Datenschutz-Grundverordnung (DSGVO) und US CLOUD Act

EU-DSGVO und Schweizer Unternehmen

Es ist bereits 2 Monate her, seit die Datenschutz-Grundverordnung (DSGVO) der EU am 25. Mai 2018 zum Schutz von Daten und Privatsphäre für alle in der Europäischen Union lebenden Personen in Kraft getreten ist und das neue Schweizer Datenschutzgesetz lässt weiter auf sich warten.

Aber selbst wenn die DSGVO EU-Recht und nicht schweizerisches Recht darstellt, bedeutet das nicht, dass Schweizer Unternehmen davon nicht betroffen wären. Schweizer Unternehmen müssen die DSGVO einhalten, wenn sie personenbezogene Daten von in der EU ansässigen Personen verarbeiten und der Zweck der Verarbeitung darin besteht, den Personen Waren oder Dienstleistungen anzubieten oder das Nutzerverhalten zu tracken, was vermutlich für sehr viele Firmen der Fall sein wird.

Von der neuen EU-Verordnung betroffene Schweizer Unternehmen müssen die Einwilligung der Person, deren Daten verarbeitet werden, einholen und über die Verarbeitung ihrer Daten informieren,“Privacy by design“ und „Privacy by default“ garantieren, Verletzungen des Datenschutzes an die Aufsichtsbehörde melden und vieles mehr.

Auf kmu.admin.ch sind die Implikationen der DSGVO für Schweizer Unternehmen im Detail aufgelistet.

DSGVO_CloudAct_DSG_VSHN

 

US CLOUD Act

Im Gegensatz zur DSGVO erlaubt das US-Gesetz Clarifying Lawful Overseas Use of Data Act (CLOUD Act), das im März 2018 von der Trump-Regierung unterzeichnet wurde und auf den Fall Microsoft gegen USA zurückgeht, den Bundesbehörden, US-amerikanische Unternehmen zu zwingen, Daten auf Servern unabhängig davon herauszugeben, ob der Datenstandort in den USA oder in einem anderen Land liegt.

Das bedeutet im Klartext, dass selbst wenn man sich für einen Serverstandort innerhalb der EU oder der Schweiz entschieden hat, der Service- oder Cloud-Anbieter aber ein US-Unternehmen ist, dass der Anbieter trotzdem gezwungen werden kann, Kundendaten an die US-Behörden zu übergeben.

Das würde aber gleichzeitig wohl auch bedeuten, dass man gegen das DSGVO verstösst. Alles in allem also eine ziemlich unbefriedigende Situation und die USA und die EU sollten rasch an den Verhandlungstisch, um eine Lösung für dieses Problem zu finden.

Apple, Google und Facebook begrüssen übrigens den CLOUD Act, während mehrere Bürgerrechtsgruppen, darunter die Electronic Frontier Foundation (EFF), die Gesetzesvorlage kritisieren.

 

Was bedeutet das für dein Unternehmen?

Die langfristigen Auswirkungen dieser kollidierenden Regelungen müssen noch abgewartet werden und das neue Schweizer Datenschutzgesetz wird voraussichtlich erst 2019 in Kraft treten. Aber das sollte kein Grund sein, nicht jetzt schon über eine passende Strategie nachzudenken.

Am Ende hängt es natürlich von den spezifischen Geschäftsanforderungen ab und ob es Vorschriften gibt, wo Daten geografisch gespeichert werden müssen. Die Thematik zeigt aber, dass das Datenschutz-Thema für Unternehmen sowohl in einer detaillierten als auch mit einer langfristigen Perspektive betrachtet werden sollte.

Unser Freund Mathias Brenner, CTO von Sherpany, hat einen exzellenten Artikel über den CLOUD Act geschrieben, der das Thema ausführlicher behandelt und auch über die kürzlich erfolgte Übernahme des deutschen Cloud-Providers Brainloop durch ein US-Unternehmen und die daraus resultierenden Implikationen für Kunden eingeht.

 

Wie kann VSHN – the DevOps Company helfen?

Wir bei VSHN glauben an Offenheit und Transparenz und lassen daher dich entscheiden, wo deine Daten gespeichert werden sollen (wir nennen das Multi-Cloud-Strategie). Entweder lokal im eigenen Rechenzentrum (On-Premise) oder einem Cloud-Provider-Standort deiner Wahl. Wirf einen Blick auf unsere Services und erfahre mehr über unsere Dienstleistungen und wie wir dich allenfalls unterstützen können.

Die VSHN AG (ausgesprochen ˈvɪʒn wie „vision“) ist der führende Schweizer Partner für DevOpsDocker, Kubernetes, OpenShift und 24/7 Cloud Operations.

Seit 2014 betreuen wir für 300+ verschiedene Kunden & Partner 900+ Server in 20+ verschiedenen Clouds sowie Kunden on-premises mit insgesamt 62000+ Services.

Wir sind ISO 27001 zertifiziert und arbeiten nach den strengen FINMA-Richtlinien, um die Sicherheit und Vertraulichkeit von Kundendaten jederzeit sicherzustellen.