Datenschutz
06.11.2019, 17:42 Uhr
Vorsicht bei der Nutzung von US-Cloud-Diensten
Annähernd zur gleichen Zeit wie die DSGVO ist der CLOUD Act in den USA in Kraft getreten - dieser erlaubt US-Behörden den Zugriff auf sensible Daten zur Strafverfolgung. Das ist jedoch nicht DSGVO-konform.
Das Tohuwabohu rund um die Datenschutz-Grundverordnung (DSVGO) im vergangenen Jahr war enorm. Wenig beachtet, ist in den USA - quasi im Windschatten der DSGVO - fast zeitgleich der CLOUD Act in Kraft getreten. Das Akronym steht für Clarifying Lawful Overseas Use of Data. Ziel und Zweck des CLOUD Act ist es, US-Behörden zu ermöglichen, im Rahmen der Strafverfolgung Zugriff auf Daten zu erlangen, die bei US-Unternehmen gespeichert sind. Das Gesetz verpflichtet US-Unternehmen zur Herausgabe von Daten, die auf ihren Servern vorhanden sind - auch dann, wenn sich diese im Ausland befinden, also etwa in Europa. Zusätzlich sollen bilaterale Rechtshilfeabkommen zwischen den USA und anderen Staaten abgeschlossen werden. Diese würden es auch nicht US-amerikanischen Behörden ermöglichen, Zugriff auf solche Daten zu erhalten.
Microsofts Klage
Der CLOUD Act ist die Folge einer ganzen Reihe von Rechtsstreitigkeiten um die Herausgabe von Daten an US-Behörden. Der prominenteste Fall war United States gegen Microsoft, der bis zur höchsten gerichtlichen Instanz ging, dem Supreme Court. Der CLOUD Act wurde just zu einem Zeitpunkt ratifiziert, als das Department of Justice die Geduld mit Microsoft verlor - und beendete das Verfahren schlagartig. Damals wollte die US-Behörde von Microsoft die Daten eines US-Bürgers, die sich auf Cloud-Servern von Microsoft in Irland befanden. Microsoft verweigerte die Herausgabe und berief sich auf die Datenschutzgesetze Irlands und der EU. Beim CLOUD Act spielt es nun keine Rolle mehr, wo der Cloud-Provider seine Server betreibt, er zwingt ihn gewissermassen dazu, die jeweiligen nationalen Gesetze zu brechen.
Was der CLOUD Act besagt
Selbst für gestandene Juristen ist es keine leichte Aufgabe, die Inhalte und Auswirkungen des CLOUD Act genau zu bestimmen. Michael Scheffler, Area Vice President EMEA beim Cloud-Security-Anbieter Bitglass, erklärt es so: "Der CLOUD Act dient dazu, US-Behörden die Ermittlungen in Strafverfahren zu erleichtern. Er ermöglicht ihnen den Zugriff auf Kommunikationsdaten, die Telekommunikations-, E-Mail- oder Cloud-Anbieter im Ausland gespeichert haben. Dafür wurde bislang das Verfahren des Rechtshilfeersuchens genutzt, bei dem US-Behörden mit Unterstützung der Ermittlungsbehörden im Ausland von den Unternehmen die entsprechenden Daten anfordern können. Gemäss CLOUD Act kann die Aushändigung von Kommunikationsdaten aus dem Ausland nun unmittelbar durch die Unternehmen auf Veranlassung der US-Behörden erfolgen."
Oft stösst man auf das Missverständnis, der CLOUD Act betreffe nur US-Unternehmen. Der CLOUD Act richtet sich aber an alle Unternehmen, die der US-Gerichtsbarkeit unterliegen. Er gilt vielmehr unabhängig davon, ob Unternehmen in den USA oder in einem anderen Land niedergelassen sind. Das bedeutet, dass jedes Unternehmen mit einer Zweigstelle, einem kleinen Büro oder einer Tochtergesellschaft in den USA dem CLOUD Act unterliegt. Einzelne US-Gerichte gehen noch weiter: Sie haben geurteilt, dass der CLOUD Act selbst für Nicht-US-Webseiten gilt, die von Kunden mit Sitz in den Vereinigten Staaten genutzt werden. Zwar können die betroffenen Unternehmen gegen die Herausgabe der Daten Einspruch einlegen - dieses Vorgehen erscheint aber wenig erfolgversprechend.
Eva-Maria Scheiter, Managing Consultant GRC beim Security-Dienstleister NTT Security, merkt an: "Es geht die Sorge um, US-Behörden könnten an den Gerichten vorbei agieren und an personenbezogene Daten oder gar Betriebsgeheimnisse gelangen, ohne betroffene Personen oder Unternehmen darüber informieren zu müssen." Es bestehe jedoch kein Automatismus zur Herausgabe solcher Daten. Unternehmen könnten gegen eine Herausgabe votieren, dann werde der Fall vor einem US-Gericht verhandelt, das die Regelungen eines Staates gegen die der USA abwägen solle. Eva Maria Scheiter sagt ausserdem: "Der CLOUD Act bietet ein weiteres Rechtsinstrument, das für mehr Klarheit in der sich ständig ausweitenden internationalen Gesetzgebung im Bereich der Cyberkriminalität sorgt."