Cloud
19.10.2021
Zukunft der Cloud

Die Cloud zwischen dem CLOUD Act und GAIA-X

Shutterstock / gotphotos
Unternehmen stochern beim Umgang mit Daten in der Cloud oftmals im juristischen Nebel.
Datenschutz in der EU und der Umgang damit in den USA – das passt nicht gut zusammen. Abkommen und Gesetze wie Patriot Act, CLOUD Act und Privacy Shield stehen auf der einen, die Datenschutz-Grundverordnung (DSGVO) auf der anderen Seite. Dazu kommt der Europäische Gerichtshof (EuGH), der regelmäßig die eine oder andere Vereinbarung für rechtswidrig erklärt. Unternehmen fällt es deshalb zunehmend schwer zu überblicken, was sie mit Daten machen dürfen und was nicht. Langfristig könnte das Projekt GAIA-X ein Weg aus der Misere sein. Doch der Reihe nach.

Das Aus für Privacy Shield

Der Corona-bedingte Rückzug zahlreicher Arbeitnehmer ins Homeoffice hat der Cloud-Nutzung ordentlich Auftrieb verschafft. Das stellt viele Arbeitgeber vor ein Dilemma. Denn seit dem Urteil des Europäischen Gerichtshofs in Luxemburg vom Sommer 2020 ist das Privacy-Shield-Abkommen zwischen der EU und den USA unwirksam. Das wiederum hat zur Folge, dass die Nutzung amerikanischer Cloud-Services juristisch in eine Grauzone rückt, oder genauer gesagt in ein Vakuum, da nun keinerlei Rechtsgrundlage mehr besteht.
„Die Frage lautet, wie kann man als Unternehmen Daten datenschutzkonform in die USA übermitteln“, erläutert Hajo Rauschhofer, Fachanwalt für IT-Recht. „Außerhalb der EU ist dies nur zulässig, wenn man in ein sicheres Drittland exportiert, weil dort ein angemessenes Datenschutzniveau besteht, oder Standarddatenschutzklauseln verwendet, deren Einhaltung sichergestellt werden kann. Zu den sicheren Drittländern existiert eine entsprechende Liste bei der EU-Kommission. Die USA gelten nicht als sicheres Drittland.“ Das Urteil besagt im Kern, dass die Übertragung personenbezogener europäischer Daten in die USA den Anforderungen der DSGVO nicht entspricht. Die europäischen Datenschutzstandards sind einzuhalten und durchzusetzen. Das ist gegenüber einem US-Unternehmen nicht möglich. Was sollen die hiesigen Unternehmen also tun? Wer nicht über geeignete Schutzmaßnahmen verfügt, soll laut dem European Data Protection Board (EDPB) den Cloud-Service aussetzen oder einstellen. Unternehmen haben in dieser rechtlichen Situation also die Wahl, die DSGVO zu verletzen, oder auf die Cloud-Services von US-Anbietern zu verzichten. Beides ist kein gangbarer Weg.
„Bei Privacy Shield handelte es sich um eine informelle Absprache zwischen der EU und den Vereinigten Staaten mit der Zusicherung der US-Regierung, den Angemessenheitsbeschlüssen zu entsprechen und Sicherheit beim Datenschutz zu gewährleisten“, so Rauschhofer. „Aber auch da hat sich herausgestellt, dass die Datenschutzkonformität nicht gewahrt wird. Der EuGH hat den Privacy Shield daher mit sofortiger Wirkung für unwirksam erklärt – mit der Folge, dass der Datenexport in die USA seitdem problematisch ist.“

Rechtsunsicherheit durch Cloud Act

Das Aus für den Privacy Shield ist nicht das Einzige, was die datenschutzrechtlichen Beziehungen zu den USA kompliziert gestaltet. Im Windschatten der Diskussionen haben die USA den CLOUD Act verabschiedet. CLOUD Act steht für Clarifying Lawful Overseas Use of Data Act. Er ermöglicht es den US-Behörden, von den Unternehmen Zugang zu den Daten zu fordern – auch dann, wenn sich die Server im Ausland befinden. Das läuft den Anforderungen der DSGVO diametral entgegen. Nach ihr dürfen personenbezogene Daten von EU-Bürgern nicht mehr in die USA gelangen. Das klingt realitätsfern. „Ich kann einem Unternehmen nicht ernsthaft sagen, ihr müsst jetzt euer Geschäftsmodell, das auf dem Datenaustausch mit US-Anbietern fußt, einstellen“, unterstreicht Rauschhofer.
Der CLOUD Act erlaubt Behörden (und Geheimdiensten) den Zugriff auf Daten, die TK-, E-Mail- oder Cloud-Anbieter im Ausland gespeichert haben. Dazu kommt: Der CLOUD Act betrifft keineswegs nur US-Unternehmen, sondern gilt für alle Unternehmen, die der US-Gerichtsbarkeit unterliegen. Der Arm der US-Justiz erreicht auch Unternehmen mit einer Zweigstelle oder einer Tochtergesellschaft in den USA. Einzelne US-Gerichte setzen noch einen drauf: Urteile besagen, dass sich der CLOUD Act sogar auf Nicht-US-Webseiten erstreckt, die in den USA genutzt werden.
„AWS, Microsoft und andere haben Server-Standorte in Europa. Sie sichern zu, sich gegen etwaige Anordnungen zu verteidigen“, führt Hajo Rauschhofer aus. „Man könnte nun der Meinung sein, in Europa zu hosten und sich gegen Anordnungen durch den CLOUD Act zur Wehr zu setzen, sollte ausreichen. In Frankreich hat das ein Gericht jüngst anders gesehen.“ Datenschutzausschüsse legen den Unternehmen nahe, auf europäische Anbieter auszuweichen. Doch die Cloud-Infrastrukturen von Amazon, Microsoft und Google sind eine Klasse für sich und kaum einzuholen.

Ausfahrt Standarddatenschutzklauseln

Die DSGVO regelt in Artikel 48 die Übermittlung von Daten an Behörden und andere staatliche Stellen eines Drittlandes. Sie dürfen nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder ähnliche Übereinkünfte zwischen dem Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Artikel 5 der DSGVO verlangt zudem weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer. „Ich kenne nahezu kein Unternehmen, das nicht in irgendeiner Form Daten in die USA exportiert“, betont Rauschhofer. „Ein solcher Export kann als Grundvoraussetzung allenfalls mithilfe der Standarddatenschutzklauseln und dem weiteren Erfordernis zusätzlicher Garantien erfolgen.“
Früher war es so: Wenn Unternehmen Daten in ein Drittland übertrugen, das nicht als sicheres Drittland galt, dann konnten sie mit Standarddatenschutzklauseln arbeiten, die vertraglich sicherstellten, dass die Rechte der informationellen Selbstbestimmung der betroffenen EU-Bürger nicht verletzt werden. Das Problem im Moment ist aber, dass die meisten Datenschutzbehörden sagen, das reicht überhaupt nicht aus. Man könne sich nicht vorstellen, wie diese Garantien wirksam eingehalten werden sollen, Stichwörter  Patriot Act, CLOUD Act et cetera.
„Microsoft und andere haben sich in Ergänzungen zu den Standarddatenschutzklauseln verpflichtet, gegen Anordnungen von Behörden vorzugehen. Durch den Wechsel der US-Administration ist vielleicht denkbar, dass die EU mit den USA ein Abkommen hinbekommt“, hofft Rauschhofer.
Die EU-Kommission stellt Standardvertragsklauseln oder, wie sie neuerdings heißen, Standarddatenschutzklauseln zur Verfügung, die Unternehmen die Umsetzung des Datenschutzes erleichtern sollen. In den Klauseln sind die nötigen Anforderungen für die DSGVO-konforme Übermittlung personenbezogener Daten in Drittländer geregelt. Unternehmen können ihre Verträge, etwa mit Cloud-Providern, damit ergänzen. Ob das ausreicht, bleibt ungewiss.

Der europäische Weg: Gaia-X

Die Verhältnisse in den USA machen europäischen Unternehmen das Leben schwer. Denn der rechtlich vorgezeichnete Weg, auf Datenübertragungen in die USA zu verzichten und auf europäische Anbieter zu setzen, ist kaum umzusetzen. Ein eventuelles Nachfolge-Abkommen für Privacy Shield dürfte wie seine Vorgänger vor Gericht scheitern. Klare rechtliche Verhältnisse sehen anders aus. Am Horizont zeichnet sich jedoch ein Lösungsansatz ab: GAIA-X. Dabei handelt es sich zwar nicht, wie vielfach angenommen, um eine europäische Cloud, dennoch könnten viele Unternehmen von GAIA-X profitieren.
GAIA-X ist ein Projekt von Europa für Europa. Dabei geht es darum, eine europäische Dateninfrastruktur zu entwickeln. „Aus der Vernetzung dezentraler Infrastrukturdienste soll eine Dateninfrastruktur entstehen, die zu einem homogenen, nutzerfreundlichen System zusammengeführt wird, in dem Daten sicher und vertrauensvoll verfügbar gemacht und geteilt werden können“, formuliert das Bundeswirtschaftsministerium (BWMi). Ziel sei eine sichere und vernetzte Dateninfrastruktur, die den höchsten Ansprüchen an digitale Souveränität genüge und Innovationen fördere.
Tabelle:

„Der Startschuss war im Sommer 2019“, berichtet Ronny Reinhardt, Team Lead Business Development beim Cloud-Anbieter Cloud&Heat Technologies mit Sitz in Dresden. „Das Projekt ist im BWMi entstanden und man hat dann schnell Unternehmen mit an Bord geholt. Es ist überführt worden in ein großes Projekt von Unternehmen für Unternehmen, ist also kein staatsgetriebenes Projekt.“ Mit GAIA-X entsteht kein europäischer Cloud-Provider und kein Konkurrenzprodukt zu Hyperscalern wie AWS oder Microsoft. Vielmehr soll GAIA-X Elemente über offene Schnittstellen und Standards vernetzen, um Daten zu verknüpfen und eine Innovationsplattform zu schaffen. Reinhardt betont: „Es ist ein Missverständnis, dass mit GAIA-X ein europäischer Hyperscaler entstehen soll, das ist ganz explizit nicht das Ziel. Es geht eher darum, ein verteiltes Ökosystem zu entwickeln, um mehr digitale Souveränität zu erreichen. Es gibt gemeinsame Spielregeln, Mindeststandards und die Software-Architektur.“
Unter den 22 Gründungsmitgliedern der GAIA-X-Gesellschaft finden sich BMW, Bosch, Fraunhofer-Gesellschaft, Orange, OVH, SAP, Telekom und Siemens. Inzwischen hat GAIA-X mehr als 200 Mitglieder. Dazu zählen auch Unternehmen aus China und den USA wie Huawei, Alibaba, Amazon, Google, Microsoft, Palantir und Salesforce. Sie gelten nicht gerade als Paradebeispiele für die von GAIA-X angestrebten Werte wie Datenschutz, digitale Souveränität und Transparenz. „Unternehmen wie Amazon und Microsoft sind auch dabei“, bestätigt Reinhardt. „Denn es ergibt keinen Sinn, ein solches System zu bauen, wenn man auf Abschottung setzt. Die zentralen Schaltstellen in der Stiftung (GAIA-X AISBL) können jedoch nur von Unternehmen besetzt werden, die ihren Hauptsitz in Europa haben.“ Die Komponenten zum Bau des GAIA-X-Ökosystems sollen ebenso Open Source sein wie die Schnittstellen.
Kai Grunwitz
Geschäftsführer von NTT in Deutschland
NTT
„Ohne das Cloud-Ökosystem GAIA-X werden wir keine digitale Souveränität erreichen“
Kai Grunwitz, Geschäftsführer des IT-Dienstleisters NTT in Deutschland, erklärt im Interview mit com! professional, welche Mehrwerte GAIA-X liefern kann und wie Unternehmen davon profitieren.
com! professional: GAIA-X gilt als so etwas wie die europäische Cloud. Ist das eine Lösung für die Probleme nach dem Privacy-Shield-Aus?
Kai Grunwitz: Das Urteil des EuGH ist eindeutig und lässt wenig Spielraum für Interpretationen. Ein rechtssicherer Datenaustausch mit US-Cloud-Anbietern ist momentan nicht vollumfänglich möglich, darum besteht Handlungsbedarf. Mit GAIA-X kann die EU ein auf europäischen Standards basierendes Cloud-Ökosystem erschaffen, das Innovationen in unserem Wirtschaftsraum fördert, ihn unabhängiger von chinesischen und amerikanischen Anbietern macht und sowohl Datensicherheit als auch Datensouveränität gewährleistet. Ich spreche bewusst nicht von einer europäischen Cloud, sondern einem Cloud-Ökosystem, weil das Ziel von GAIA-X eine stetig wachsende Multi-Cloud-Umgebung ist.
com! professional: Warum brauchen wir GAIA-X? Was ist der Mehrwert? Warum etwas Neues, wenn es schon Bewährtes gibt?
Grunwitz: Weil wir sonst keine digitale Souveränität erreichen – das momentan etablierte Cloud-Umfeld erlaubt so etwas nicht. GAIA-X steht ja nicht nur für hohen Datenschutz und einen sicheren Umgang mit den Daten von Unternehmen und Menschen, sondern auch für Offenheit und Transparenz. Durch den konsequenten Einsatz von Open Source und offenen Schnittstellen erreicht GAIA-X eine hohe Interoperabilität, die einen Vendor-Lock-in verhindert und es kleinen Anbietern erlaubt, ihre Lösungen in das europäische Cloud-Ökosystem zu integrieren. Zudem schafft die Transparenz auf allen Ebenen – von Technologien über Schnittstellen bis zur Umsetzung von Regeln – neue Entscheidungsgrundlagen für Unternehmen. Sie können neben der Umsetzung von Datensicherheitsanforderungen beispielsweise Aspekte wie die Ökobilanz eines Cloud-Services überprüfen.
Ein großes Plus sind selbstverständlich die Regeln und Standards für den Datenschutz, die sowohl Unternehmen als auch dem individuellen Nutzer einen sicheren Umgang mit den Daten gewährleistet. Zum Beispiel im Kontext von persönlichen oder gesundheitsbezogenen Daten ist das ein gewaltiger Vorteil für den europäischen Wirtschaftsraum.
com! professional: Warum wird die Datensouveränität immer hervorgehoben?
Grunwitz: Menschen und Unternehmen müssen selbstbestimmt über die Speicherung und Verarbeitung ihrer Daten entscheiden können. Wer auf die Daten zugreift und sie nutzt, darf nicht von außen vorgegeben werden. Im Kontext von GAIA-X bedeutet Datensouveränität aber auch gleichzeitig mehr europäische Souveränität, also weniger Abhängigkeit von den global dominierenden Hyperscalern. Schließlich sind Cloud-Plattformen das Rückgrat der digitalen Wirtschaft, und Europa kann hier nicht nur am Tropf anderer Länder hängen. Wir benötigen eigenständige und starke Cloud-Alternativen, um wettbewerbsfähig zu bleiben.
com! professional: Wo steht das Projekt heute und was sind die nächsten Schritte?
Grunwitz: GAIA-X ist ob der hohen Komplexität und der vielen Beteiligten ein Mammutprojekt. Insofern sind die derzeitigen kleinen Verzögerungen nicht überraschend, aber Europa muss ganz klar die Schlagzahl erhöhen, um mit der Geschwindigkeit der Cloud-Giganten mitzuhalten. Wichtig ist jetzt vor allem, Funktionalitäten bereitzustellen, um das Projekt zum Leben zu erwecken und erste erfolgreiche Anwendungen zu etablieren. Die im Zuge der Pandemie gestiegene Nachfrage nach sicheren und vertrauenswürdigen Cloud-Lösungen ist eine gute Basis, und das Förderprogramm des BWMi mit einer Fördersumme von mehr als 185 Millionen Euro kann für einen Schub bei der Entwicklung von Anwendungsbeispielen sorgen und insbesondere kleine Anbieter stärken. Aber ganz klar, GAIA-X muss Fahrt aufnehmen, vor allem da sich GAIA-X zukünftig immer zu einem gewissen Grad an der Innovationsgeschwindigkeit der Cloud-Giganten messen lassen muss.
com! professional: Warum sind US-amerikanische Cloud-Giganten wie Amazon und Microsoft in dem Projekt dabei?
Grunwitz: Ich kann die Irritationen nachvollziehen, doch man muss konstatieren, dass die Cloud-Giganten viel Know-how und umfangreiche Ressourcen einbringen, die das Projekt weiterbringen. Sie übernehmen nicht die Führung – es ist und bleibt eine europäische Initiative, an deren Spielregeln hinsichtlich Interoperabilität und Datenschutz sich alle Beteiligten halten müssen. Die beiden Cloud-Welten werden koexistieren und für jede wird es künftig spezielle Anwendungsfälle geben. Wo es um die Verarbeitung anonymer Daten geht und vor allem wo es auf Rechenpower ankommt, spricht nichts gegen die Nutzung von US-Clouds. Wo dagegen Transparenz und Sicherheit für persönliche Daten benötigt werden, beispielsweise im Gesundheitswesen, dürfte schnell GAIA-X die Nase vorn haben.
com! professional: Wie kam es dazu, dass sich NTT in dem Projekt engagiert?
Grunwitz: Als japanischer Anbieter von Telekommunikations- und IT-Lösungen teilen wir viele Werte mit Europa, gerade im Bereich Datensicherheit, und begrüßen das Konzept eines souveränen europäischen Cloud-Ökosystems. Zudem sind Connectivity von der Cloud bis hin zu Edge-Devices sowie Datencenter und Cloud unser Kerngeschäft. Darum bringt sich NTT aktiv bei GAIA-X ein.
com! professional: Wie sehen die Cloud, der Umgang damit und GAIA-X in fünf Jahren aus?
Grunwitz: Die Cloud-Nutzung wächst nicht zuletzt durch die Pandemie rasant. Dieser Trend lässt sich nicht umkehren. Entscheidend für GAIA-X wird sein, schnell eine kritische Menge von Anwendungsfällen und Lösungen zu bieten, damit ein reichhaltiges und lebendiges Cloud-Ökosystem entsteht, das Unternehmen und Behörden nutzen können. Gelingt dieser wichtige Schritt, dann stehen die Chancen gut, dass GAIA-X in fünf Jahren einen Großteil des europäischen Cloud-Geschäfts in sich vereint. Aber es geht um Geschwindigkeit. Die Politik in Europa und Deutschland muss die Rahmenbedingungen schnell verbessern, um weitere Anreize für einen digitalen europäischen Cloud-Marktplatz zu schaffen.

Digitale Datensouveränität

Im Zusammenhang mit GAIA-X taucht immer wieder der Begriff der digitalen Souveränität auf. Das meint in erster Linie die Möglichkeit, im digitalen Raum unabhängig und selbstbestimmt handeln und entscheiden zu können. GAIA-X schafft eine Dateninfrastruktur, die eine solche vollständige Kontrolle über gespeicherte und verarbeitete Daten garantiert. Reinhardt formuliert es so: „Datensouveränität beschreibt die Selbstbestimmung: Was passiert mit meinen Daten? Wenn es technische Lösungen gibt, um das zu vereinfachen, dann ist das hilfreich. Es gibt auch spezifische Branchen-Lösungen, etwa im Gesundheitssektor. Eine Vision sieht so aus, dass ein Unternehmen über GAIA-X im Katalog auswählen kann, in welchem Bereich es sich befindet und welchen Regularien es unterworfen ist, und dann nur die Services angezeigt bekommt, die diese Regularien erfüllen.“
Der nächste Schritt für GAIA-X ist die prototypische Implementierung erster Services. Das soll ab Mitte 2021 den Grundstein legen, um konkrete Anwendungsfälle auszuarbeiten. Das BWMi stellt dafür knapp 200 Millionen Euro bereit. Es folgen ein Wettbewerb für Leuchtturmprojekte und die Entwicklung föderierter Services, die im zweiten Halbjahr 2021 als Herzstück von GAIA-X den sicheren und vertrauensvollen Austausch von Daten ermöglichen sollen. „Das Projekt steckt noch in den Kinderschuhen“, räumt Reinhardt ein. „Wir sind, was die Rahmenbedingungen angeht, erst am Anfang. Es ist ein ambitioniertes und langfristiges Projekt. Wenn wir Anfang 2022 erste Prototypen im Feld haben, dann wäre das aus meiner Sicht ein Erfolg.“

KMUs profitieren von Gaia-X

GAIA-X ist also keineswegs ein Spielzeug für Großkonzerne. Vor allem für KMUs bietet GAIA-X viel Potenzial. Ein Beispiel ist die Möglichkeit, trotz fehlender eigener Infrastruktur und trotz einer überschaubaren Datengrundlage in Bereichen wie Machine Learning oder Künstlicher Intelligenz tätig zu werden. GAIA-X bietet den Rahmen, um gemeinsame Daten-Pools etwa für Analysen und KI aufzubauen.
Wenn Unternehmen GAIA-X-zertifizierte Services nutzen, dann können sie darauf vertrauen, dass diese alle Datenschutzanforderungen erfüllen. GAIA-X macht transparent, welche Anbieter DSGVO-konform sind. Gemeinsame Standards überwinden Grenzen wie etwa unstrukturierte Datenformate und Regularien. In der Vision von GAIA-X suchen sich Unternehmen den Anbieter nach Kriterien wie Firmensitz, Standort des Rechenzentrums, Einhaltung der DSGVO oder Nachhaltigkeit über einen globalen Katalog aus. Vendor-Lock-ins gehören damit der Vergangenheit an – die im US-dominierten Markt vor allem KMUs in ihrer Handlungsfreiheit einschränken, etwa durch Hürden bei einer Datenmigration zu anderen Anbietern.
Reinhardt meint dazu: „Gerade in Europa sind viele innovative kleinere Anbieter auf unterschiedlichen Ebenen aktiv. Es ist nicht so einfach möglich, sie zu verschalten, um da­raus Neues zu erschaffen. Sprich Cloud-Anbieter A mit Datenbankdiensten von Anbieter B verbinden, um darauf wiederum einen KI-Dienst zu betreiben, und dabei die unterschiedlichen Stärken der verschiedenen Anbieter nutzen.“
  • GAIA-X-Plattform
    Quelle:
    BDI/Statista

Wegweisendes Urteil aus Frankreich

Im März dieses Jahres hat das oberste französische Verwaltungsgericht Conseil d’Etat ein richtungsweisendes Urteil gefällt. Dabei ging es um die möglichen Zugriffe von US-Behörden auf personenbezogene Daten europäischer Bürger. Frankreichs Impfkampagne ist bei AWS gehostet. Die Anmeldung für Covid-19-Impfungen erfolgt über das Internet, wobei die Online-Plattform Doctolib mit der Verwaltung betraut ist. Doctolib wiederum greift für das Hosten der Daten auf eine AWS-Tochter in den USA zurück. Dabei handelt es sich um personenbezogene Daten, die nach der DSGVO nicht zu einem US-Provider gelangen dürfen, weil der US-Staat potenziell Zugriff darauf hat. Gewerkschaften und Berufsverbände hatten deswegen Klage eingereicht.
Das Verwaltungsgericht wies die Klage ab. Es legte in der Urteilsbegründung dar, dass die Verwendung von AWS als Provider nicht automatisch dazu führe, dass die Verarbeitung der personenbezogenen Daten gegen die DSGVO verstoße. Denn es seien zusätzliche technische Maßnahmen implementiert, die das in den USA unzureichende Datenschutzniveau auf ein angemessenes Maß anheben. Die Daten sind verschlüsselt, und der Schlüssel verbleibt in den Händen einer dritten Partei auf europäischem Boden, sodass AWS selbst keinen direkten Zugriff auf die Daten hat. Diese Vorgehensweise entspricht den Empfehlungen des European Data Protection Boards (EDPB).
Die Folgen dieses Urteils sind nicht zu unterschätzen. Es bestätigt, dass bei US-amerikanischen Unternehmen ein Zugriff durch US-Behörden möglich ist, dies der DSGVO widerspricht und tatsächlich auch vor Gericht landet. Andererseits zeigt es Unternehmen einen Weg auf, wie sich mit technischen Maßnahmen personenbezogene Daten dennoch mithilfe von US-Unternehmen verarbeiten lassen. Das Zauberwort heißt Verschlüsselung.

Fazit & Ausblick

Das Spannungsfeld zwischen europäischen Unternehmen und dem Umgang mit Daten in den USA wird bleiben. „Die Datenschutzbehörden sind nach meiner Wahrnehmung noch in einer Findungsphase, denn sie müssten in irgendeiner Form der Wirtschaft eine Lösung präsentieren“, so Rauschhofer. Die DSGVO erfordert Schritte, die sich in der Praxis kaum einhalten lassen. Doch es gibt Licht am Horizont. Zum einen könnte unter Präsident Biden bald ein datenschutzfreundlicherer Wind wehen. Bis es so weit ist, können Unternehmen mit Standarddatenschutzklauseln und Garantien der Cloud-Provider gegen Anordnungen durch den CLOUD Act vorgehen und ihr Möglichstes tun, um der DSGVO zu genügen und teure Strafzahlungen zu vermeiden. Ob das ausreicht, werden die Gerichte entscheiden. Das Urteil aus Frankreich belegt auch den Wert einer klug angelegten Verschlüsselung. Und schließlich steht in einigen Jahren vielleicht mit GAIA-X eine europäische Infrastruktur zur Verfügung, die all die Aufregung um DSGVO, Privacy Shield und CLOUD Act abebben lässt.

mehr zum Thema