:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Rechtslage zwischen EU- und US-Recht Lösungsansätze zu CLOUD Act und DSGVO
Der CLOUD Act stellt das nächste Kapitel der schwierigen Beziehung zwischen den USA und der EU in datenschutzrechtlichen Fragen dar. Das Gesetz regelt den Zugriff auf in der EU-gespeicherte personenbezogene Daten von US-Bürgern und ermöglicht gleichzeitig den Zugriff auf Daten von EU-Bürgern in den USA. Betroffene Unternehmen sind jetzt entweder gezwungen gegen die DSGVO oder den CLOUD Act zu verstoßen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Dieses Jahr jähren sich die Ereignisse um den 11. September 2001 zum 17. Mal. Infolge der Angriffe auf New York und Washington trat in den USA der sog. Patriot-Act in Kraft. Er verpflichtet u.a. Unternehmen zur Herausgabe von Daten an US-Behörden, wenn diese zu strafrechtlichen Ermittlungen benötigt werden. Eine solche Aufforderung erging innerhalb eines Verfahrens im Rahmen der Drogenkriminalität an das US-Unternehmen Microsoft. Da die in Frage stehenden Daten in Irland gespeichert waren, verweigerte Microsoft die Herausgabe mit der Begründung, dabei gegen irisches Datenschutzrecht zu verstoßen. Das irische Datenschutzrecht sah eine Herausgabe von Daten nur für den Fall vor, dass Rechtshilfeabkommen zwischen dem ersuchenden Land und Irland bestanden, was im Falle der USA nicht der Fall war. Der sich daran anschließende Rechtsstreit zwischen den USA und Irland vor dem US-Verfassungsgericht (Supreme Court) wurde für erledigt erklärt, weil die USA sich mit einem gesetzgeberischen Trick behalfen.
Die US-Legislative erließ den sog. CLOUD Act. Dabei steht CLOUD für “Clarifying Lawful Overseas Use of Data”. Geregelt wird also der rechtmäßige Umgang mit außerhalb der USA gespeicherten Daten. Er verpflichtet Unternehmen wie Microsoft, grundsätzlich dem US-Recht zu folgen und ermöglicht es US-Behörden Zugriff auf in der EU-gespeicherte personenbezogene Daten von US-Bürgern zu nehmen. Gleichzeitig ermöglicht der CLOUD Act den Zugriff auf Daten von EU-Bürgern in den USA. Letztlich zwingt der CLOUD Act Unternehmen also sich zu entscheiden, ob gegen US-Recht oder das Recht desjenigen Staates verstoßen werden soll, innerhalb dessen die Daten gespeichert sind oder dessen Staatsangehöriger der Bürger ist, dessen Daten in den USA untersucht werden sollen. Der CLOUD Act mach die Datenherausgabe zudem nicht davon abhängig, ob zwischen dem betroffenen Land und den USA ein Rechtshilfeabkommen besteht. Das Besondere am CLOUD Act: Er wirkt auch rückwirkend und regelte damit auch den Fall Microsoft.
:quality(80)/images.vogel.de/vogelonline/bdb/1381700/1381774/original.jpg "Cloud Act: neues US-Gesetz höhlt Datenschutz aus. (Mario Piperni / Flickr / CC BY-ND 2.0)")
Die USA verschärfen Überwachung von Internet-Diensten
Der lange Arm der USA - Neues Cloud-Gesetz in Kraft
Rechtliches Problem
Seit dem 25.05.2018 gilt innerhalb der EU die DSGVO. Diese regelt in Artikel 48 den Fall eines Herausgabeverlangens durch Behörden und andere staatliche Stellen eines Drittlandes. Danach dürfen solche Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen (Mutual Legal Assistance Treaty – MLAT) oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat besteht.
Bei der Auslegung der DSGVO können deren Erwägungsgründe als Auslegungshilfe herangezogen werden. Erwägungsgrund 115 erklärt, dass die Übermittlung von Daten deshalb von einem Rechtshilfeabkommen abhängig gemacht wird, weil auf diesem Wege gewährleistet werden kann, dass das Schutzniveau der DSGVO auch bei Datenübermittlungen ins Ausland gewahrt wird.
Die Artikel-29-Datenschutzgruppe erklärte hierzu, dass bei Anfragen von Behörden aus Drittländern zunächst immer die Behörden des EU-Mitgliedstaates zu konsultieren seien. Ein Datenzugriff direkt beim Unternehmen oder eine entsprechende Anfrage verstießen in jedem Fall gegen die DSGVO, weil das Prinzip des Rechtshilfeabkommens durch direkte Anfragen beim Unternehmen ausgehebelt würde.
Im Vergleich zur bisherigen Rechtslage sind die von der DSGVO vorgesehenen Bußgelder deutlich erhöht. Sie können bei bis zu 20 Millionen Euro oder 4% des Jahresumsatzes liegen. Damit stehen Unternehmen vor einem Dilemma: Entweder gegen US-Recht verstoßen und vor US-Gerichten verklagt werden oder die hohen Bußgelder der DSGVO zahlen.
Lösungsansätze für Unternehmen
Eine erste Möglichkeit, sich dem Zwang zu entziehen gegen das eine oder andere Recht zu verstoßen, besteht in der Auslagerung bestimmter Anwendungen. So bietet Microsoft „Office 365 Deutschland“ an, wobei die Office Anwendungen vom Unternehmen T-Systems betrieben werden. Dadurch werden von Office erzeugte Daten lediglich in Deutschland gespeichert, ohne dass Microsoft Zugriff auf die Daten selbst hat. Ob diese Argumentation vor US-Gerichten standhält ist fraglich. Zudem wurden in diesem Zusammenhang Ende August 2018 Datenübermittlungen von T-Systems an eine IP-Adresse außerhalb der EU beobachtet, sodass Vermutungen bestehen, dass Microsoft dem US-Druck doch stattgegeben hat.
:quality(80)/images.vogel.de/vogelonline/bdb/1449500/1449554/original.jpg "Microsoft stellt das Treuhandmodell in Deutschland ein - eine Bestandsaufnahme, wie es in Zukunft weitergeht. (Microsoft)")
Microsoft beerdigt seine Deutschland-Cloud
Treuhandmodell am Ende - die Deutsche Cloud lebt aber
Der CLOUD Act selbst sieht die Möglichkeit vor, entsprechende Datenanfragen der US-Behörden direkt zu beantworten. Diese Möglichkeit besteht aber zufolge des CLOUD Act nur, wenn zwischen den USA und anderen Staaten Vereinbarungen (sog. „Executive Agreements“) bestehen, wonach direkte Anfragen von US-Behörden auf Datenherausgabe an ein Unternehmen im Partnerland gestattet sind. In diesem Fall haben betroffene US-Unternehmen unter bestimmten weiteren Voraussetzungen die Möglichkeit, Beschwerde gegen die herausgabeverlangende Behörde einzulegen. Hierbei können dann gemäß der sog. „Comity Analysis“ argumentieren, dass die Daten keinen US-Bürger oder in den USA lebenden sonstigen Staatsangehörigen betreffen und zudem das Datenschutzrecht des betreffenden EU-Landes verletzen.
Allerdings besteht ein solches Executive Agreement, das überhaupt erst die Voraussetzung für die Möglichkeit der Einlegung einer Beschwerde gegen ein Herausgabeverlangen darstellt, derzeit weder mit der EU noch mit Deutschland. Auch ist unklar, ob die USA überhaupt bereit sein werden, ein solches Executive Agreement mit der EU abzuschließen. Unternehmen müssen also abwarten, wie sich die Verhandlungen zwischen der EU und den USA diesbezüglich entwickeln.
Fazit
Wie viele Aspekte der Datenübermittlung zwischen USA und EU, ist auch die Übertragung von Daten bei Anfragen von US-Behörden kompliziert und ungeklärt. Letztlich bleibt Unternehmen aktuell vor allem zu raten die Rechtsentwicklung genau zu beobachten und darauf zu achten, dass Daten in verschlüsselter Form gespeichert werden, denn der CLOUD Act bietet zwar eine Rechtsgrundlage für Herausgabeverlangen von US-Behörden, nicht aber für eine Entschlüsselung von Daten.
Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learninganbieter für Digitalisierung & Recht.
(ID:45604277)
:quality(80)/p7i.vogel.de/wcms/4b/67/4b673b566a04e24e8593a9ccbfd65c23/0110764137.jpeg "Durch die Verschlüsselung von Daten, bevor diese in der Cloud gespeichert werden, bewahren sich Unternehmen die vollständige Datenautonomie und gewährleisten so die Einhaltung der DSGVO, unabhängig vom verwendeten Cloud-Anbieter. (Bild: estherpoon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/d6/ead64b690344d5ad20d205ce46580fc1/0110872185.jpeg "Die bloße Gefahr einer Datenübermittlung in ein Drittland stellt noch keine Drittlandsübermittlung im Sinne der DSGVO dar, meinen die Vertreter der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. (Bild: peterschreiber.media - stock.adobe.com)")