Cloud in Europa: Kein Schutz vor US-Zugriff
Cloud Sicherheit Schweiz bedeutet mehr als einen europäischen Serverstandort. Der Artikel beleuchtet rechtliche Risiken und sichere Alternativen für Unternehmen.
Warum Unternehmen in der Schweiz
ihre Cloud-Strategie überdenken sollten
In den letzten Jahren entscheiden sich immer mehr europäische Unternehmen für Cloud-Dienste mit Datenstandorten in der EU oder in der Schweiz, in der Annahme, dass dies ein hohes Mass an Vertraulichkeit und die Einhaltung strenger Datenschutzvorgaben gewährleistet. Ein neues juristisches Gutachten zeigt jedoch: Der geografische Standort der Server schützt nicht automatisch vor dem Zugriff durch US-Behörden.
Kernproblem: Kontrolle ist entscheidender als der Standort
Laut einem bislang unveröffentlichten Rechtsgutachten, das von einem Rechtswissenschaftler der Universität Köln im Auftrag des deutschen Bundesinnenministeriums erstellt wurde, können US-Behörden auf Daten zugreifen, selbst wenn diese physisch in Europa gespeichert sind.
Der entscheidende Faktor ist dabei die juristische Kontrolle über den Cloud-Anbieter – nicht der Ort der Datenspeicherung.
Ein Cloud-Anbieter kann dem US-Recht unterliegen, wenn er:
- eine Muttergesellschaft in den USA hat;
- eine Tochtergesellschaft eines US-Konzerns ist;
- oder wesentliche wirtschaftliche Aktivitäten in den USA ausübt.
Welche US-Gesetze ermöglichen diesen Zugriff
Das Gutachten verweist insbesondere auf folgende Rechtsgrundlagen:
- Cloud Act – verpflichtet US-Unternehmen zur Herausgabe von Daten, unabhängig vom Speicherort
- Stored Communications Act (SCA) – regelt den Zugriff auf elektronische Kommunikation
- FISA Section 702 – erlaubt US-Geheimdiensten den Zugriff auf Daten ausländischer Personen ausserhalb der USA
In der Praxis bedeutet dies: Europäische und Schweizer Kunden sind nicht in jedem Fall vor extraterritorialem Datenzugriff geschützt.
Und was ist mit Verschlüsselung?
Ein weit verbreiteter Irrglaube ist, dass starke Verschlüsselung das Problem vollständig löst. Die rechtliche Realität ist jedoch komplexer:
- Cloud-Anbieter können verpflichtet werden, Zugriff auf Verschlüsselungsschlüssel zu gewähren;
- oder eine technische Möglichkeit zur Entschlüsselung bereitzustellen;
- eine Verweigerung kann zu hohen Bussgeldern oder strafrechtlichen Konsequenzen in den USA führen.
Verschlüsselung ist daher nur dann wirksam, wenn die Schlüssel ausschliesslich vom Kunden kontrolliert werden und nicht vom Cloud-Anbieter.
Warum dies für die Schweiz besonders relevant ist
Für Unternehmen in der Schweiz ist diese Thematik von besonderer Bedeutung:
- das revidierte Datenschutzgesetz (nDSG) ist in Kraft;
- es gelten hohe Anforderungen an den Schutz von Bankdaten, medizinischen Informationen und Geschäftsgeheimnissen;
- Aufsichtsbehörden legen zunehmend Wert auf die Kontrolle grenzüberschreitender Datenübermittlungen.
Die Nutzung von Cloud-Diensten mit US-Jurisdiktion kann führen zu:
- Konflikten zwischen nDSG / DSGVO und US-Recht;
- rechtlichen Risiken für Geschäftsleitung und Verwaltungsrat;
- Vertrauensverlust bei Kunden und Geschäftspartnern.
„Sovereign Clouds“ – Lösung oder Marketing?
Viele internationale IT-Konzerne bewerben sogenannte Sovereign Clouds oder „europäische Clouds“, indem sie lokale Rechenzentren oder Tochtergesellschaften aufbauen.
Die rechtliche Bewertung zeigt jedoch klar:
Bleibt die Kontrolle bei der US-Muttergesellschaft, bestehen die Zugriffsrisiken weiterhin.
In vielen Fällen handelt es sich daher weniger um rechtliche Unabhängigkeit als um ein Rebranding der Infrastruktur.
Was Schweizer Unternehmen tun sollten
Unternehmen, die mit sensiblen Daten arbeiten, sollten:
- eine rechtliche und technische Bewertung ihrer Cloud-Anbieter durchführen;
- die Eigentums- und Kontrollstruktur prüfen, nicht nur den Serverstandort;
- auf geeignete Modelle setzen, wie: Private Cloud, Swiss-based Provider, Hybrid- oder On-Prem-Lösungen mit voller Schlüsselhoheit
- Zero-Trust-Architekturen und Customer-Managed Encryption Keys (CMEK) einsetzen;
- Risiken dokumentieren, um die Anforderungen von nDSG und DSGVO zu erfüllen.
Fazit
Das neue Rechtsgutachten unterstreicht erneut:
Ein europäischer oder schweizerischer Datenstandort allein garantiert weder Datensouveränität noch Vertraulichkeit.
Für Unternehmen in der Schweiz ist dies ein klares Signal, ihre Cloud-Strategie und ihren Datenschutzansatz kritisch zu überprüfen – insbesondere vor dem Hintergrund zunehmender Regulierung und geopolitischer Unsicherheiten.
Der Ansatz von DAP zum Datenschutz
DAP IT-Solutions betreibt eine eigene Serverinfrastruktur, die ausschliesslich in der Schweiz betrieben wird. Sämtliche Daten unterliegen der schweizerischen Jurisdiktion und fallen nicht unter US-amerikanisches Recht. Wir behalten die vollständige Kontrolle über Zugriffe, Systeme und Verschlüsselungsschlüssel ohne Beteiligung von Drittstaaten. Dies gewährleistet echte Sicherheit sowie die Einhaltung von nDSG und DSGVO.
DAP IT-Solutions GmbH
Komplette IT-Betreuung für Unternehmen und Zuhause – sicher, stabil und persönlich.Wir kümmern uns um Ihre Technik – von A bis Z.IT … Alles aus einer Hand
