ServerBase Blog
CLOUD Act – sitzen nun auch wir im Glashaus?

« Zurück zum Blog

Norwin Metzger
Von Norwin Metzger
Dienstag, 12. Februar 2019

Mit der Unterzeichnung des Cloud Act durch den amerikanischen Präsidenten Trump letzten Frühling, scheint sich die Welt der Datenspeicherung und -abfrage neu zu ordnen. Aber was genau bedeutet CLOUD Act und welche Vor- und Nachteile hat dieses Abkommen für die Schweiz bzw. jeden einzelnen von uns?

Um was genau geht es eigentlich?

Der Clarifying Lawful Overseas Use of Data Act, CLOUD Act, soll amerikanischen Behörden erlauben, Daten von Nutzern von amerikanischen Internet-Firmen oder IT-Dienstleistern abzufragen, auch wenn diese nicht im amerikanischen Raum gespeichert sind, sondern in Übersee, zum Beispiel in der Schweiz. Entstanden ist dieses Gesetz aufgrund der oft sehr machtlosen US-Behörden im nicht amerikanischen Raum. Hier wurde die Datenfreigabe oft verwehrt, da eine Rechtsgrundlage ausserhalb der USA fehlte. Nun versuchen es die US-Sicherheitsbehörden mit einer rechtlichen Hintertür – der Einführung der CLOUD Act.

Diese neue Regelung greift aber nicht automatisch weltweit. Es muss ein bilateraler Vertrag zwischen der USA und dem jeweiligen Land geschlossen werden. Mithilfe dieses Vertrages wird die Datenabfrage auf beiden Seiten erleichtert. Kurz gesagt, man sitzt als Nutzer im Glashaus. Und weiss oft nicht einmal davon.

Sicherer Serverstandort Schweiz?

Für die Schweiz wäre ein solches Abkommen spannend. Es würde eine Rechtsgrundlage geschaffen, auf welcher Schweizer Behörden der Zugriff zu amerikanischen Firmen wie Google oder Twitter gewährleistet würde. Eine Datenabfrage wäre somit einfach. Im Gegenzug will die USA natürlich auch ihren Teil oder anders gesagt, hochsensible Daten von hier ansässigen Cloud-Providern einsehen und verwenden.

Allerdings müsste in einem solchen Abkommen weitaus mehr geklärt werden. Zum Beispiel ab wann ein ‚US-Bezug‘ besteht, der zum Austausch von Daten verpflichtet. Clara-Ann Gordon, Spezialistin für Technologie und Datenschutzrecht, sagte dazu bereits Ende letzten Jahres, es müsse ein Konflikt mit der Schweizer Rechtsordnung vermieden werden. Unser Gesetz stellt ausdrücklich unter Strafe, auf schweizerischem Gebiet ohne Bewilligung für einen fremden Staat Handlungen vorzunehmen. Zudem könne nicht einmal sie als Anwältin garantieren, dass diverse Schweizer Unternehmen keinen US-Bezug haben. Es gibt also noch einiges zu klären.

Aber nicht nur hier wird es knifflig. Besondere Brisanz ergibt sich für die Schweizer Rechenzentren aufgrund ihrer Attraktivität, vor allem auch bei ausländischen Unternehmen. Der hohe Standard und die unternehmerfreundlichen Datenschutzregeln sind vor allem bei Banken und Versicherungen aus dem In- und Ausland beliebt. Der CLOUD Act birgt auch hier ein wirtschaftliches Risiko.

Microsoft Azure setzt auf Transparenz für den Nutzer und gegen CLOUD Act

Microsofts eigene Cloud Plattform Azure setzt nun auf mehr Transparenz und Datenschutz für ihre Nutzer. Mit eigens definierten sechs Prinzipien will Microsoft sogar als US-Unternehmen die Zugriffsmöglichkeiten einschränken und plädiert dafür, jeder Anbieter solle die Daten seiner Nutzer eigenständig kontrollieren und nicht kontrollieren lassen. Während z.b. Amazon mit seiner Plattform AWS und andere dazu eher wenig sagen und sich mit beschönigenden Phrasen weiter ins gute Licht rücken, versucht Microsoft mit seinen Prinzipien neue Massstäbe zu setzen.

Sind unsere Daten sicher?

Nach GDPR und nun auch dem Inkrafttreten des CLOUD Act in den USA sitzen wir immer mehr unter der Lupe, werden durchleuchtet und haben das Gefühl, mit den US-Behörden am Frühstückstisch zu sitzen, egal, ob wir etwas zu verbergen haben oder nicht. Wie viele Informationen nun nach Übersee fliessen hängt stark vom Verhandlungsgeschick der Schweiz ab und inwieweit nationales vor internationalem Recht steht.

Dies entscheidet auch, wie wir in Zukunft mit sensiblen Daten umgehen müssen. Bis ein bilateraler Vertrag geschlossen wird – falls es diesen überhaupt geben wird – gilt für ServerBase inklusiver aller Rechenzentren ausschliesslich Schweizer Recht und damit verbunden auch höchste Datensicherheit. Und sollte künftig ein bilaterales Abkommen abgeschlossen werden, beschränkt sich die Datenherausgabe auf Daten mit ‚US-Bezug‘. Dieser Bezug ist zwar sehr weit gefasst, dürfte den Grossteil unserer Kunden aber nicht betreffen. In jedem Fall setzt sich ServerBase dafür ein, dass alle Kundensysteme bestmöglich vor rechtlicher Einflussnahme geschützt sind und unabhängig von gesetzlichen Änderungen auch bleiben.