zugreifen können, die auf Servern im jeweils anderen Land gespeichert sind.
Das derzeit gültige Rechtshilfeabkommen zwischen USA und EU stammt aus dem Jahr 2009. Es kann heute mehrere Monate dauern, bis einem Ersuchen nach der Weitergabe von Daten im Rahmen dieses Abkommens entsprochen wird. Es wird der Realität internetbasierter Ermittlungen nicht gerecht und bedarf deswegen der Anpassung. Zudem berücksichtigt es die Forderungen der DSGVO nicht, weshalb nun ein neuer Rahmenvertrag gefordert wird.
Er wird allerdings noch eine Weile auf sich warten lassen. Die Frage ist deshalb: wie können Unternehmen heute sicherstellen, dass sie nicht zwischen die Fronten von Cloud Act und DSGVO geraten – dass ihre Daten und die Daten ihrer Kunden nicht entgegen der Vorschriften der DSGVO von einem Public-Cloud-Provider an staatliche Stellen in den USA weitergegeben werden? Hier bieten sich aktuell zwei Optionen an: die Wahl eines rein EU-europäischen Cloud-Providers oder bzw. und „Bring your own key“, also die Hardware-unterstützte Verschlüsselung der Daten beim Cloud-Provider.
EU–Cloud-Provider: nicht auf Dauer sicher
Wie schon oben beschrieben können nach dem Cloud Act US-Behörden Daten von US-Cloud-Providern anfordern. Dies betrifft auch solche Daten, die auf Servern in der EU gehostet werden, wenn der Besitzer der Daten US-Bürger ist, in den USA lebt oder es sich um eine in den USA registrierte Firma handelt. Doch der Ausweg über einen EU– Anbieter ist nur teilweise eine Alternative. Der Grund dafür sind die EPOC-PR («European Production and Preservation Orders for electronic evidence in criminal matters», frei übersetzt «Europäische Herausgabe- und Erhaltungsverordnungen für elektronische Beweise in Strafsachen»).
Die EU ist aktuell dabei, diese EPOC-PR zu formulieren. Ziel ist es, die Strafverfolgung zur Sicherung elektronischer Beweismittel weltweit zu vereinfachen und zu beschleunigen. Als elektronische Beweismittel gelten hierbei unter anderem E-Mails oder Textnachrichten. Ermittler sollen auf diese zugreifen können, unabhängig davon, wo der Kommunikations- oder Service-Anbieter seinen Sitz hat und wo ein Cloud-Service-Provider die Daten speichert. Einzige Voraussetzung ist, dass die Dienste in einem Mitgliedsstaat der EU angeboten werden. Weiterhin sieht der Entwurf vor, dass die Anbieter einen in der EU ansässigen gesetzlichen Vertreter zu bestimmen haben. Über diese Person kann die EU ohne Rechtshilfeersuchen direkt die Daten anfordern.
Die Hürde zur Anwendung dieses neuen Rechtsinstrumentes liegt allerdings deutlich höher als beim Cloud Act. Sie muss durch einen Richter angeordnet werden und setzt voraus, dass eine Straftat zugrunde liegt, die mindestens 3 Jahre Freiheitsstrafe nach sich zieht. Bei einem positiven Entscheid durch den Richter haben die Kommunikations- oder Service-Anbieter zehn Tage Zeit, um die Anfrage zu beantworten, in sehr dringenden Fällen sogar nur sechs Stunden.
Aktuell weist der Entwurf noch Lücken auf. Er vernachlässigt den Datenschutz. Da auch die EU sich aber an die DSGVO zu halten hat, gibt es hier für die Arbeitsgruppe noch einiges zu tun. Noch ist nicht geregelt, wann und ob der Betroffene informiert wird, was mit den Daten geschieht, nachdem sie übergeben wurden, oder wie die weiteren Forderungen der Datenschutz-Grundverordnung umgesetzt werden. Dazu hat auch die Europäische Datenschutzaufsichtsbehörde im Dokument «Opinion 23/2018 on Commission proposals on European Production and Preservation Orders for electronic evidence in criminal matters (Art. 70.1.b)» Stellung genommen.
Mit dem eigenen Schlüssel in der Cloud
Über kurz oder lang aber werden Behörden auch die Daten auf EU-basierten Servern abrufen können. Ein Weg, sich davor zu schützen, ist der Einsatz von Bring You Own Key (BYOK, manchmal auch: «Bring Your Own Encryption, BYOE). Bei diesem Ansatz übermittelt der Datenbesitzer einen Verschlüsslungs-Master-Key an dedizierte Hardware-Module beim Cloud-Anbieter. Diese «Hardware Security Modules» (HSM) sind für den Anbieter selbst unzugänglich, und bieten exklusiven Zugriff auf die verschlüsselten Cloud–Daten des Kunden. Sie ver- und entschlüsseln im Auftrag seiner Cloud-Applikation sämtliche Daten. Nur das Unternehmen, das im Besitz des Schlüssels ist, kann Daten abrufen.
Es bleibt abzuwarten, wie EPOC-PR mit BYOK-Anwendungen verfährt. Doch zumindest bis diese Frage geklärt ist, stellt das Bring Your Own Key-Konzept einen effektiven Weg dar, wie Unternehmen ihre Daten in der Cloud vor unberechtigten Zugriff schützen – unabhängig davon, ob der Zugriffsversuch von staatlichen Stellen oder kriminellen Elementen herrührt.
Der Autor Christian Golz ist Senior Consultant & Datenschutzbeauftragter bei Trivadis.
Be the first to comment