US Cloud Act vs DSGVO
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
08-04-2018 07:11 AM
"Der Clarifying Lawful Overseas Use of Data Act – kurz Cloud Act – schreibt vor, dass Cloud-Anbieter gerichtliche Anordnungen für Nutzerdaten umsetzen müssen, egal wo die Informationen vorgehalten werden."
Es gibt immer wieder Versuche der US-amerikanischen Regierung amerikanische Unternehmen dazu zu zwingen, ihnen Zugriff auch auf im Ausland gespeicherte Daten zu ermöglichen (siehe z. B. den Microsoft-Fall 2015: https://www.heise.de/newsticker/meldung/Microsoft-verteidigt-Daten-in-Europa-gegen-US-Zugriff-280963...). Dieser Microsoft Fall ist Teil einer noch nicht abgeschlossenen gerichtlichen Klärung, weil sich Microsoft bisher geweigert hat, besagte Daten zu übergeben.
Nun scheint es einen weiteren Vorstoß der US-amerikanischen Administration durch den sogenannten Cloud Act zu geben (vgl. https://www.zdnet.de/88330293/us-justiz-fordert-erneut-zugriff-auf-daten-von-microsoft-irland/). Dieses Vorgehen – wie allerdings schon 2015 – verstößt nach Einschätzung unserer Datenschützer eindeutig gegen deutsches und europäisches Datenschutzrecht (wie z. B. die DSGVO).
Uns würde daher interessieren, wie dieses Thema in anderen Unternehmen eingeschätzt und bearbeitet wird.
Vielen Dank und freundliche Grüße
S. Walter

- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
08-05-2018 11:25 PM
Hallo Herr Walter,
ich sehe da nur zwei Lösungsansätze im Umfeld ServiceNow:
- Betrieb der Instanzen im eigenen Rechenzentrum außerhalb des Zuständigkeitsbereichs der US-amerikanischen Bundesbehörden.
- Betrieb der Instanzen bei einem deutschen Provider nach deutschen Recht in einem deutschen Rechenzentrum.
Wir - als Bank mit einer Niederlassung in den USA - haben uns für (2.) entschieden.
Das Betriebsmodell ist dann ähnlich zur Datentreuhänderschaft von T-Systems beim Betrieb von Micosofts Office 365 hier in Deutschland.
Beste Grüße,
Robert Wetke
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
09-04-2018 12:07 AM
Hallo Herr Walter, hallo Herr Wetke,
als ergänzende Information zur Diskussion vielleicht noch dieser kürzlich veröffentlichte Blog Post von Microsoft in dem das genannte Modell mit der Datentreuhänderschaft für Neukunden eingestellt und auf Migrationsmöglichkeiten für Bestandskunden hingewiesen wird.
Zumindest die zweite Variante, der Betrieb eigener Rechenzentren in Deutschland, ist m.W. ja auch seitens ServiceNow geplant.
Viele Grüße
Sven Sulzmann
WSP-Consulting GmbH
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
09-09-2018 02:29 AM
Guten Tag,
gibt es den Neugikeiten hinsichtlich eines Deutschen ServiceNow Rechenzentrums und dem Betriebsmodell?
Mit freundlichen Grüßen,
Frank Eck
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
10-22-2018 04:59 AM
DSGVO-Compliance für ServiceNow – wie für eine ServiceNow-Plattform trotz US-CLOUD-Act die Compliance zur DSGVO erreicht werden kann
Zugriffe aus den USA können Unternehmen nach aktueller Rechtslage nur dann einwandfrei ausschließen, wenn sie keinen US-amerikanischen Cloud-Provider nutzen. Denn mit dem CLOUD-Act („Clarifying Lawful Overseas Use of Data Act“) räumen sich die USA das Recht ein, personenbezogene Daten aus der Cloud bei Ermittlungen auch außerhalb der USA einzufordern. Die USA verpflichten damit US-Unternehmen zur Datenweitergabe – selbst dann, wenn die betreffenden Daten gar nicht in den USA, sondern in einem europäischen Rechenzentrum gespeichert sind. Das widerspricht jedoch den Vorschriften der DSGVO. Um die DSGVO jederzeit zweifelsfrei einhalten zu können, müssen Unternehmen demnach auf US-Cloud-Provider verzichten, wenn sie personenbezogene Daten in der Cloud verarbeiten.
Entscheiden sich US-Unternehmen für eine Datenhaltung in deutschen Rechenzentren, sind diese Unternehmen über den US-CLOUD-Act weiterhin verpflichtet die Daten an die US-Behörden herauszugeben.
Diese Verpflichtung entfällt bei Nutzung von ServiceNow als SaaS-Plattform, wenn diese durch deutsche Unternehmen ohne Verflechtung mit einem US-amerikanischen Mutterhaus betrieben wird – wie es beispielsweise beim Betrieb der OSNow-Plattform der operational services GmbH & Co. KG (OS) der Fall ist. US-Behörden haben dann keine Möglichkeit, mithilfe des US-CLOUD-Acts oder anderer Rechtsmittel auf Daten jeglicher Art, die dann in den Rechenzentren der OS gehalten werden, zuzugreifen.
Auch der Hersteller ServiceNow hat weder physischen noch rechtlichen Zugriff auf die Daten in den Rechenzentren der OS und kann diese somit nicht herausgeben.
Für ihre Kunden leistet die OS zudem den gesamten Betrieb der ServiceNow-Plattform aus dem deutschen Rechtsraum heraus – 100 % compliant zur DSGVO.
Ihre Kunden benötigen keine direkte Geschäftsbeziehung mit dem Hersteller ServiceNow oder dessen aus dem weltweiten Rechtsraum heraus betriebene Cloud.