•  

DSGVO und CLOUD Act im Konflikt: So einfach lösen Softwarehäuser das Dilemma beim Datenschutzrecht

Mitten auf dem Atlantik toben bekanntlich Stürme – und Zielkonflikte wie dieser hier: Während die US-Regierung den Schutz persönlicher Daten beim CLOUD Act hintenanstellt, um schwere Straftaten abzuwehren, gilt in der EU das Schutzrecht des Einzelnen dank DSGVO als höchstes Gut. Wie Anbieter von Software beim Datenschutz in sichere Cloud Computing-Gewässer kommen.

Die europäische Datenschutzgrundverordnung (DSGVO) regelt klar, dass personenbezogene Daten nicht an Drittländer weitergegeben werden dürfen – es sei denn, es liegt eine internationale Übereinkunft wie etwa ein Rechtshilfeabkommen vor. Genau das sieht die US-Regierung anders. Ist Gefahr im Verzug, will sie auf personenbezogene Daten von US-Unternehmen zugreifen können. Und das auch dann, wenn die Daten in Ländern außerhalb der USA gespeichert sind. Der Clarifying Lawful Overseas Use of Data Act – kurz CLOUD Act – räumt der US-amerikanischen Justiz genau dieses Recht seit März 2018 ein.

Software-as-a-Services: Das sind die Probleme bei DSGVO und CLOUD Act für Softwareanbieter

Nicht nur hiesige Softwarehäuser setzt das gewissermaßen in die Cloud-Computing-Zwickmühle, sondern jedes Unternehmen aus Europa, das Cloud-Services eines US-Providers nutzt. Tritt der Fall der Fälle ein, sind Szenarien wie diese denkbar: Wer sich der US-Anfrage wiedersetzt, macht sich strafbar gemäß CLOUD Act. Wer Daten aus seiner Anwendung einfach weitergibt, verstößt möglicherweise gegen die DSGVO. Fakt ist: Handeln hiesige Unternehmen gegen die Verordnung, sind Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des internationalen Jahresbrutto-Umsatzes pro Fall möglich – je nachdem, welcher Betrag höher ist. Wie sollten sich Softwarehäuser also verhalten? Bieten sie ihre Software als skalierbare, mandantenfähige Software-as-a-Services (SaaS) an, kommen ohne Frage US-amerikanische Anbieter, ins Spiel. Und: Kaum eine SaaS-Anwendung heutzutage zielt nicht darauf ab, auch personenbezogene Daten zu verarbeiten.

Die Lösung für Softwarehäuser: Anbieter und Rechenzentren in Deutschland

Wer also SaaS-Dienste bereitstellt, der sollte einen Cloud-Computing-Provider mit Sitz in der EU nutzen. Sind Anbieter und Rechenzentren hierzulande ansässig, schließt das den CLOUD Act aus und die DSGVO ein. Geeignete Cloud-Computing-Provider lassen sich etwa am Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) und am C5-Anforderungskatalog (Cloud Computing Compliance Controls Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erkennen. Wer seine Software aus einer derart zertifizierten IT-Umgebung bereitstellt, der kann so sicherstellen, dass sein Cloud-Provider die Voraussetzungen der DSGVO erfüllt.

Beispiel Telekom: Sie stellt die Open Telekom Cloud aus den eigenen Cloud-Computing-Rechenzentren in Deutschland bereit. Das Public-Cloud-Angebot erfüllt alle Anforderungen der DSGVO. Zudem macht der deutsche Provider seine Cloud mit einem Partnerprogramm speziell für Softwarehäuser interessant: SoftwareBoost unterstützt Softwareschmieden bei der Transformation zum Plattformanbieter aus der Cloud und bietet Teilnehmern unter anderem kostenfreies Guthaben für IT-Ressourcen aus der Open Telekom Cloud. 

Autor: kol

Diesen Artikel empfehlen