Hybride Lizenzierung Der „CLOUD Act“ und der Schutz persönlicher Daten

9. März 2020 – Michael Vilain
Gewitterwolken

Der im Nachgang der schrecklichen Ereignisse des 11. September 2001 im Folgemonat desselben Jahres erlassene PATRIOT Act brachte nicht nur eine massive Einschränkung der Rechte amerikanischer Bürger mit sich, sondern hatte auch tiefgreifende Konsequenzen hinsichtlich des Schutzes persönlicher Daten von Bürgern anderer Nationen. Nicht nur die erst 10 Jahre später veröffentlichten Verlautbarungen von Microsoft und Google hinsichtlich ihrer Verpflichtung zur Weitergabe personenbezogener Daten aus EU-Rechenzentren an anfordernde US-Behörden legen davon Zeugnis ab.

Allerdings war der Patriot Act hinsichtlich der Details des Zugriffs auf außerhalb des „Homelands“ gespeicherten Cloud-Daten einigermaßen schwammig formuliert. Die Folge waren zahlreiche Rechtsstreitigkeiten zwischen im europäischen Rechtsraum operierenden US-Unternehmen und der US-Regierung mit durchaus wechselnden Resultaten. Für viele europäische Unternehmen und Behörden, welche die volle Kontrolle über sensible personenbezogene Daten gewährleisten wollten, gewann seither dennoch die von manchen Seiten bereits totgesagte On-Premises Datenhaltung auf lokalen Speichern neue Popularität.

Klarer Widerspruch zur DSGVO

Mit dem seit dem 23. März 2018 gültigen sogenannten „CLOUD“ Act (Clarifying Lawful Overseas Use of Data Act), einer Verschärfung der vorangegangenen Regelung, dürften sich mehr Unternehmen denn je überlegen, ob eine ausschließliche Datenbevorratung in der Cloud der Stein der Weisen ist. Der in klarem Widerspruch zur DSGVO stehende Cloud Act erlaubt es US-Behörden nämlich, von Cloud-Providern die Herausgabe sämtlicher Daten einer Person beziehungsweise eines Unternehmens zu verlangen, ohne dass die Betroffenen darüber informiert werden müssen. Zudem erlaubt der Cloud Act den Abschluss von Vereinbarungen zwischen der US-Regierung und Drittstaaten, die den Behörden dieser Drittländer ebenfalls Zugriff auf Daten von US-Cloudanbietern ermöglicht.

Unternehmen, die durch den CLOUD Act entstehende Datenschutzkonflikte von vornherein ausschließen wollen, sind also gut beraten, ihre IT-Strategie hybrid auszulegen und einen intelligenten Mix aus Cloud- und On-Premises-Lösungen zu fahren. Und wer darüber hinaus auch noch besonders kostenbewusst agieren will, der sollte für den On-Premises Part den Einsatz gebrauchter Software in Erwägung ziehen. Mit rechtskonform vom Erstbesitzer auf einen neuen Anwender übertragenen Lizenzen kommerzieller On-Prem Software lassen sich nämlich die Kosten im Vergleich zum Erwerb neuer Lizenzen um bis zu 70 Prozent reduzieren.

Bildnachweis Titelbild: © Bild: Amber Avalona/Pixabay

Artikel teilen