US CLOUD Act
Unternehmensdaten sind nicht einfach nur technische Informationen. Sie enthalten Wissen, Prozesse, Kundeninformationen, Verträge, interne Abläufe, Projektstände, Gesprächsinhalte, Entscheidungen und oft auch Geschäftsgeheimnisse.
Gerade beim Einsatz von KI ist deshalb entscheidend, wo Daten verarbeitet werden, wer technisch Zugriff haben kann und welchem Rechtsraum ein eingesetzter Dienstleister unterliegt.
Ein wichtiges Thema in diesem Zusammenhang ist der US CLOUD Act.
Die genaue Bezeichnung lautet:
Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act.
Der CLOUD Act ist ein US-Gesetz aus dem Jahr 2018 und hat unter anderem den US Stored Communications Act ergänzt. Nach 18 U.S. Code § 2713 können bestimmte US-Anbieter verpflichtet sein, Daten herauszugeben, die sich in ihrem Besitz, ihrer Verwahrung oder unter ihrer Kontrolle befinden, unabhängig davon, ob diese Daten innerhalb oder außerhalb der USA gespeichert sind.
Was regelt der US CLOUD Act?
Der CLOUD Act soll Ermittlungsbehörden den Zugriff auf elektronische Informationen erleichtern, insbesondere wenn Daten bei global tätigen Kommunikations- oder Cloud-Anbietern gespeichert sind. Das US-Justizministerium beschreibt den Zweck vor allem im Zusammenhang mit Ermittlungen zu schweren Straftaten und elektronischen Beweismitteln.
Wichtig ist: Der CLOUD Act bedeutet nicht, dass US-Behörden beliebig und ohne Verfahren auf alle Daten zugreifen dürfen. Es geht um rechtliche Herausgabeverlangen gegenüber Anbietern, die der US-Gerichtsbarkeit unterliegen.
Für europäische Unternehmen bleibt der Punkt trotzdem relevant: Nicht nur der Speicherort zählt, sondern auch, welchem Rechtsraum der Anbieter unterliegt und ob er Daten technisch kontrollieren kann.
Warum ist das für Unternehmensdaten kritisch?
Für Unternehmen ist der CLOUD Act vor allem deshalb kritisch, weil Datenhoheit nicht allein durch ein Rechenzentrum in Europa entsteht.
Wenn ein Anbieter einer außereuropäischen Rechtsordnung unterliegt und zugleich Zugriff auf Daten hat oder Daten kontrollieren kann, können rechtliche Konflikte entstehen. Das betrifft insbesondere vertrauliche Unternehmensdaten, Geschäftsgeheimnisse, interne Kommunikation, sensible Kundendaten, Projektdaten, technische Dokumentationen oder KI-Wissensbestände.
Datenschutzrechtlich kommt hinzu: Die DSGVO stellt besondere Anforderungen an Übermittlungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums. Der Europäische Datenschutzausschuss weist darauf hin, dass bei internationalen Datentransfers ein dem europäischen Schutz im Wesentlichen gleichwertiges Datenschutzniveau gewahrt werden muss.
Auch europäische Datenschutzbehörden sehen ein Risiko, wenn besonders sensible Daten bei Anbietern gespeichert werden, die nicht ausschließlich europäischem Recht unterliegen. Die französische Datenschutzaufsicht CNIL weist darauf hin, dass Daten bei Unternehmen, die nicht-europäischem Recht unterliegen, einem Risiko der Herausgabe an ausländische Behörden ausgesetzt sein können. Für besonders sensible Verarbeitungen empfiehlt sie Anbieter, die ausschließlich europäischem Recht unterliegen und ein angemessenes Schutzniveau bieten.
Was bedeutet das für KI-Systeme?
KI-Systeme verarbeiten häufig besonders wertvolle Unternehmensinformationen. Dazu gehören zum Beispiel Dokumente, interne Wissensdatenbanken, Systemkonfigurationen, Chatverläufe, Meeting-Inhalte, Projektordner, Prozesswissen, Kundendaten und technische Informationen.
Wenn solche Daten in KI-Systeme eingebracht werden, muss klar geregelt sein:
- wo Daten gespeichert und verarbeitet werden,
- welche Dienstleister beteiligt sind,
- welcher Rechtsordnung diese Dienstleister unterliegen,
- welche Zugriffe technisch möglich sind,
- welche Daten verschlüsselt oder getrennt gespeichert werden,
- welche Daten exportiert, gelöscht oder beschränkt werden können,
- ob und wie Kundendaten für KI-Funktionen verwendet werden.
Für Vimmera ist deshalb klar:
KI darf Unternehmenswissen nicht unkontrolliert in fremde Systeme verlagern. KI muss so aufgebaut sein, dass Datenhoheit, Sicherheit und Transparenz erhalten bleiben.
Wie hat Vimmera seine Struktur darauf ausgelegt?
Vimmera entwickelt und betreibt KI-Lösungen für Unternehmen mit besonderem Fokus auf Datenschutz, Datensicherheit und kontrollierte Datenverarbeitung. Die technische Struktur ist darauf ausgelegt, Unternehmensdaten nicht unnötig offenzulegen, Zugriffe zu begrenzen und Datenflüsse nachvollziehbar zu halten.
Europäisch ausgerichtete Verarbeitung
Vimmera setzt bei der Gestaltung seiner Software-, Daten- und Hostingstruktur auf eine möglichst europäisch ausgerichtete Verarbeitung. Ziel ist, Unternehmensdaten nach Möglichkeit innerhalb der EU bzw. des Europäischen Wirtschaftsraums zu verarbeiten und Drittlandbezüge zu vermeiden oder zumindest kontrolliert abzusichern.
Nur auf konkreten Wunsch und mit deutlicher Kennzeichnung werden Systeme eingesetzt, die unter den US CLOUD Act fallen!
Vertragliche und technische Schutzmaßnahmen
Wenn Dienstleister eingebunden werden, erfolgt dies auf Grundlage geeigneter vertraglicher Regelungen, technischer Schutzmaßnahmen und dokumentierter Verantwortlichkeiten.
Dazu können insbesondere gehören:
- Auftragsverarbeitungsverträge,
- Vertraulichkeitsregelungen,
- technische und organisatorische Maßnahmen,
- Zugriffsbeschränkungen,
- Verschlüsselung,
- Lösch- und Aufbewahrungskonzepte,
- Protokollierung,
- Prüfung von Unterauftragnehmern,
- Regelungen zu Speicherort und Datenflüssen.
Unser Verständnis
Der US CLOUD Act zeigt, warum technische Architektur und rechtliche Rahmenbedingungen zusammen gedacht werden müssen.
Es reicht nicht, KI nur funktional zu betrachten. Entscheidend ist auch, ob ein System zu den Schutzanforderungen eines Unternehmens passt.
Vimmera entwickelt KI-Lösungen deshalb nicht nach dem Prinzip „alles in eine große Cloud“, sondern mit klarer Struktur:
- möglichst europäische Verarbeitung,
- kontrollierte Dienstleisterauswahl,
- getrennte Datenbereiche,
- klare Zugriffsrechte,
- nachvollziehbare Datenflüsse,
- Export- und Löschmöglichkeiten,
- vertragliche Absicherung,
- Schutz von Unternehmenswissen.
US CLOUD Act
Unternehmensdaten sind nicht einfach nur technische Informationen. Sie enthalten Wissen, Prozesse, Kundeninformationen, Verträge, interne Abläufe, Projektstände, Gesprächsinhalte, Entscheidungen und oft auch Geschäftsgeheimnisse. Gerade beim Einsatz von KI ist deshalb entscheidend, wo Daten verarbeitet werden, wer technisch Zugriff haben kann und welchem Rechtsraum ein eingesetzter Dienstleister unterliegt. Ein wichtiges Thema in diesem Zusammenhang ist der US […]
EU Data Act
Daten sind eine zentrale Grundlage moderner Unternehmen. Sie entstehen in digitalen Diensten, Software, Dokumenten, Prozessen, Kommunikationssystemen und KI-Anwendungen. Damit Unternehmen diese Daten sinnvoll nutzen können, braucht es klare Regeln: Wer darf welche Daten verwenden? Wie können Daten bereitgestellt werden? Wie werden sie geschützt? Und wie kann ein Wechsel zwischen digitalen Diensten fair gestaltet werden? Genau […]
Bundesdatenschutzgesetz (BDSG)
Der nationale Rechtsrahmen für Datenschutz in Deutschland Das Bundesdatenschutzgesetz, kurz BDSG, ergänzt die Datenschutz-Grundverordnung in Deutschland. Während die DSGVO den europaweit einheitlichen Rahmen für den Schutz personenbezogener Daten vorgibt, regelt das BDSG bestimmte nationale Besonderheiten und Konkretisierungen. Beide Regelwerke bilden zusammen die zentrale Grundlage für den Datenschutz in deutschen Unternehmen. Für Unternehmen bedeutet das: Datenschutz […]
NIS2
Der neue rechtliche Rahmen für Cybersicherheit in Europa Die NIS2-Richtlinie ist der neue europäische Rechtsrahmen für Cybersicherheit. Mit ihr schafft die Europäische Union verbindliche Vorgaben dafür, wie Unternehmen und öffentliche Einrichtungen ihre IT-Systeme, Netzwerke, Daten und digitalen Prozesse gegen Cyberangriffe, Ausfälle und Sicherheitsvorfälle schützen müssen. Ziel von NIS2 ist es, die Cyberresilienz in Europa deutlich […]
NDAs bei Vimmera AI
Vertraulichkeit ist für Vimmera AI genauso selbstverständlich wie Datenschutz und Datensicherheit. Immer dann, wenn sensible, geschäftskritische oder personenbezogene Informationen ausgetauscht werden, muss klar geregelt sein, wie mit diesen Daten umgegangen wird. Deshalb arbeiten wir grundsätzlich auf Basis verbindlicher Vertraulichkeitsvereinbarungen, sogenannten NDAs (Non-Disclosure Agreements). Sobald im Rahmen von Gesprächen, Analysen, Projekten oder Angeboten sensible Inhalte eine […]
Die Datenschutz-Grundverordnung (DSGVO)
Vimmera AI entwickelt seine KI-Systeme von Anfang an DSGVO-konform. Unsere Architektur mit kontrollierten Datenflüssen, klaren Rollen, Verschlüsselung, Protokollierung und der Möglichkeit, Systeme vollständig lokal oder in abgeschotteten Umgebungen zu betreiben, ist genau darauf ausgelegt. Für unsere Kunden bedeutet das: Sie können KI nutzen, ohne den Datenschutz zu gefährden. Sie behalten jederzeit die Kontrolle darüber, welche […]
Der EU AI Act
Der neue rechtliche Rahmen für den Einsatz von KI in Europa Der EU AI Act ist die erste umfassende gesetzliche Regelung für Künstliche Intelligenz weltweit. Mit ihm schafft die Europäische Union einen verbindlichen Rechtsrahmen dafür, wie KI-Systeme entwickelt, bereitgestellt und eingesetzt werden dürfen. Ziel ist es, Innovation zu ermöglichen – aber gleichzeitig Menschen, Unternehmen und […]