CLOUD Act

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, das 2018 in Kraft getreten ist. Es regelt, unter welchen Voraussetzungen US-Behörden von US-Unternehmen oder deren Tochtergesellschaften die Herausgabe von Daten verlangen können – unabhängig davon, in welchem Land diese Daten gespeichert sind.
Für Unternehmen ausserhalb der USA ist der CLOUD Act insbesondere im Zusammenhang mit Cloud-Diensten relevant. Untersteht ein Anbieter dem US-Recht, kann er verpflichtet werden, Daten an US-Behörden zu übermitteln, selbst wenn diese Daten in Rechenzentren in Europa oder der Schweiz gespeichert sind. Der physische Datenstandort allein bietet in diesem Fall keinen vollständigen Schutz vor einem solchen Zugriff.

Aus Sicht des Datenschutzes nach schweizerischen und europäischen Anforderungen ergibt sich daraus eine relevante Einschränkung: Bei Diensten mit globalem Datenstandort oder US-amerikanischem Entwicklungs- oder Konzernhintergrund kann nicht in jedem Fall garantiert werden, dass die Daten ausschliesslich dem lokalen Datenschutzrecht unterliegen. Der CLOUD Act schafft hier ein potenzielles Spannungsfeld zwischen nationalem Datenschutzrecht und extraterritorialen Zugriffsbefugnissen.
Für Unternehmen mit erhöhten Anforderungen an Datenschutz, Vertraulichkeit oder regulatorische Compliance ist daher nicht nur der Speicherort der Daten entscheidend, sondern auch der Rechtsraum, dem der Anbieter untersteht. Diese Aspekte sollten bei der Wahl von Cloud- und Infrastruktur-Services bewusst berücksichtigt werden. 

exaSys trägt diesen Rahmenbedingungen Rechnung, indem Infrastruktur- und Cloud-Lösungen aus der Schweiz angeboten werden und auf Anbieter und Partner ausserhalb des US-Rechtsraums gesetzt wird. Ziel ist es, die rechtliche Kontrolle über Daten zu stärken und Risiken im Zusammenhang mit extraterritorialen Zugriffsrechten zu minimieren.
Gleichzeitig bietet exaSys – je nach Kundenanforderung – auch Lösungen an, bei denen der eingesetzte Technologie- oder Plattformanbieter dem US-Rechtsraum untersteht und bei denen der CLOUD Act zur Anwendung kommen kann. 

Dazu zählen insbesondere:

• Teams Telefonie
• Microsoft 365 (M365)

Welche Lösung im konkreten Einsatz geeignet ist, hängt von den technischen, betrieblichen und rechtlichen Anforderungen ab. exaSys legt daher Wert auf eine transparente Einordnung der eingesetzten Technologien und unterstützt Unternehmen dabei, die Auswirkungen auf Datenschutz, Compliance und Datenhoheit nachvollziehbar zu beurteilen.