Ticker :

Die Bedeutung des US-Cloud Acts für Anbieter von Board Portalen und deren Kunden

Im April dieses Jahres hat die US-Regierung den sogenannten CLOUD Act erlassen. CLOUD steht in diesem Zusammenhang abkürzend für die richtige Bezeichnung des Gesetzes, nämlich: 

Clarifying Lawful Overseas Use of Data Act. 

Dieses neue Gesetz hat weitreichende Auswirkungen für US-Anbieter von Cloud-Dienstleistungen im Allgemeinen aber auch ganz besonders für US-Anbieter von Board Portal Lösungen in der Cloud (SaaS Software as a Service) wie z.B. Brainloop oder Diligent, die seit Juli 2018 sich nunmehr als ein US-Konzern zusammengeschlossen haben. 

Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben – allerdings nur, wenn die Daten in den USA liegen. Mit dem CLOUD Act stellt die Trump-Regierung neuerdings nun auch den Zugriff auf ausländische Server sicher.

Clarifying Lawful Overseas Use of Data Act

Clarifying Lawful Overseas Use of Data Act

Unternehmen in den USA müssen gemäß dem sogenannten Patriot Act gespeicherte Daten, die Gegenstand strafrechtlicher Ermittlungen sind, auf behördliche oder richterliche Anweisung herausgeben. Normalerweise verlaufen solche Anfragen im Verborgenen und die Betroffenen bekommen davon gar nichts mit, gleichwohl erreichte dieses Jahr ein Fall die Öffentlichkeit. Microsoft wurde von der US-Regierung aufgefordert, Daten, die sich in einem Rechenzentrum von Microsoft in Irland befanden, an die US-Regierung herauszugeben. Microsoft wehrte sich gegen die Aufforderung mit der Begründung, dass die Daten nicht in den USA liegen und somit der Patriot Act keine Wirkung hätte. Ausserdem würde Microsoft sich an die Datenschutzgesetze von Irland halten. Die US-Regierung verklagte daraufhin Microsoft zunächst bis der Fall eine entscheidende Wendung nahm. Am 17. April 2018 erklärte der US Supreme Court, das höchste US-amerikanische Gericht, den Rechtsstreit auf Antrag der US-Regierung für erledigt. Der Grund für diese überraschende Wendung liegt in dem neuen Gesetz, das den Zugriff US-Amerikanischer Behörden auf Daten erheblich ausweitet – sogar rückwirkend.Mit dem schon erwähnten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische Board Portal Anbieter wie Brainloop und Diligent, IT-Dienstleister oder Internetanbieter im Ausland, z.B. in der Schweiz, oder in der Europäischen Union speichern. Das neue Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland, sofern der Betreiber des Board Portals, des Rechenzentrums, oder der Cloud ein US-Amerikanisches Unternehmen ist. 

 

Der CLOUD Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies ausdrücklich verbieten. Die Datenherausgabe setzt auch nicht voraus, dass es ein internationales Rechtshilfeabkommen gibt, das solche Fälle regelt. Das Inkrafttreten der EU-Datenschutz-Grundverordnung, kurz DSGVO, bereichert den Zwist um einen weiteren Aspekt. Artikel 48 DSGVO regelt das Herausgeben von Daten an Behörden eines Landes außerhalb der EU: „Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen […] nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“ Nach Artikel 83 Absatz 5 DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 DSGVO sogar die besonders hohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist. Im Moment gibt es solche internationalen Rechtshilfeabkommen nicht. Die US-Regierung zwingt die US-Unternehmen zur Herausgabe der Kundendaten, egal ob ein Rechtshilfeabkommen besteht oder nicht. 

 

Fazit

Der CLOUD Act aus den USA verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Das steht im Konflikt mit dem Recht der EU und ihrer Mitgliedsstaaten. Ohne Rechtshilfeabkommen dürften personenbezogene Daten alleine schon aufgrund der DSGVO nicht an US-Behörden übergeben werden. Betroffene US-Unternehmen müssen sich also entscheiden, welches Recht sie verletzen. US-Cloudanbieter und Board Portal Betreiber werden sich hier schon allein aus Kostengründen für die langwierigen US-Amerikanischen Gerichtsverfahren aber eher dem Druck der US-Regierung als der ausländischen Regierung beugen. Eine auf Dauer inakzeptable Situation. 

 

Leidtragende im Bereich von Board Portalen sind eindeutig die Kunden von Brainloop und Diligent. Diese Auffassung vertritt auch der CEO Brainloop, Herr Deutschmann, in einem Artikel im Magazin MoneyCab vom 25. April 2018. Dort erklärt Herr Deutschmann: " Alle Daten, die mit US-amerikanischen Unternehmen und Personen ausgetauscht werden und die im Zugriff US-Amerikanischer Anbieter sind, sind potenziell vom CLOUD Act gefährdet." Und weiter führt er aus: "De facto ist jedoch eine erhöhte Unsicherheit in Bezug auf die Datensouveränität bei der Zusammenarbeit mit US-Amerikanischen Unternehmen zu erwarten." Nur drei Monate nach diesem Artikel wurde auch Brainloop ein US-Amerikanisches Unternehmen weshalb Brainloop nun ebenfalls vollständig dem CLOUD Act unterliegt. 

 

Wer als Betroffener auf Nummer sicher gehen will, muss künftig zudem nicht nur darauf achten, wo seine Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Hauptsitz hat und ob das Unternehmen mehrheitlich von US-Amerikanischen Investoren beherrscht wird. Das gilt nicht nur für personenbezogene Daten, sondern insbesondere etwa für Geschäfts- und Betriebsgeheimnisse, welche regelmässig in Aufsichts- und/oder Verwaltungsräten verarbeitet werden. 

 

Wer in dieser Gemengelage auf Nummer sicher gehen möchte, muss eine grundlegende Entscheidung treffen. Cloud Lösungen für Board Portale ist in Bezug auf Sicherheit und Geheimniswahrung der Daten ein Widerspruch.Die sensibelsten Daten eines Unternehmens, wozu ausdrücklich die Daten von Aufsichts- und Verwaltungsräten zählen, gehören nicht in die Hände von Dritten, die fragwürdigen gesetzlichen Anforderungen ihrer Heimatstaaten unterliegen. Solche Daten gehören ausschliesslich in das eigene Daten-Rechenzentrum. Wer diese Entscheidung trifft stellt sehr schnell fest, dass es für eine solche Lösung nur einen Anbieter gibt. Die Loomion AG aus Basel in der Schweiz ist zu 100% ein Schweizer Unternehmen und ist der einzige Lieferant, der eine Installation seines hochsicheren Board Portals twelve im Rechenzentrum des Kunden anbietet. Da das Board Portal von Loomion auf der SharePoint Technologie basiert, ist die Implementierung in bestehende Server-Architekturen der Kunden sehr einfach und kosteneffizient. Es bedarf keines besonders geschulten Adminstrationspersonals und die IT Abteilung ist froh über die zusätzliche Auslastung der Investitionen in die IT-Ausstattung.  Nur so bleiben die Daten in der eigenen Hand und der Kunde behält die Kontrolle. Die düstere Wolke CLOUD Act zieht ohne Befürchtung an Loomion Kunden vorbei.

Loomion is safe.
Become a Loomion.
I'm Loomion. 

#BoardMatters #Loomion_Kolumne #Loomion #Board_Portal #Virtual_DataRoom #CorpGov #papierlos #Boardroom #FreeYourBoard #Digitalisierung #Corporate #Governance #Compliance #CSR   #Aufsichtsrat #SecureDataRoom

Am 7. November 2018 wird der Gründer vom Board Portal von Loomion, Markus Bosch, in einem Workshop über effektives und sicheres Meeting-Management im Rahmen der Fachtagung für Aufsichtsräte in Berlin referieren.

Quelle: https://www.heise.de/ix/heft/Wolkenbruch-4089925.html