Finanzen Cloud-Act und DSGVO – mehr als 3 Jahre Ringen um Rechtssicherheit und Compliance

15:00  08 juni  2021
15:00  08 juni  2021 Quelle:   t3n.de

Oracle startet ARM-Instanzen, Unterstützung für armbasierte App-Entwicklung

 Oracle startet ARM-Instanzen, Unterstützung für armbasierte App-Entwicklung Oracle am Dienstag kündigte an, dass das erste armbasierte Berechtigungsangebot, OCI Ampere A1-Compute, auf Oracle Cloud Infrastructure (OCI) verfügbar ist.

Ist der US-Cloud-Act mit der DSGVO vereinbar? Nach mehr als drei Jahren des Ringens um Compliance und Datensicherheit wirft unser Gastautor einen Blick auf die Lage – und versucht, offene Fragen zu beantworten.

Ist der US-Cloud-Act mit der DSGVO vereinbar?  © gotphotos / shutterstock Ist der US-Cloud-Act mit der DSGVO vereinbar? Am 23. März 2018 wurde ein US-amerikanisches Gesetz aus der Taufe gehoben, das den Zugriff der Behörden auf gespeicherte Daten im Internet regeln soll: der Cloud-Act. Das ausgesprochene Ziel des Gesetzes war es, Strafverfolgungsbehörden ein schlagkräftiges Instrument an die Hand zu geben, um organisierte Kriminalität sowie Terrorismus effektiv bekämpfen zu können. Der Cloud-Act erlaubt es US-Behörden sowie sich im US-Ausland befindlichen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten.

Das Gesetz verpflichtet alle Cloud-Anbieter mit Hauptsitz in den USA, den Anfragen der jeweiligen Behörde stattzugeben. Dadurch erhalten sie einen Einblick in alle in der Cloud gespeicherten Daten der verdächtigen Personen. Da die angeforderten Informationen jedoch auch personenbezogene Daten beinhalten, äußern Datenschützer immer wieder Kritik am Cloud-Act. Vor allem die Gefahr, dass unbescholtene Unternehmen und Bürger in der EU ohne Grund ins Fadenkreuz staatlicher Akteure geraten könnten, hinterließ einen faden Beigeschmack an dem Gesetzeswerk.

Oracle in Brasilien

 Oracle in Brasilien Der ERP-Marktanteil von Oracle hat seine Präsenz in der Unternehmensressourcenplanung (ERP) im vergangenen Jahr rücklaut. Schulfundação Getúlio Vargas (FGV). © Getty Images / IStockphoto Enterprise Resource Planung ERP-Konzept. Geschäftsmann bietet ERP-Geschäftsverwaltungssoftware, um Geschäftsdaten über Kunden, HR, Produktion, Logistik, Finanz- und Marketing zu sammeln, zu lagern, zu verwalten und zu interpretieren.

Ebenfalls interessant: Eine sichere Cloud für alle Branchen? Confidential Computing macht’s möglich

Compliance gewährleisten ist nicht optional, sondern die Basis für Vertrauen

Viele Firmen, besonders in der EU, machten sich in der Folge große Sorgen um die Rechtssicherheit. In Zeiten von Digitalisierung, Cloud und Big Data kann sich kaum ein Unternehmen dem Trend zur Auslagerung ihrer Daten in die Cloud erwehren. Und das hat einen guten Grund: Die ständige und ortsunabhängige Verfügbarkeit von geschäftsrelevanten Daten ist ein notwendiger Baustein des Erfolgs im internationalen Wettbewerb um Kunden.

Wer hier nicht mitzieht, hat das Nachsehen und wird über kurz oder lang von der Konkurrenz aus dem Markt verdrängt. Ganz nach dem Motto „wer zu spät kommt, den bestraft das Leben“ überbieten sich die Marktführer aller Branchen mit neuen Innovationen und neuen Nutzungsmöglichkeiten der Vorzüge ihrer Cloud-basierten Dienstleistungen. Dieses Wettrennen um die Nutzergunst hat der Digitalisierung einen beachtlichen Schub verpasst und Unternehmen wie Privatnutzer in die Lage versetzt, das volle Leistungsspektrum des Internets in Geschwindigkeit und Produktivität umzumünzen.

Google Cloud stellt Datenharents für Financial Services auf

 Google Cloud stellt Datenharents für Financial Services auf Google Cloud startet eine neue Plattform für finanzielle Dienste namens datashare, die speziell für Kapitalmärkte und das größere E-Ökosystem von Finanzdienstleistungen erstellt wurde.

Da sich die meisten (und größten) Cloud-Anbieter in den USA befinden, machen sich nun viele Unternehmen Sorgen um ihre Kundendaten. Da sich diese oft überregional und meist auf Servern in den USA befinden oder für die Verarbeitung auf US-Server übermittelt werden, fallen sie alle in den Geltungsbereich des Cloud-Acts. Selbst wenn die Daten in der EU abliegen oder verarbeitet werden, gilt: Gehört der betreffende Server einem US-amerikanischen Unternehmen oder einer Tochtergesellschaft an, müssen die Daten auf Anfrage von US-Behörden freigegeben werden. Dieser Umstand lässt bei vielen Unternehmen die Alarmglocken läuten. Viele fragen sich nun: „Mache ich mich strafbar, wenn ich die personenbezogenen Daten meiner Kunden und Geschäftspartner bei einem US-Dienst speichere oder verarbeiten lasse? Ist die DSGVO überhaupt mit dem Cloud-Act unter einen Hut zu bringen?“

Serverless Computing hat sich im letzten Jahr verdreifacht

  Serverless Computing hat sich im letzten Jahr verdreifacht Serverless Computing hat bei Organisationen jeder Größe an Zugkraft gewonnen, von Cloud-nativen Startups bis hin zu großen Unternehmen. Eine aktuelle Studie beleuchtet den Trend hin zu Serverless Angeboten wie AWS Lambda, Azure Functions oder Google Cloud Functions. Gibt es wirklich so etwas wie „Serverless Computing“? Natürlich nicht – es ist immer irgendwo ein Server im Spiel.

Diese Sorgen sind durchaus berechtigt, denn mit dem Ende des EU-US Privacy-Shields (Schrems II Urteil des EuGH) fehlt nun jegliche Rechtssicherheit beim Datenaustausch zwischen EU und den USA. Nun ist aber ein vertrauensvolles Kundenverhältnis und rechtskonforme Auftragsdatenverarbeitung der Grundstein für zukünftige Geschäfte und das damit verbundene Wachstum der eigenen Firma. Die Frage nach möglichen Compliance-Problemen ist somit berechtigt und sollte von jedem Datenschutzbeauftragten gestellt werden. Die Antwort indes ist nicht ganz so einfach und benötigt einer tiefergreifenden Betrachtung, wie US-Firmen mit dieser Problematik im Tagesgeschäft umgehen.

Nicht jede Behördenanfrage führt automatisch zu einer Datenfreigabe

Der Cloud-Markt ist hart umkämpft, schließlich handelt es sich dabei um eine Schlüsseltechnologie der Zukunft. Da sich praktisch alle Marktführer in den USA befinden, betreffen die Regelungen rund um den Cloud-Act vor allem die Schwergewichte der Branche. Es ist also nicht verwunderlich, dass der größte Widerstand gegen eine drohende Staatswillkür von Seiten der Cloud-Platzhirsche kommt – also direkt aus den USA.

Tencent Cloud fügt drei asiatische Rechenzentren hinzu, eines in Frankfurt

 Tencent Cloud fügt drei asiatische Rechenzentren hinzu, eines in Frankfurt © ZDNET Tencent Cloud hat in drei asiatischen Märkten und Deutschland vier Rechenzentren hinzugefügt, da es in diesem Jahr um 30% um 30% zusammenfasst wird. Der Umzug drückt seinen Network Footprint auf 27 Regionen und 66 Verfügbarkeitszonen weltweit. Tencent sagte Donnerstag, es fügte zweiter Verfügbarkeitszonen in Bangkok, Frankfurt und Tokio sowie ein Drittel in Hongkong hinzu.

Wer nun befürchtet, dass jeglicher Datensatz auf Servern von Microsoft, Amazon, Apple oder Google automatisch in die Hände der amerikanischen Behörden gelangt, der täuscht sich. Die Tech-Giganten wehren sich nämlich mit allen ihnen zur Verfügung stehenden Mitteln, um die pauschale Herausgabe ihrer Kundendaten an Strafverfolger zu verhindern. Sollte eine Anfrage unberechtigt sein, so landet der entsprechende Einzelfall meist vor einem US-Gericht. Dort müssen die anfragenden Strafverfolger erst stichfeste Beweise vorlegen, dass es sich beim jeweiligen Kunden auch wirklich um einen Angehörigen der organisierten Kriminalität oder einen Terrorverdächtigen handelt.

Die Daten werden erst dann freigeben, wenn die anfragende Behörde die geltenden rechtlichen Verfahren befolgt. Nur wenn der Cloud-Anbieter rechtlich dazu gezwungen wird, erhalten die Strafverfolger den Key zu den verschlüsselten Informationen. Außerdem laufen aktuell Klagen von allen großen Anbietern, die auf eine bessere Transparenz und Auskunftsmöglichkeit für deren Kunden abzielen; denn dem Cloud-Act zufolge ist es US-Anbietern nicht gestattet, deren Kunden über die Herausgabe ihrer Daten in Kenntnis zu setzen.

Auch die grundsätzliche Ablehnung von behördlichen Anfragen war in jüngster Vergangenheit sehr erfolgreich und lässt europäische Firmen und Privatnutzer optimistisch in die Zukunft blicken. So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem diese vor einem US-Gericht von Microsoft angefochten wurden.

Tencent Cloud eröffnet Rechenzentrum in Frankfurt

  Tencent Cloud eröffnet Rechenzentrum in Frankfurt Der chinesische Tech-Riese Tencent Cloud hat neue Rechenzentren in Bangkok, Hongkong, Tokio und Frankfurt gestartet und erhöht damit seine globale Cloud-Abdeckung auf 27 Regionen und 66 Verfügbarkeitszonen. Tencent Cloud will mit vier Rechenzentren in drei asiatischen Märkten und Deutschland seine globale Abdeckung in diesem Jahr um 30 Prozent erhöhen. Tencent teilte am Donnerstag mit, dass zwei neue Verfügbarkeitszonen in Bangkok, Frankfurt und Tokio sowie eine dritte in Hongkong hinzugekommen sind.

Europäische Cloud als sichere Alternative: Wir müssen unsere eigenen Strukturen in Europa stärken

Wenn wir den Datenschutz unserer europäischen Mitbürger wirklich ernst nehmen, müssen wir die eigenen Strukturen und Märkte stärken. Doch dafür genügt es nicht, dass die Politik wohlklingende Absichtserklärungen für die ferne Zukunft formuliert. Wir brauchen eine konkurrenzfähige und innovative IT-Industrie in Europa, angefangen bei innovativen Startups bis hin zu etablierten Playern, die der US-Konkurrenz auf Augenhöhe begegnen können.

Es gibt bereits vielversprechende Projekte, wie beispielsweise Gaia-X, das als Gegengewicht zur US-Konkurrenz dienen soll und sich das Ziel auf die Fahnen geschrieben hat, die europäische Cloud zum Erfolgsprojekt werden zu lassen.

Die europäischen Gründungsmitglieder, worunter sich auch viele namhafte deutsche Konzerne befinden, verfolgen mit Gaia-X folgende Ziele: Offenheit, Transparenz und europäische Anschlussfähigkeit als Basis für ein europäisches „digitales Ökosystem“, das gleichzeitig wettbewerbsfähig ist und mit den europäischen Werten im Einklang steht.

Gerade beim Thema Datenschutz wird stark auf Confidential Computing (auch Trusted Computing genannt) gesetzt. Ursprünglich versteht man unter Confidential Computing den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dabei werden Daten nur innerhalb eines sicheren Bereichs –auch Enklave genannt – oder auch „Trusted Execution Environments“ (TEE) verarbeitet. Dies lässt sich sowohl auf Prozessorebene realisieren – wie es Google, Microsoft, Intel, IBM und Co vormachen – oder eben, wie im Fall des Confidential oder Sealed Computings, auf Server-Ebene. Das heißt, die Datenverarbeitung findet auf geschützten Server-Architekturen statt, die Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich auf diese Weise verhindern. Somit ist Confidential Computing eine der mächtigsten Waffen im Kampf gegen Industriespionage und Cyberkriminalität und schützt darüber hinaus vor der Neugier ausländischer Behörden.

An Ideen und technologischen Konzepten mangelt es uns in Europa wahrlich nicht. Doch am Ende entscheidet der Nutzer über den Erfolg oder Misserfolg solcher Initiativen. Es ist daher von existenzieller Wichtigkeit, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen. Doch dafür müssen wir noch viel Überzeugungsarbeit leisten. Der Sachverstand und der Erfindergeist haben uns in Europa noch nie gefehlt. Nun gilt es, die Fortschritte und Meilensteine der eigenen IT-Industrie gut und verständlich zu produktisieren und zu kommunizieren

Jörg Marcus Horn ist Chief-Product-Officer bei dem Münchner Cloud- und Datenraum-Anbieter uniscon GmbH und bereits seit mehr als 20 Jahren im IT-Bereich tätig. Er verantwortet die Weiterentwicklung der Secure-Content-Collaboration-Platform idgard®.

-Bericht: Wo ist der Wert von Cloud Investments? .
über den Brett, Geschäfts- und Technologieführer aus einer Reihe von Sektoren sind sich einig, dass Cloud-Computing-Tools für das Wachstum eines Unternehmens entscheidend sind, eine neue PWC-Umfrage zeigt. Es sagte jedoch mehr als die Hälfte, sie realisieren jedoch nicht wesentlich einen wesentlichen Wert aus ihren Cloud-Investitionen.

usr: 5
Das ist interessant!