US-Clouds: Ein Risiko für den Datenschutz?
12. Mai 2021
Die Debatte um die Nutzung von US-Cloud-Diensten nimmt Fahrt auf – und sie betrifft auch Schweizer Unternehmen direkt. Der Hintergrund: Sowohl europäische als auch schweizerische Datenschützer warnen zunehmend vor den Risiken, die der Einsatz solcher Dienste für die Sicherheit von Personendaten mit sich bringt.
Schweizer Recht und DSGVO – doppelte Verpflichtung
Schweizer Unternehmen müssen nicht nur das nationale Datenschutzgesetz (Schweizer DSG) einhalten. Da rund 20 % der in der Schweiz verarbeiteten Personendaten von EU-Bürgern stammen, gilt auch die europäische Datenschutz-Grundverordnung (DSGVO). Das bedeutet: Wer Daten von EU-Bürgern verarbeitet, muss sich an deren strenge Vorgaben halten.
Datenübermittlung in die USA – klare Position der EU
Der Europäische Gerichtshof hat mit dem Schrems-II-Urteil entschieden: Die USA bieten kein angemessenes Datenschutzniveau. In der Folge untersagen EU-Datenschützer bereits die Nutzung bestimmter US-Cloud-Services wie Mailchimp, wenn dabei personenbezogene Daten in den USA verarbeitet werden. In der Schweiz ist die Rechtslage noch nicht abschliessend geklärt – doch der Eidgenössische Datenschutzbeauftragte (EDÖB) empfiehlt eine sorgfältige Risikoanalyse.
CLOUD Act – Zugriff auch auf Daten in Europa oder der Schweiz
Ein entscheidender Punkt: Durch den US-amerikanischen CLOUD Act können US-Behörden auch dann auf Daten zugreifen, wenn diese physisch in der EU oder in der Schweiz liegen – und das ohne Information der Betroffenen. Das verstösst aus europäischer Sicht gegen die DSGVO und wirft massive Fragen zur Datensicherheit auf.
Verschlüsselung – nur bedingt wirksam
Zwar kann eine Ende-zu-Ende-Verschlüsselung helfen, unberechtigte Zugriffe zu verhindern. Doch sobald Daten in der Cloud verarbeitet werden müssen, liegen sie entschlüsselt vor und sind damit einsehbar. Nur bei reiner Speicherung („data at rest“) bleibt die Verschlüsselung wirksam – für viele Anwendungsfälle ist das jedoch unpraktikabel.
Politische Brisanz
Neben der Strafverfolgung zeigen Beispiele aus den USA, dass Überwachungsgesetze auch politisch genutzt werden können. So wurden in der Vergangenheit Daten von Journalisten und politischen Gegnern abgefragt. Das unterstreicht die Sensibilität des Themas und die wachsende Skepsis europäischer Datenschützer gegenüber US-Cloud-Anbietern.
Die Vorteile der Private Cloud
Eine Private Cloud bietet Unternehmen eine kontrollierte, dedizierte Infrastruktur – oft in einem lokalen oder nationalen Rechenzentrum – und damit entscheidende Vorteile gegenüber Public Clouds von US-Anbietern:
- Rechtssicherheit: Speicherung und Verarbeitung in der Schweiz oder der EU, unter Einhaltung der lokalen Datenschutzgesetze.
- Volle Datenkontrolle: Keine extraterritorialen Zugriffsrechte wie beim CLOUD Act.
- Höhere Sicherheit: Individuell anpassbare Sicherheits- und Zugriffsrichtlinien.
- Vertraulichkeit: Keine „Gag Orders“ oder verdeckte Behördenanfragen von ausserhalb der Rechtsordnung.
- Integration & Flexibilität: Anpassbar an bestehende IT-Strukturen und Compliance-Anforderungen.
Sichere Wege für Ihre Daten
Die Diskussion um US-Cloud-Dienste zeigt: Wer sensibel mit personenbezogenen Daten umgeht, sollte sich nicht allein auf Versprechen internationaler Anbieter verlassen. Eine Private Cloud in der Schweiz oder der EU kann das Risiko von Datenschutzverletzungen deutlich reduzieren – und gleichzeitig Leistung, Flexibilität und Kontrolle bieten.
