DSGVO vs. Cloud Act: Data protection when using cloud computing solutions

Das Thema Datenschutz und Cloud Computing sorgt gerade wieder einmal für Gesprächsstoff. Anlass ist dieses Mal der Erlass des hessischen Datenschutzbeauftragten von Anfang Juli 2019, die Nutzung von Microsoft Office 365 an hessischen Schulen zu verbieten. In seiner Statement erklärt er: „Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.“ Mittlerweile wurde zwar wieder etwas zurückgerudert – man spricht davon, den Einsatz „unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden.“

Nevertheless, this current example shows that there are still very different views on this and the other side of the Atlantic when it comes to assessing the issue of data protection.

DSGVO vs. Cloud Act: Different assessment of access to user data

Dabei geht es insbesondere darum, welche Möglichkeiten zum Zugriff auf die mit Cloud Services verarbeiteten personenbezogenen Daten gewährt. Für die Staaten der Europäischen Union sind diese Möglichkeiten einheitlich in der EU Datenschutzgrundverordnung (DSGVO) geregelt, die im Mai 2018 in Kraft trat.

Article 48 of the GDPR verbietet Unternehmen die Übergabe von in der EU gesicherten Daten ohne Rechtshilfeabkommen. Außerdem müssen in diesen Fällen die heimischen Behörden einbezogen werden. Bei einem Verstoß drohen nach Art. 83 DSGVO empfindliche Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Nur wenige Wochen vor Inkrafttreten der DSGVO, am 23. März 2018, unterzeichnete US-Präsident Donald Trump den CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses Gesetz erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten – vorausgesetzt die betroffenen Server sind unter der Kontrolle von US-Unternehmen. Damit gilt der Cloud Act auch für amerikanische Cloud Service Provider wie Microsoft, Google, Apple oder Salesforce.com. Der CLOUD Act verlangt also von diesen Unternehmen die Herausgabe von Daten, ohne dass lokale Behörden involviert werden. Es muss nicht einmal der betroffene Anwender selbst in Kenntnis gesetzt werden. Daraus ergibt sich ein offensichtliches Dilemma für Microsoft & Co.: Egal, welches der beiden Gesetze sie einhalten, sie verletzen damit automatisch das andere. Rechtsexperten sprechen von einer auf Dauer inakzeptablen Situation. Ob sich die USA doch noch auf Gespräche mit der EU zur Lösung dieser Gemengelage einlässt, sei allerdings offen. Bislang will sie nur direkt mit den Regierungen einzelner Staaten sprechen.

Die Lösung: Cloud Services Made in Germany wie ZEP

Anwender, die sich dieser rechtlichen Grauzone entziehen möchten, sollten sich bei der Auswahl eines Cloud Computing-Anbieters auf jeden Fall Gedanken über dessen Herkunft machen. Bei Anbietern wie z.B. der Firma provantis IT-Solutions und ihrer Cloud-Lösung ZEP – Zeiterfassung für Projekte – können sie sicher sein, dass ausschließlich die Vorgaben der DSGVO Anwendung finden. Das Unternehmen hat seinen Sitz in Deutschland und betreibt seinen Cloud Service ausschließlich aus deutschen Rechenzentren. Damit ist ausgeschlossen, dass internationale Regelungen und Gesetze wie der Cloud Act Anwendung finden.

Wie wichtig das Thema „Rechenzentrum in Deutschland“ auch für die Anwender von ZEP ist, verdeutlicht die Aussage von Christian Korn von der KORN CONSULT GROUP: „Diese Anforderung ist sowohl wichtig, um die Vorgaben unserer eigenen ISO 27001-Zertifizierung, als auch die Compliance- und Datenschutzvorgaben unserer Auftraggeber zu erfüllen.“

Dr. Stefan Klose, Geschäftsführer der Firma Next Level Integration, erklärt: „Datenschutz und Datensicherheit spielen bei unseren Projekten eine zentrale Rolle. Aus diesem Grund haben wir Verträge und Betriebsmodell [von ZEP] im Vorfeld einer intensiven Überprüfung unterzogen. Letztendlich konnte aber ohne Einschränkungen ‚grünes Licht‘ für den Cloud-Betrieb gegeben werden.“

Harmut Höche, Berater und Projektleiter bei der Firma Tedesio, ergänzt: „Was Datenschutz und Datenintegrität betrifft, konnten wir uns davon überzeugen, dass dieser auch im Cloud Computing-Betrieb bei ZEP vollumfänglich gewährleistet ist. Und so war der Einsatz von ZEP letztendlich auch ein Aspekt für eine erfolgreiche Zertifizierung der Tedesio GmbH nach ISO 9001/27001.“

Fazit: Wer eine cloudbasierte Lösung für Zeiterfassung und Projekt-Controlling sucht, die alle in Deutschland und in der EU geltenden Datenschutzvorgaben vollumfänglich erfüllt, ist bei ZEP genau an der richtigen Stelle. Weitere Informationen zum Thema ZEP und DSGVO finden Sie auf der ZEP website.