‍

Clarifying Lawful Overseas Use of Data Act

‍

Der Cloud Act und Microsoft 365: Was Unternehmen in Deutschland wissen müssen

In der digitalen Ära, in der Daten das neue Gold sind, gewinnt die Frage, wer auf diese Daten zugreifen kann und unter welchen Umständen, zunehmend an Bedeutung. Ein Gesetz, das in diesem Zusammenhang besonders für Unternehmen, die Cloud-Dienste nutzen, relevant ist, ist der US-amerikanische Cloud Act. Dieser Artikel beleuchtet, was der Cloud Act genau ist, wie er sich auf die Nutzung von Microsoft 365 in Deutschland auswirkt und warum eine professionelle IT-Beratung in diesem Kontext unverzichtbar ist.

Was ist der Cloud Act?

Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Bundesgesetz, das im März 2018 verabschiedet wurde. Es erlaubt US-Behörden, von in den USA ansässigen Unternehmen die Herausgabe von elektronischen Daten zu verlangen, und zwar unabhängig davon, ob diese Daten auf Servern in den USA oder im Ausland gespeichert sind. Ziel des Gesetzes ist es, den Zugriff auf digital gespeicherte Informationen im Rahmen von strafrechtlichen Ermittlungen zu erleichtern und zu beschleunigen.

Der Cloud Act erweitert somit die Befugnisse US-amerikanischer Behörden und betrifft nicht nur US-amerikanische Unternehmen, sondern alle Unternehmen, die Dienste in den USA anbieten oder von dort aus operieren. Das schließt viele der weltweit führenden Cloud-Anbieter ein, darunter auch Microsoft.

Auswirkungen des Cloud Act auf die Nutzung von Microsoft 365 in Deutschland

Microsoft 365, eine umfangreiche Suite von Office-Anwendungen, die in der Cloud gehostet werden, wird von Unternehmen weltweit genutzt, einschließlich zahlreicher Firmen in Deutschland. Die Anwendungsbereiche reichen von E-Mail- und Kalenderdiensten über Dateispeicherung und -freigabe bis hin zu Kommunikationstools und Anwendungen für die Zusammenarbeit.

Durch den Cloud Act entstehen potenzielle Datenschutzbedenken für deutsche Unternehmen, die Microsoft 365 nutzen. Da Microsoft ein US-amerikanisches Unternehmen ist, könnten theoretisch US-Behörden Zugang zu Daten deutscher Unternehmen verlangen, die über Microsoft 365 verarbeitet und gespeichert werden. Dies wirft Fragen bezüglich der Einhaltung der Datenschutz-Grundverordnung (DSGVO) auf, die in der Europäischen Union (EU) und somit auch in Deutschland gilt.

Die DSGVO legt strenge Anforderungen an den Schutz personenbezogener Daten fest und beschränkt die Übertragung solcher Daten außerhalb der EU, es sei denn, es wird ein angemessenes Datenschutzniveau gewährleistet. Der Cloud Act steht potenziell in Konflikt mit diesen Bestimmungen, da er es US-Behörden ermöglicht, auf Daten zuzugreifen, die außerhalb der USA gespeichert sind, ohne dass die strengen Voraussetzungen der DSGVO eingehalten werden müssen.

Die Rolle von IT-Dienstleistern bei der Beratung zum Cloud Act

Angesichts der Komplexität der rechtlichen Rahmenbedingungen ist es für Unternehmen essenziell, sich professionell beraten zu lassen, insbesondere wenn es um den Einsatz von Cloud-Diensten wie Microsoft 365 geht. Gute IT-Dienstleister können hier eine Schlüsselrolle spielen. IT-Dienstleister können und dürfen weder juristisch beraten, noch können Sie derart komplexe Themen final beantworten. IT-Dienstleister, die sich mit Datenschutz und Informationssicherheit intensiv beschäftigen, verfügen aber über das erforderliche Fachwissen aus Technik und Datenschutz, um das Thema auf die Technik, verschiedene praktische Szenarien etc. herunterzubrechen zu können. Fragestellungen, wie "Was bedeutet das konkret für mein Unternehmen und meine Daten bei folgender Annahme" können beantwortet werden. Unternehmen können so hinsichtlich des Cloud Act und der DSGVO mit einer guten Entscheidungsbasis ihre Datenstrategien entsprechend anpassen.

Ein kompetenter IT-Dienstleister kann Unternehmen dabei unterstützen, zu beurteilen, ob der Cloud Act ein Kriterium ist und evtl. die Risiken, die mit dem Cloud Act verbunden sind abzuschätzen. Dazu gehört die Beratung über datenschutzfreundliche Konfigurationen von Microsoft 365, die Implementierung zusätzlicher Sicherheitsmaßnahmen wie Verschlüsselung, um den Zugriff auf sensible Daten zu beschränken, und die Entwicklung von Strategien für die Datenspeicherung, die sowohl den geschäftlichen Anforderungen als auch den rechtlichen Vorgaben gerecht werden.

Fazit

Der Cloud Act sollte bei der Betrachtung der Datenschutz-Risiken mit bedacht werden. Unternehmen, die Microsoft 365 nutzen, sollten in Bezug auf den Datenschutz und die Datensicherheit das Thema nicht außer Acht lassen. Dieses US-Gesetz, das amerikanischen Behörden weitreichenden Zugriff auf im Ausland gespeicherte Daten ermöglicht, kann potenziell in Konflikt mit den strengen Datenschutzanforderungen der Europäischen Union, insbesondere der Datenschutz-Grundverordnung (DSGVO), stehen. Für Unternehmen in Deutschland, die auf Cloud-Services wie Microsoft 365 angewiesen sind, ergibt sich daraus ein komplexes Spannungsfeld zwischen der Notwendigkeit, innovative digitale Werkzeuge zu nutzen, und dem Erfordernis, personenbezogene Daten zu schützen.

Vor diesem Hintergrund ist es unerlässlich, dass deutsche Unternehmen nicht nur die technischen und betrieblichen Vorteile von Microsoft 365 in Betracht ziehen, sondern auch die rechtlichen Implikationen des Cloud Act gründlich bewerten. Dazu gehört die Auseinandersetzung mit Fragen wie der Lokalisierung von Daten, der Zugriffssteuerung und der Verschlüsselung, um nur einige zu nennen. Es geht darum, einen Weg zu finden, der es ermöglicht, von der Cloud zu profitieren, ohne dabei Kompromisse beim Datenschutz einzugehen.

Hier kommt die Rolle kompetenter IT-Dienstleister ins Spiel. Diese Experten können nicht nur technische Lösungen anbieten, sondern auch wertvolle Beratung leisten, um die Compliance mit dem Cloud Act und der DSGVO sicherzustellen. Sie können Unternehmen dabei unterstützen, die Risiken zu minimieren, indem sie über Best Practices im Bereich Datenschutz informieren, Hilfestellungen bei der Implementierung von Sicherheitsmaßnahmen geben und Strategien für eine rechtlich abgesicherte Datenspeicherung und -verarbeitung entwickeln.

In der Praxis bedeutet dies, dass Unternehmen, die Microsoft 365 nutzen, aktiv mit ihren IT-Dienstleistern zusammenarbeiten sollten, um Datenschutzkonzepte zu erstellen, die sowohl den geschäftlichen Anforderungen als auch den rechtlichen Rahmenbedingungen gerecht werden. Dies umfasst die Prüfung und Anpassung der Datenflüsse, die Evaluierung der Datenhaltung und -verarbeitung sowie die kontinuierliche Überwachung und Anpassung an neue rechtliche und technologische Entwicklungen.

Abschließend lässt sich sagen, dass der Cloud Act und seine Auswirkungen auf die Nutzung von Microsoft 365 in Deutschland ein komplexes Thema darstellen, das eine sorgfältige Navigation erfordert. Durch die Zusammenarbeit mit erfahrenen IT-Dienstleistern und die Implementierung durchdachter Datenschutz- und Sicherheitsmaßnahmen können Unternehmen jedoch einen Weg finden, der es ihnen ermöglicht, die Vorteile der Cloud voll auszuschöpfen, ohne dabei den Schutz sensibler Daten zu vernachlässigen. In einer Welt, in der Daten immer mehr zum zentralen Bestandteil geschäftlicher und gesellschaftlicher Prozesse werden, ist dies eine Aufgabe von höchster Priorität.

‍

‍

Grüße.

Felix Knote

‍

‍