ThemenübersichtMenü
AW-Portal

Cloud Computing – Was tun bei unbemerkten Datenklau?

Unternehmen, die via Cloud Computing ihre Daten bereithalten, überlassen das Betreiben von Hardware, Datenspeicher und Software extern angemieteten Dienstleistern. Ihre Anwendungen und Daten befinden sich dann nicht auf ihrem lokalen Rechner oder im Firmenrechenzentrum, sondern in der (metaphorischen) Wolke (englisch: cloud). Über ein Netzwerk wie das Internet greifen die Unternehmen auf ihre Daten zu. Durch diese unkontrollierbare externe und exterritoriale Netzstruktur kann es allerdings zu unbemerkten Datenexporten kommen, ohne dass solche im exportkontrollrechtlichen Sinn (deemed export) beabsichtigt waren. 

Das Problem ist: Der Nutzer weiß beim Cloud Computing weder wo sich seine Daten befinden und was mit ihnen durch wen geschieht, noch hat er die Möglichkeit, Datentransfers auf Server in Gefährdungsstaaten und Zugriffe durch Dritte zu verhindern. Wie sieht nun in einem solchen Fall die Rechtslage aus?
Die State‘s Defense Trade Advisory Group (DTAG) hat in einem Untersuchungsbericht über exportkontrollrechtliche Probleme des Cloud Computing vorgeschlagen, alle in so genannte Clouds transferierte, dort gespeicherte und über Clouds veränderte und aus Clouds exportierte veränderte oder unveränderte Daten jeder Art nach einem von den USA dafür vorgesehenen Schlüssel zu verschlüsseln. Die Entschlüsselungstechnik wiederum erfahren nur solche Adressaten, die exportkontrollrechtlich überprüft sind, als unbedenklich eingestuft wurden und sich einer umfänglichen Sicherheitscompliance unterworfen haben. Nur so könne auf übersichtliche, rechtssichere und einfache Weise gewährleistet werden, dass sensible technische Daten nicht mehr als „classified data“ im Sinne des strengen Exportkontrollrechts eingestuft werden müssen und damit aus den Exportkontrollvorschriften der ITAR und EAR herausfallen, weil sie infolge der Verschlüsselung nicht mehr unter Missbrauchsgefahr stehen. Bisher handelt es sich hierbei jedoch nur um einen Vorschlag der DTAG und ist noch nicht Gesetz. Das bedeutet, dass Exportkontrollverstöße durch Cloud Computing bislang noch streng nach ITAR-Vorschriften geahndet werden. Die spezialisierte US-Anwaltskanzlei Morgan, Lewis & Bockius LLP rät daher Exporteuren dazu, Cloud Computing mit sensiblen Daten zu unterlassen oder proaktiv vor der Nutzung von Cloud Computing eine rechtssichere Einschätzung der zuständigen Behörde DDTC (Directorate of Defense Trade Controls) einzuholen.

Folgende Maßnahmen könnten den Daten-Klau verhindern 

  • Exporteure sollten anhand der BIS AO # 1&2 prüfen, ob ihre Aktivitäten eine EAR Exportlizenz benötigen (provider may actually export its own technology or software that is subject to the EAR and thus may require an export license). 
  •  Exporteure sollten prüfen, ob sie oder Geschäftspartner ITAR-kontrollierte technische Daten über die Cloud transferieren. In Diesem Fall gelten nicht die BIS AO # 1&2, die nur den EAR-Bereich  abdecken, sondern die strengen Exportkontrollregularien der ITAR.
  • Alle Geschäftspartner und Cloud Provider sollten daraufhin überprüft werden, ob sie zu irgendeinem Zeitpunkt mit SDN gelisteten Personen und Institutionen in Berührung kommen (screen all customer-users against SDN and other prohibited parties lists).
  • Blockieren Sie den Zugriff auf Cloud gemanagte Daten für OFAC sanktionierte Staaten und Institutionen (preclude access to service from OFAC sanctioned countries and blocked parties).
  • Stellen Sie strikte Cloud Computing-Richtlinien in Ihrem Exporthandbuch auf, das alle Exportkontrollfragen zufrieden stellend und im Einklang mit US-Gesetzen regelt. 
  • Gehen Sie vertragliche Beziehungen nur mit solchen Cloud Providern ein, die sämtliche US-Exportrichtlinien umsetzen und garantieren. 
  • Prüfen Sie, ob der Cloud Provider volle Datensicherheit ohne Zugriffsmöglichkeit von unberechtigten Dritten garantieren kann (z.B. über eine Compliance-Verpflichtung gegenüber US- exportkontrollbehörden).
  • In Zweifelsfällen sollten Exportlizenzen beantragt werden. 
  • Beachten Sie, dass die Verschlüsselung von Daten nicht von erfolgten Verstößen von Exportkontrollvorschriften exkulpieren kann.

Wie groß die derzeitige Rechtsunsicherheit ist, ergibt sich aus dem für ausländische  US-Handelspartner wenig hilfreichen anwaltlichen Hinweis:

„provide US-ONLY location of Cloud Provider and no foreign person employee cloud services when having to handle ITAR technical data.”

Weitere wichtige Hinweise erhalten Sie in dem Beitrag: „Haftungsrisiken beim Cloud Computing – ein Exportkontrollproblem“ von Prof. Dr. Achim Albrecht, in: „US-Exportbestimmungen“, Ausgabe August 2013.

IHRE ANSPRECHPARTNER

Ein-/Ausblenden

Wir beantworten Ihre Fragen!

Tel.: 0221 / 97 66 8 -173/-357
Fax: 0221 / 97 66 8 -232

PRODUKTEMPFEHLUNG

Ein-/Ausblenden

Warenursprung und Präferenzen

Handbuch und systematische Darstellung

Das Standardwerk für das Warenursprungs- und Präferenzrecht!

Preis: € 44,00

Zum Produkt

PRODUKTEMPFEHLUNG

Ein-/Ausblenden

UZK kompakt & praxisnah strukturiert

Der Unionszollkodex mit Durchführungs- und Delegierter Verordnung in systematischer Darstellung

Hier finden Sie Orientierung: Alle Rechtsakte zum Unionszollkodex in der direkten Zuordnung!

Preis: € 34,80

Zum Produkt

THEMENKATALOG 2017

Ein-/Ausblenden

Informieren Sie sich über unser aktuelles Programm.

Jetzt online blättern

Jetzt kostenlos bestellen!