Datensouveräne Cloud-Lösungen

Damit Ihre Daten bei Ihnen bleiben

Ein neuerliches Gutachten von November 2021 bestätigt, dass Daten von deutschen Unternehmen, die bei Hyperscalern gehostet werden, keinen Schutz vor dem Zugriff durch US-Behörden haben. Vermeiden Sie den Abfluss Ihrer Geschäftsdaten durch datensouveränes Hosting bei Uptime IT.

Die Datenschutzkonferenz der Bundesländer beauftragte ein Rechtsgutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse. Das Gutachten mit Datum vom 2021-11-15 steht online auf den Seiten der Datenschutzkonferenz DSK und steht hier bei uns zum Download zur Verfügung.

Die Ergebnisse stützen die Argumentation von Uptime IT: Auch wenn US-Unternehmen anscheinend DSGVO-konforme Rechenzentren in Deutschland betreiben, sind die dort gehosteten Daten vor dem Zugriff durch US-Behörden nicht sicher. Betriebsinterna und Geschäftsgeheimnisse der deutschen Wirtschaft stehen somit auf dem Spiel, wenn Dienstleister beauftragt werden, die Abhängigkeiten in die USA haben, beispielsweise weil der Mutterkonzern US-amerikanisch ist.

„Wir begrüßen es, dass die DSK sich von unabhängiger Seite bestätigen lässt, was seit langem bekannt ist und dies von kompetenter Seite aktuell und ausführlich dargelegt wird. Jeder Unternehmer, der beispielsweise die Hyperscaler beauftragen möchte, sollte vorab sehr sorgsam eine Risikoabschätzung für sein Unternehmen vornehmen. Dies gilt auch mit Blick auf chinesische Anbieter. Es ist Aufgabe der Politik endlich energisch zu handeln, damit der Datenabfluss aus Deutschland bzw. Europa tatsächlich gestoppt wird. Europäische Standardvertragsklauseln sind da bei Weitem nicht ausreichend.“

Rolf Heßling, geschäftsführender Gesellschafter Uptime IT

Stein des Anstoßes: Section 702 FISA

Stein des Anstoßes: Section 702 FISA

Ist es Ihnen recht, wenn Dritte Ihre Geschäftsdaten mitlesen? (Grafik designed by Zandern / Freepik)

Schon der EuGH hatte in seinem Urteil zum EU-US Privacy Shield (Schrems II) festgestellt, dass Section 702 FISA (Foreign Intelligence Surveillance Act) mit den europäischen Grundrechten nicht vereinbar ist. Section 702 FISA regelt die Überwachung von Nicht-US-Bürgern außerhalb des US-Territoriums etwa durch die NSA.

Der von der DSK beauftragte Spezialist für US-Geheimdienstrecht an der Universität Texas, Prof. Stephen I. Vladeck, beschreibt ausführlich, wie weit die Regularien und Begriffe in 702 FISA gefasst sind. Hieraus resultieren die Gefahren für die Daten bzw. die Datensouveränität.

Der zentrale Begriff in der Section 702 FISA lautet „electronic communication service provider“. Laut Gutachten können darunter auch Banken, Fluggesellschaften, Hotels oder Versanddienstleister fallen (Rechtsgutachten, Kapitel I.5.a) und nicht nur IT- und Telekommunikationsunternehmen.

Das Gutachten besagt, dass auch nicht in jedem Fall erforderlich ist, dass die Dienste der Öffentlichkeit zur Verfügung gestellt werden. Beispielsweise kann es genügen, dass ein Unternehmen seinen Mitarbeitenden einen E-Mail-Dienst bereitstellt (Rechtsgutachten, Kapitel I.5.c).

Zugriff auf sämtliche Daten des Unternehmens

Zugriff auf sämtliche Daten des Unternehmens

US-Behörden haben weitreichende Rechte. (Bild: Chris Yang on Unsplash)

Eine Untergruppe der „electronic communication service provider“ sind Anbieter von „remote computing services“. Dazu gehören Anbieter von „computer storage or processing services“, siehe 18 U.S.C. § 2711(2), also klassische Cloud-, Rechen- oder Hosting-Dienstleistungen und nicht nur herkömmliche Telekommunikationsanbieter (Rechtsgutachten, Kapitel I.5.). Von diesen können US-Behörden Daten verlangen, wenn sie dem US-Recht unterliegen.

Besonders brisant: Wenn ein Unternehmen, beispielsweise ein Reiseveranstalter, auch nur wegen eines einzigen, intern angebotenen Dienstes als „electronic communication service provider“ eingestuft wird, sind die Befugnisse der US-Behörden nicht auf die Daten dieses einen Dienstes beschränkt. Der Gutachter kommt zum Schluss, dass die US-Behörden sogar Zugriff auf sämtliche Daten im Unternehmen erhalten dürfen, auch wenn dieser Kommunikationsdienst nichts mit der unternehmerischen Haupttätigkeit zu tun hat (Rechtsgutachten, Kapitel I.5.b). Außerdem stellt das Gutachten Schwierigkeiten für europäische Bürgerinnen und Bürger dar, Rechtsschutz in den USA zu erlangen.

Der Gutachter beschreibt, dass der gesamte Rechtsrahmen hochkomplex und nur schwer zu durchleuchten ist. Es verbleiben in dem Gutachten zahlreiche Fragen, insbesondere für den Schutz personenbezogener Daten, der die DSK als Auftraggeber interessiert. Neben dem rechtlichen Risiko kommen auf Unternehmen aufwändige Informations- und Dokumentationspflichten zu, wenn sie personenbezogene Daten an Drittstaaten bzw. deren Dienstleistern übermitteln. Anzumerken ist weiterhin, dass es neben Section 702 FISA noch weitere US-Regularien gibt, beispielsweise den US Cloud Act. Auch dieser erlaubt den Zugriff auf  Server von US-amerikanischen Unternehmen außerhalb des Terretoriums der USA.

Sichere und einfache Lösung für die deutsche Wirtschaft

Für betriebliche Daten gibt es folglich nur eine einfache und sichere Hosting-Variante: Unabhängige, deutsche Unternehmen mit Rechenzentren in Deutschland. So wie Uptime IT, das keinen Auskunftspflichten gegenüber ausländischen Diensten, Behörden oder Konzernen unterliegt. Die Leistungen von Uptime IT sind umfassend ISO-zertifiziert und ISAE 3402, Typ 2, geprüft. Sie sind zudem auditfähig. Es ist somit selbstverständlich und daher nur am Rande erwähnt, dass personenbezogene Daten bei Uptime IT DSGVO-konform gehostet werden können. Als weiteren Vorteil empfinden unsere Kunden die Flexibilität und Motivation des gesamten Teams, wie sie dies nur bei inhabergeführten Unternehmen erleben.

Jetzt über die datensouveräne Uptime Cloud informieren

Informieren Sie sich unverbindlich über unsere Uptime Cloud und unsere weiteren Leistungen für Ihre datensouveräne und sichere IT.

Gerne stellen wir Ihnen für 30 Tage einen kostenlosen Zugang zur Verfügung, damit Sie die Uptime Cloud auf Herz und Nieren prüfen können.