Datenschutz
06.11.2019, 17:42 Uhr
Vorsicht bei der Nutzung von US-Cloud-Diensten
Annähernd zur gleichen Zeit wie die DSGVO ist der CLOUD Act in den USA in Kraft getreten - dieser erlaubt US-Behörden den Zugriff auf sensible Daten zur Strafverfolgung. Das ist jedoch nicht DSGVO-konform.
Das Tohuwabohu rund um die Datenschutz-Grundverordnung (DSVGO) im vergangenen Jahr war enorm. Wenig beachtet, ist in den USA - quasi im Windschatten der DSGVO - fast zeitgleich der CLOUD Act in Kraft getreten. Das Akronym steht für Clarifying Lawful Overseas Use of Data. Ziel und Zweck des CLOUD Act ist es, US-Behörden zu ermöglichen, im Rahmen der Strafverfolgung Zugriff auf Daten zu erlangen, die bei US-Unternehmen gespeichert sind. Das Gesetz verpflichtet US-Unternehmen zur Herausgabe von Daten, die auf ihren Servern vorhanden sind - auch dann, wenn sich diese im Ausland befinden, also etwa in Europa. Zusätzlich sollen bilaterale Rechtshilfeabkommen zwischen den USA und anderen Staaten abgeschlossen werden. Diese würden es auch nicht US-amerikanischen Behörden ermöglichen, Zugriff auf solche Daten zu erhalten.
Microsofts Klage
Der CLOUD Act ist die Folge einer ganzen Reihe von Rechtsstreitigkeiten um die Herausgabe von Daten an US-Behörden. Der prominenteste Fall war United States gegen Microsoft, der bis zur höchsten gerichtlichen Instanz ging, dem Supreme Court. Der CLOUD Act wurde just zu einem Zeitpunkt ratifiziert, als das Department of Justice die Geduld mit Microsoft verlor - und beendete das Verfahren schlagartig. Damals wollte die US-Behörde von Microsoft die Daten eines US-Bürgers, die sich auf Cloud-Servern von Microsoft in Irland befanden. Microsoft verweigerte die Herausgabe und berief sich auf die Datenschutzgesetze Irlands und der EU. Beim CLOUD Act spielt es nun keine Rolle mehr, wo der Cloud-Provider seine Server betreibt, er zwingt ihn gewissermassen dazu, die jeweiligen nationalen Gesetze zu brechen.
Was der CLOUD Act besagt
Selbst für gestandene Juristen ist es keine leichte Aufgabe, die Inhalte und Auswirkungen des CLOUD Act genau zu bestimmen. Michael Scheffler, Area Vice President EMEA beim Cloud-Security-Anbieter Bitglass, erklärt es so: "Der CLOUD Act dient dazu, US-Behörden die Ermittlungen in Strafverfahren zu erleichtern. Er ermöglicht ihnen den Zugriff auf Kommunikationsdaten, die Telekommunikations-, E-Mail- oder Cloud-Anbieter im Ausland gespeichert haben. Dafür wurde bislang das Verfahren des Rechtshilfeersuchens genutzt, bei dem US-Behörden mit Unterstützung der Ermittlungsbehörden im Ausland von den Unternehmen die entsprechenden Daten anfordern können. Gemäss CLOUD Act kann die Aushändigung von Kommunikationsdaten aus dem Ausland nun unmittelbar durch die Unternehmen auf Veranlassung der US-Behörden erfolgen."
Oft stösst man auf das Missverständnis, der CLOUD Act betreffe nur US-Unternehmen. Der CLOUD Act richtet sich aber an alle Unternehmen, die der US-Gerichtsbarkeit unterliegen. Er gilt vielmehr unabhängig davon, ob Unternehmen in den USA oder in einem anderen Land niedergelassen sind. Das bedeutet, dass jedes Unternehmen mit einer Zweigstelle, einem kleinen Büro oder einer Tochtergesellschaft in den USA dem CLOUD Act unterliegt. Einzelne US-Gerichte gehen noch weiter: Sie haben geurteilt, dass der CLOUD Act selbst für Nicht-US-Webseiten gilt, die von Kunden mit Sitz in den Vereinigten Staaten genutzt werden. Zwar können die betroffenen Unternehmen gegen die Herausgabe der Daten Einspruch einlegen - dieses Vorgehen erscheint aber wenig erfolgversprechend.
Eva-Maria Scheiter, Managing Consultant GRC beim Security-Dienstleister NTT Security, merkt an: "Es geht die Sorge um, US-Behörden könnten an den Gerichten vorbei agieren und an personenbezogene Daten oder gar Betriebsgeheimnisse gelangen, ohne betroffene Personen oder Unternehmen darüber informieren zu müssen." Es bestehe jedoch kein Automatismus zur Herausgabe solcher Daten. Unternehmen könnten gegen eine Herausgabe votieren, dann werde der Fall vor einem US-Gericht verhandelt, das die Regelungen eines Staates gegen die der USA abwägen solle. Eva Maria Scheiter sagt ausserdem: "Der CLOUD Act bietet ein weiteres Rechtsinstrument, das für mehr Klarheit in der sich ständig ausweitenden internationalen Gesetzgebung im Bereich der Cyberkriminalität sorgt."
Widersprüche zur DSGVO
Die DSGVO regelt in Artikel 48 explizit die Herausgabe von Daten an Behörden und andere staatliche Stellen eines Drittlandes. Rechtlich dürfen Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder eine ähnliche Übereinkunft zwischen dem Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Daneben ist allerdings auch Artikel 5 der DSGVO von Bedeutung, der weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer verlangt.
Michael Scheffler von Bitglass führt aus, ein grundlegender Unterschied bestehe in der Rolle von Datenverarbeitungs- und Unternehmensstandort. Die DSGVO setze am Verarbeitungsstandort an und sehe strenge Richtlinien vor, wenn Daten in Regionen ausserhalb ihres Geltungsbereichs übermittelt werden sollen. Der CLOUD Act hingegen beanspruche für sich ein Zugriffsrecht auf Daten von in den USA registrierten Firmen und zwar bezüglich all ihrer Verarbeitungsstandorte weltweit. "Die Schwierigkeit, die sich im Zusammenwirken von CLOUD Act und DSGVO ergibt, ist folgende: Der CLOUD Act ermächtigt die in seinen Geltungsbereich fallenden Unternehmen dazu, gegen die DSGVO zu handeln: Die ServiceAnbieter sind nicht dazu verpflichtet, Betroffene über die Herausgabe der Daten an die US-Behörden in Kenntnis zu setzen. Gleichzeitig findet damit eine nicht vorschriftsmässige Übermittlung von personenbezogenen Daten in ein Drittland statt. Ausserdem sind lediglich die Service-Anbieter dazu berechtigt, gegen die Herausgabe Widerspruch einzulegen. All das verstösst gegen die Vorgaben der DSGVO."
Datenschützer sehen ausserdem mit Besorgnis, dass der CLOUD Act kaum Vorgaben für den Zugriff der US-Behörden macht. Dies bringe Unternehmen in die Zwickmühle, die personenbezogene Daten in Cloud-Services hosten. Man könne ihnen gemäss der DSGVO vorwerfen, dass sie den Zugriff unbefugter Dritter und die unsachgemässe Übermittlung von Daten in Drittländer billigend in Kauf genommen hätten. Und es gibt noch einen verschärfenden Punkt: Der US-Präsident darf nach Belieben mit Staaten Abkommen zum erweiterten Datenabfluss schliessen. Die Behörden dieser Staaten dürfen dann auch Daten von US-Cloud-Providern erhalten - ohne Gerichtsbeschluss.
Privacy Shield
In den Diskussionen um den CLOUD Act taucht immer wieder der Privacy Shield auf, der Nachfolger des Safe-Harbor-Abkommens, das 2015 infolge einer Klage gegen Facebook vom Europäischen Gerichtshof (EuGH) in Luxemburg für nichtig erklärt wurde. Gemäss der DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt ist. Der Datenschutz in den USA gilt allerdings nicht als angemessen. Die DSGVO sieht aber auch vor, dass Übermittlungen in ein Drittland dann zulässig sind, wenn durch einen Beschluss der Europäischen Kommission festgestellt worden ist, dass das Schutzniveau ausreichend ist. Der Privacy Shield soll eben dieses Schutzniveau gewährleisten.
"Privacy Shield regelt die DSGVO-konforme Übermittlung von personenbezogenen Daten von EU-Bürgern in die USA", erklärt Scheffler. "Es handelt sich allerdings nicht um ein allgemein verbindliches Abkommen, sondern um die Möglichkeit einer freiwilligen Selbstzertifizierung für US-Unternehmen. Die Unternehmen, die sich nach den Vorgaben des Privacy Shield zertifizieren lassen, bieten EU-Bürgern unter anderem die Möglichkeit, über nationale Datenschutzbehörden oder eine unabhängige Stelle in den USA eine Beschwerde einzureichen."
Aus für Standardvertragsklauseln
Sogenannte Standardvertragsklauseln oder Standarddatenschutzklauseln werden von der EU-Kommission bereitgestellt und sollen Unternehmen die Umsetzung des Datenschutzes erleichtern. "In den Klauseln sind beispielsweise die nötigen Anforderungen an das Datenschutzniveau für die DSGVO-konforme Übermittlung personenbezogener Daten in Drittländer geregelt", so Michael Scheffler. "Unternehmen können diese einfach ihren Verträgen mit Auftragsdatenverarbeitern hinzufügen. Beispielsweise können sie für die Kooperation mit US-Unternehmen zum Einsatz kommen, die sich nicht nach den Vorgaben eines bilateralen Abkommens wie dem Privacy Shield haben zertifizieren lassen. Damit ist sichergestellt, dass die Datenverarbeitung auch bei internationalen Partnern DSGVO-konform erfolgt."
Wenn Cloud-Anbieter die Standardvertragsklauseln unterzeichnet haben, dann sind sie rechtlich bindend. Problematisch ist jedoch, dass der CLOUD Act ihnen zugesteht, niemanden über die Herausgabe unterrichten zu müssen. Werden Vertragspartner und Aufsichtsbehörden über die Herausgabe im Unklaren gelassen, muss man natürlich auch keinerlei Konsequenzen befürchten. "Wenn man es so betrachtet, wäre es bequemer, sich einfach an den CLOUD Act zu halten. Die DSGVO wird damit zu einer Art zahnlosem Tiger degradiert und dies ist der wesentliche Punkt, warum der CLOUD Act zu Recht kritisch diskutiert wird." Es liegt am EuGH zu entscheiden, ob der Privacy Shield und die viel genutzten Standardvertragsklauseln weiterhin gültig bleiben oder aber durch ein neues Verfahren ersetzt werden müssen.
Der Digitalverband Bitkom zeigt sich besorgt. Sollten diese Klauseln nicht mehr rechtens sein, stünden viele Unternehmen vor einem Datenchaos. Nicht nur der Zusammenarbeit mit ausländischen Unternehmen drohten massive Einschränkungen. Selbst der Datenaustausch zwischen einer Firmenzentrale innerhalb der EU und dem Tochterunternehmen im Ausland gerate dann in Gefahr.
Hintergrund des Gerichtsverfahrens am EuGH ist eine Beschwerde des Juristen Max Schrems gegen Facebook Irland bei der irischen Data Protection Commission (DPC). Facebook erklärte, für die Übermittlung von personenbezogenen Daten an seine US-Konzernmutter Standardvertragsklauseln zu nutzen.
Wie im Zuge der Enthüllungen von Edward Snowden bekannt wurde, erhalten US-Geheimdienste ungehindert Zugriff auf die Daten von Facebook. Schrems fordert daher, dass Facebook Irland davon abgehalten werden müsse, Daten europäischer Bürger an seine Konzernmutter in die USA zu übermitteln. Die DPC verklagte daraufhin Schrems und Facebook, um vor dem EuGH ein Grundsatzurteil in dieser Sache zu erwirken. Das Verfahren muss unter anderem klären, ob die Daten europäischer Bürger durch Mechanismen wie Standardvertragsklauseln und Privacy Shield ausreichend geschützt sind. Es geht in diesem Fall also um die standardmässige Übermittlung von Daten durch Unternehmen wie Facebook an die Geheimdienste. Beim CLOUD Act hingegen erfolgt eine Herausgabe der Daten nur auf Anfrage im Rahmen eines Strafermittlungsverfahrens.
Scheffler erläutert, es bestehe die Möglichkeit, dass Standardvertragsklauseln und Privacy Shield dasselbe Schicksal ereile wie das Safe-Harbor-Abkommen. "Sie könnten für nichtig erklärt werden, was die Übermittlung von Daten in EU-Drittstaaten grundlegend verändern würde. Doch das sind derzeit lediglich Spekulationen." Ein Urteil wird noch vor Jahresende erwartet. Es könnte jedoch ein Berufungsverfahren folgen, was den Prozess weiter in die Länge zöge.
Schutz vor dem CLOUD Act
Wenn Unternehmen einen Cloud-Anbieter wählen, dessen Sitz sich innerhalb der EU befindet und der zudem nicht über eine signifikante Präsenz in den USA verfügt, dann sind die bei dem Anbieter gespeicherten Informationen vor einem Zugriff unter Berufung auf den CLOUD Act geschützt. Cloud-Anbieter mit Sitz oder einer signifikanten Präsenz in den USA dagegen stehen quasi vor der Wahl, welches Recht sie brechen wollen. Sie sind verpflichtet, US-Behörden Zugriff auf ihre Server zu gewähren, obwohl ihnen das die DSGVO untersagt.
Michael Scheffler differenziert: "Für deutsche Unternehmen, die für die Verarbeitung personenbezogener Daten Cloud-Services nutzen, ist ausschliesslich die DSGVO bindend. Bei Cloud-Anbietern - sofern der CLOUD Act für sie gültig ist - sieht dies anders aus. Leisten sie dem CLOUD Act Folge, handeln sie gegen die DSGVO. Sie könnten womöglich einen Mittelweg finden, indem sie Betroffene über die Anfrage informieren. Der Cloud-Anbieter könnte dann gegebenenfalls in Absprache mit den Betroffenen Widerspruch einlegen." Da die Rechtslage sich derzeit allerdings noch in Klärung befinde, könne man Cloud-Nutzern nur dazu raten, die Kontrolle über die eigenen Daten zu behalten. "Dies gelingt mit geeigneten Verschlüsselungsverfahren für Cloud-Daten. Wichtig dabei ist, dass die Verschlüsselungs-Keys ausschliesslich in den Händen der Unternehmen verbleiben. Da verschlüsselte Daten für Unbefugte wertlos sind, stellt der Verlust derselben laut Datenschutz-Grundverordnung keinen Sicherheitsvorfall dar."
Danny O’Neill, Head of Managed Security EMEA beim IT-Dienstleister Rackspace, berichtet: "Der CLOUD Act, der 2018 erlassen wurde, ergänzt den Stored Communications Act (SCA) von 1986, der den Schutz der Privatsphäre für digitale Kommunikation gewährleistet. Der CLOUD Act wirft eine Reihe von Bedenken hinsichtlich der DSGVO auf, insbesondere Kapitel 5, Artikel 44 bis 48. Ich glaube nicht, dass es darum geht, zu entscheiden, welches Gesetz zu brechen ist. Es geht vielmehr darum, anhand des Szenarios festzustellen, welches Vorrang hat." Jedes Unternehmen, das in mehreren Regionen tätig ist, sollte sicherstellen, dass es bei Abschluss einer Vereinbarung mit einem Dienstleister mit US-Präsenz die Sorgfaltspflicht einhält. "Sie sollten auf einem Vertrag bestehen, der den Anbieter verpflichtet, dies mitzuteilen, wenn er einen Antrag auf Zugang zu den Daten nach dem CLOUD Act erhält."
Wenn sich Unternehmen auf einen europäischen Provider ohne Präsenz in den USA und mit hochsicheren Rechenzentren innerhalb der EU verlassen, dann legt das dem CLOUD Act hohe Hürden in den Weg. Und die Datenschutz-Grundverordnung stellt im Zweifel das schärfere Schwert dar: Im Juli hat die britische Datenschutzbehörde ICO der Hotelkette Marriott und British Airways Strafzahlungen von über 300 Millionen Euro wegen Verstössen gegen die Datenschutzrichtlinien auferlegt.