Allmählich wird’s für europäische Unternehmen kritisch!
Eine kurze aber wichtige Einordnung:
1. Die Rechtslage:
Der U.S. CLOUD Act eröffnet der Amerikanischen Regierung die Möglichkeit, auf alle Daten (geschäftlich + privat) zuzugreifen, sofern sich diese auf Servern von U.S. Unternehmen befinden. Dabei ist es egal, wo sich diese Server befinden und von wem sie betrieben werden – solange es eine U.S. Amerikanische Muttergesellschaft gibt. Anordnungen können bspw. auch direkt per Dekret erfolgen (https://www.heise.de/news/Strafgerichtshof-Microsofts-E-Mail-Sperre-als-Weckruf-fuer-digitale-Souveraenitaet-10387368.html)
2. Nationales und EU-Recht:
Häufig wird nun angeführt, dass der U.S. CLOUD Act nicht zur Anwendung käme, wenn bspw. europäische Tochtergesellschaften des U.S. Anbieters damit gegen europäisches Recht verstoßen würden (https://www.m365einfuehrung.de/blog/microsoft-unter-eid-was-wirklich-hinter-dem-cloud-act-steckt).
Entwarnung? Nein, denn wie würde das aber in der Praxis ablaufen:
3. Aktueller Beispielfall:
Kürzlich hat Microsoft den E-Mail-Account eines hochrangigen EU-Politikers gesperrt (https://www.heise.de/news/Strafgerichtshof-Microsofts-E-Mail-Sperre-als-Weckruf-fuer-digitale-Souveraenitaet-10387368.html) – auf Anordnung. Anschließend musste der Rechtsweg eingeschlagen werden, der Account blieb jedoch erst mal gesperrt.
Weiter gedacht: Ihre Daten wären also gesperrt (und damit nicht mehr für Sie nutzbar) oder – noch schlimmer – bereits herausgegeben und Sie könnten dann erstreiten, dass sie wieder geschützt werden müssten.
4. Beteuerungen und der „Dämpfer“:
Bislang gab es von vielen U.S. Unternehmen eine große „Charme-Offensive“, in der digitale Souveränität versprochen wurde. Nun haben Microsoft-Manager allerdings unter Eid zugegeben, dass sie den Schutz vor dem CLOUD-Act nicht garantieren können (https://www.itmagazine.ch/artikel/85137/Unter_Eid_Microsoft_kann_Schutz_vor_Cloud_Act_nicht_garantieren.html).
Dies muss ein Weckruf für alle europäischen Unternehmen sein!
Was also tun?
• Verschlüsseln? Hilft schon mal, aber auch nur, solange die Verschlüsselungsverfahren langfristig sicher sind (Stichwort: Post-Quanten-Verschlüsselung).
• Umziehen? Sicher eine Option, aber ein enormer Aufwand. Außerdem sind souveräne europäische Cloud-Strukturen gerade erst im Aufbau und wir alle haben uns schon sehr an die komfortablen Microsoft-Dienste gewöhnt
• in jedem Fall aber: ernst nehmen, das Thema auf gar keinen Fall ignorieren!
Unternehmensdaten und -wissen sind schützenswert. Sie stellen Ihre Assets und Ihren Wettbewerbsvorteil dar. Wir müssen uns nicht mehr nur der Bedrohung durch Hacker stellen, sondern auch mit internationalem Recht auseinandersetzen und daraus passende Strategien ableiten.
#informatikersindcool#rechtwirdimmerwichtiger#itundrechterstrecht
P.S. Cloud steht hier nicht für „die Cloud“ sondern für „Clarifying Lawful Overseas Use of Data Act“