Ein erster Hinweis vorweg: Der CLOUD Act ist für die Sicherheit von Unternehmensdaten in der Cloud kein wirklich bedrohliches Risiko. Das Risiko ist sehr gering gegenüber anderen Risiken im Zusammenhang mit der Speicherung von Daten. Doch beginnen wir von vorn: Seit 2018 ist in den USA ein Gesetz in Kraft, das den Behörden den Zugriff auf digitale Daten im Ausland ermöglicht (der sog. CLOUD Act). Was sich zunächst sehr dramatisch anhört, relativiert sich bei einer genaueren Betrachtung. Mit diesem Beitrag möchte ich erläutern, warum eine Public Cloud-Strategie zu einem US-Anbieter (z.b. Amazon, Microsoft oder Google) sich zwar mit dem CLOUD Act auseinander setzen muss, es aber weitaus wichtigere Überlegungen gibt, die sich die Unternehmens- oder IT-Leitung stellen sollte. Ich bin kein Anwalt. Trotzdem wage ich meine Meinung dazu zu äussern. Ich erlebe oft, wie durch Unwissenheit oder Schwarz/Weiss-Denken unkluge Entscheidungen getroffen werden. Ich hoffe, dieser Artikel trägt zu einem besseren Verständnis bei.
Hintergrund zum CLOUD Act
2017 wurde der Swiss-US Privacy Shield ausgehandelt und in Kraft gesetzt. Damit verfügt(e) die Schweiz über gleich lange Spiesse wie die Europäische Union, die 2016 mit den USA ein vergleichbares Regime vereinbart hatte. Dadurch sollten Bürger vor US-Spionage geschützt werden. Der US-Regierung gefiel die Sache allerdings nicht wirklich. Denn wenn sie an Daten auf europäischen Servern kommen wollte, musste jedes Mal ein Gerichtsbeschluss her. Ein mühsamer Prozess.
Deshalb wurde 2018 der CLOUD Act verabschiedet, um US-Behörden den weltweiten Zugriff auf digitale Informationen zu ermöglichen. Der CLOUD Act bezieht sich jedoch nur auf US-amerikanische Unternehmen. Viele dieser IT-Unternehmen sind weltweit tätig und haben aus rechtlichen und wirtschaftlichen Gründen Zweigstellen in vielen anderen Ländern, beispielsweise in der Schweiz. Über den CLOUD Act wollen die USA verhindern, dass digitale Daten auf Servern im Ausland ausserhalb ihres Wirkungsbereiches liegen.
Schutz durch Swiss-US Privacy Shield in Frage gestellt
Im Juli 2020 erklärte der Europäische Gerichtshof den EU Privacy Shield zwischen der EU und den USA für unwirksam. Damit entfällt die wichtigste Grundlage für die Übermittlung von europäischen Personendaten in die USA. Das Swiss-US Privacy Shield besteht weiterhin zwischen der Schweiz und den USA. Über 3’800 Dienste beteiligen sich an diesem Framework. Doch was geschieht nach dem EU-Urteil gegen das EU Privacy Shield mit der Schweizer Version? Ob damit die Übermittlung von Personendaten der Schweiz weiterhin abgesichert sind, darüber scheiden sich die Geister (und Anwälte). Müssen somit Schweizer Unternehmen auf die Services wie Azure, G-Suite oder Microsoft 365 verzichten?
CLOUD Act schützt vor willkürlichem Zugriff
Über den CLOUD Act haben die US-Behörden keinen direkten oder permanenten Zugriff auf alle Daten, die auf Netzwerkspeichern liegen. Vielmehr ist für jeden Fall ein richterlicher Beschluss notwendig. In diesem wird der Rahmen des Lawful Access klar definiert. So ist festgelegt, welche Daten im spezifischen Fall eingesehen werden dürfen. Dieser Zugriff setzt einen konkreten Verdachtsfall voraus. Ausserdem erfolgt der Zugang zu den Daten auf offiziellem Weg.
Die US-Behörden richten somit eine Anfrage in Form einer Herausgabeverpflichtung an den Betreiber der Cloud. Dieser hat zusätzlich in vielen Fällen ein Widerspruchsrecht. Die Herausgabeverpflichtung gilt nicht, wenn die Daten einer Person gehören, die nicht Bürger der USA oder eines Landes ist, dass das Executive Agreement mit den USA unterzeichnet hat. Dieses Executive Agreement gibt den US-Behörden überhaupt erst Zugriff auf Daten im Ausland.
Im Gegenzug gewähren die USA auch diesem Land den Zugang zu digitalen Daten auf Servern von US-Unternehmen. Abgesehen davon besitzen die USA kein Executive Agreement mit der Schweiz. Dies verhindert einen direkten Zugriff der US-Behörden auf IT-Dienstleister in der Schweiz. Stand 2020 hat nur Grossbritannien diese Executive Agreement unterzeichnet. Ausserdem können IT-Provider die Herausgabe von Daten verweigern, wenn dies gegen geltende Gesetze in ihrem Land verstösst.
Risiken bewerten und die eigene Cloud-Strategie mit UPGREAT planen
Die meisten Unternehmen sind im Besitz von kritischen Informationen, für die sie verantwortlich sind. Dies können beispielsweise die persönlichen Daten Ihrer Kunden sein oder die Nutzerdaten von Mitarbeitenden. Selbstverständlich gehört zu einer umfassenden Risikobewertung auch die Einschätzung, wie sicher Informationen in der Cloud sind. Teilweise sind Unternehmen verunsichert, was die Datensicherheit in der Cloud angeht. Mitunter wird der CLOUD Act als Bedrohung angeführt.
Wie verläuft die Praxis?
In der Praxis ist diese Angst vor einer latenten Bedrohung unbegründet. Ich will damit nicht sagen, dass es nie vorkommt, dass Daten aus der Schweiz an die US-Behörden geliefert werden. So lässt der Law Enforcement-Bericht von Microsoft durchblicken, dass im Zeitraum von Juli 2019 bis Dezember 2019, 240 Anfragen an die Schweizer Behörden gestellt wurden. Bei diesen Angaben sind auch Konsumentendaten berücksichtigt, welche einen bedeutend grösseren Anteil ausmachen als die Anzahl Unternehmenskunden.
240 Anfragen an die Schweizer Behörden innert einem halben Jahr (2019)
Aber ganz so einfach ist der Zugriff nicht. Zunächst ist da der erschwerte Rechtsweg zu nennen. Dann müssen die Daten spezifisch von den US-Behörden benannt werden. Im Falle einer solchen Herausgabeaufforderung würden somit nur wenige, bestimmte Informationen angefragt werden. Ausserdem müssten die Schweizer Behörden Rechts- und Amtshilfe gewähren. Ansonsten wäre die Anfrage nach hiesiger Rechtsprechung illegal. Hinzu kommt, dass eine solche Anfrage längst nicht zum gewünschten Ziel führen muss. Die angefragten Daten können genauso gut harmlos sein oder gar nicht existieren. Dann enden die Ermittlungen an dieser Stelle.
Ob es sich dann noch um kritische Informationen Ihres Unternehmens handelt, ist ebenfalls fragwürdig. Hinzu kommt, dass die US-Behörden einerseits Kenntnis von Ihrem Cloud-Speicher haben müssen. Andererseits müssen sie auch um die Verbindung zwischen den Daten, die gesucht werden, und Ihrem Cloud-Speicher wissen. Dies verringert die Chance für das Eintreten einer solchen Situation nochmals.
Sie sollten als Unternehmer die Risiken realistisch bewerten. Bei der Risikobewertung fallen jedoch andere Faktoren stärker ins Gewicht. So ist die Wahrscheinlichkeit, dass Unbefugte oder Kriminelle unbemerkt auf Ihre Daten zugreifen, ungleich höher. Auch der Verlust von Informationen ist ein Risiko, das vor allem bei der lokalen Datenspeicherung in jeder Risikobewertung auftauchen sollte.
Vorteile einer Cloud-Lösung in punkto Sicherheit
Gleichzeitig sind die Vorteile einer Cloud-Lösung nicht zu unterschätzen. Einerseits ist Cloud-Speicher flexibel und preiswert. Andererseits punkten Cloud-Speicher gerade auch bei der allgemeinen Datensicherheit. Für Anbieter von Cloud-Datenspeichern hat der Schutz der Daten oberste Priorität. Unternehmen, die ihre gesamten Daten nach wie vor im eigenen Haus speichern, haben oftmals Sicherheitslücken in Ihrer IT.
In Anbetracht dieser Risiken und Vorteile fällt in meinen Augen der CLOUD Act viel weniger ins Gewicht. Die Cloud ist ein sicherer Datenspeicher, der für die meisten Unternehmen deutliche Vorteile bietet. Nehmen Sie unverbindlich mit uns Kontakt auf und erfahren Sie konkret, wie eine Cloud-Migration in Ihrem Unternehmen aussehen könnte.
