Kurz vor Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) überraschen die USA ihre transatlantischen Partner. Der „US Cloud Act” wird an vielen Stellen auch Kollisionen mit geltendem EU-Recht nach sich ziehen. Für europäische User bedeutet das zusätzliche Verwirrung in einer ohnehin schon unübersichtlichen Situation. Die Reaktion kann also nur eine sein: die vollständige Kontrolle über die eigenen Daten sicherzustellen.
Der US Cloud Act soll ein für alle mal den Zugriff der US-Strafverfolgungsbehörden auf Daten von US-amerikanischen Anbietern regeln, die außerhalb der USA liegen.
Doch was ist daran nun so schlimm?
Es drohen vor allem zwei Folgen: Zum Einen ermöglicht das Gesetz den US-Strafverfolgungsbehörden, Daten, die überall auf der Welt gespeichert sind, zu erfassen, ohne sich an ausländische Datenschutzbestimmungen halten zu müssen. Außerdem ermächtigt das Gesetz die US-Regierung, Vereinbarungen mit jeder Nation der Erde zu treffen, durch die ausländische Behörden (dazu könnten auch Staaten zählen, die aus Sicht von vieler Organisationen Menschenrechte verletzen) Daten, die bei US-Diensten gespeichert sind, erfassen dürfen.
Was sind die Folgen für Europa?
Für EU-Bürger bedeutet so ein Abkommen im schlimmsten Fall, dass Ermittler aus beliebigen EU-Staaten Zugriff auf Daten von IT-Konzernen wie Google, Facebook oder Microsoft erhalten. Außerdem hätten darüber hinaus US-Ermittler Zugang zu allen gespeicherten Daten in Europa.
Das neue Gesetz droht vor allem mit der neuen EU-Datenschutzgrundverordnung (DSGVO) zu kollidieren. Diese tritt am 25. Mai 2018 in Kraft und soll den Datenschutz innerhalb der Europäischen Union stärken und vereinheitlichen, die Kontrolle über die eigenen Daten verbessern und Klarheit für internationale Unternehmen herstellen. Die Folge eines Abkommens wäre, dass ein US-Online-Dienst nicht mehr ohne Bedenken von einem EU-Unternehmen genutzt werden kann. Ein Verstoß gegen die DSGVO ist nach dem jetzigen Stand unvermeidlich. Diese Nutzung von US-Diensten war bisher unter dem Schirm des Privacy Shield möglich, da dieser eine Angleichung des Datenschutzniveaus der beiden Rechtsräume vorsah. Bislang konnten EU-Daten an US-Unternehmen, die dem Shield beigetreten sind, übermittelt werden, da das Datenschutzniveau dem der EU angeglichen wurde. Doch der Cloud Act führt dazu, dass dies nicht mehr der Fall ist.
Zumindest vorerst müssen EU-Bürger und Unternehmen also davon ausgehen, dass US-Services ab sofort als nicht datenschutzkonform gelten. Wer auf Nummer sicher gehen will, sollte sich also nach Alternativen umsehen und den Schutz besonders sensibler Daten in die eigene Hand nehmen.
Für ownCloud-User ändert sich: Nichts
Auch nach dem Cloud Act müssen sich ownCloud-User nach wie vor nicht um die Sicherheit ihrer Datentransfers sorgen. Durch die Verbindung von Servern an mehreren geografischen Standorten zu einer einzigen Lösung, wird eine nahtlose Zusammenarbeit über Landesgrenzen und in verschiedenen Rechtsräumen möglich. Dieses „Federated File Sharing” gewährleistet eine reibungslose Dateifreigabe über mehrere eigene Cloud-Server hinweg. Sicherheit, Kontrolle und die Attributierung des ursprünglichen Servers können so definiert werden, wie es die eigene IT-Abteilung festlegt. So verbleibt etwa die jeweilige Masterdatei immer auf dem ursprünglichen eigenen Cloud-Server.
Der Schlüssel für all diese Funktionen sind private oder On-Premise-Cloud-Lösungen, bei denen die Daten immer auf Ihren eigenen Servern verbleiben, aber der User nicht auf den Komfort einer Public Cloud verzichten muss. Das Ergebnis ist die volle Kontrolle über die eigenen Daten und vollständige Sicherheit vor den Beschränkungen des Cloud Act und möglicherweise noch folgenden Abkommen.