Der US CLOUD Act: Pest oder Cholera?
Bereits seit März 2018 gibt es in den USA ein Gesetz, dass durchaus auch Unternehmen in Europa betrifft - aber dennoch zumeist unbekannt ist. Gemeint ist der "CLOUD Act" (Clarifying Lawful Overseas Use of Data Act).
Das Problem dabei: In einigen Fällen müssen Unternehmen einen Gesetzesbruch begehen - denn entweder verstoßen Sie gegen die DSGVO oder gegen den Cloud Act.
Doch der Reihe nach:
Anlass war ein Rechtstreit mit Microsoft
In den USA erlaubt der Patriot Act amerikanischen Behörden den Zugriff auf Daten, die bei amerikanischen Unternehmen gespeichert sind. Microsoft weigerte sich zunächst jedoch, Daten herauszugeben, da die geforderten Daten bei Microsoft in Irland - also rechtlich gesehen einem europäischen Unternehmen - gespeichert waren.
Daraufhin wurde Microsoft verklagt. Doch bevor es zu einem Urteil kam, wurde in den USA kurzerhand ein neues Gesetz beschlossen: Der Cloud Act.
Eine Besonderheit: Dieses Gesetz gilt auch rückwirkend! (Ein Schelm, wer hier denkt, dass dieses Gesetz mit dem Microsoft-Verfahren zu tun haben könnte.)
Doch was regelt der Cloud Act überhaupt?
Der Cloud Act gibt US-Behörden das Recht, auch auf Daten auf EU-Servern (!) zuzugreifen, solange der Eigentümer US-Bürger ist, in den USA lebt oder es sich um ein in den USA registriertes Unternehmen handelt. Handelt es sich beispielsweise dabei um einen US-Bürger, zwingt der Cloud Act den Betreiber gegebenenfalls, ausländisches Recht zu brechen (!).
Ein Unternehmen muss nicht in den USA gegründet worden sein, um dem Cloud Act zu unterliegen. Es reicht aus, wenn es eine signifikante Präsenz in den USA hat, um als amerikanisches Unternehmen gewertet zu werden. Damit gilt die Herausgabe von Daten aufgrund des Cloud Acts auch, wenn diese gar nicht in Übersee gespeichert werden. Der CLOUD-Act betrifft also explizit Daten, die innerhalb der EU gespeichert werden.
Das Problem: Der Widerspruch mit der DSGVO
Die Datenherausgabe, die im Cloud Act definiert ist, setzt auch nicht voraus, dass es ein internationales Rechtshilfeabkommen gibt, das solche Fälle regelt.
Und genau das ist das Problem: Denn ohne Rechtshilfeabkommen dürfen personenbezogene Daten schon aufgrund der DSGVO nicht an US-Behörden übergeben werden.
Darüber hinaus können die US-Behörden die Unternehmen zur Geheimhaltung verpflichten. Sie können den Unternehmen also explizit untersagen, die Betroffenen darüber zu informieren, dass die US-Behörden auf personenbezogene Daten zugegriffen haben. Auch dies verstößt eindeutig gegen die DSGVO.
Aushebelung der Parlamente möglich
Zusätzlich sieht der Cloud Act vor, dass der US-Präsident mit anderen Regierungen den gegenseitigen Datenzugriff vereinbaren kann. Solche Anfragen sind dann ohne Einschaltung von Gerichten möglich, da sie nur auf Verwaltungsebene greifen sollen. Etwaige Gesetze für Datenschutz und gegen Überwachung verlieren somit ihre Wirkung.
Kann sich ein Provider gegen die Daten-Herausgabe wehren?
Bei Personen die nicht in den USA leben bzw. nicht US-Bürger sind, gibt es noch die Möglichkeit des Providers, Widerspruch gegen die Herausgabe der personenbezogenen Daten einzulegen.
Aber: Das ist aber kein Muss.
Und die US-Behörden können ihrerseits gegen den Widerspruch klagen. Die Aussichten, dass die amerikanischen Gerichte zugunsten der amerikanischen Behörden entscheiden und dann doch noch an die Daten gelangen, sind relativ gut. Denn die gesetzlich geforderte Begründung, dass es im Interesse des eigenen Landes ist, wird wohl in vielen Fällen ausreichend sein.
Ist ein Schutz möglich?
Ja, ein Schutz vor dem Daten-Zugriff durch amerikanische Behörden ist für Unternehmen möglich, er erfordert aber ein gewisses Umdenken.
Eine Möglichkeit ist, keine amerikanischen Dienstleister einzusetzen. Das ist in vielen Fällen recht einfach, da es für viele amerikanische Tools recht gleichwertige europäische Alternativen gibt. Doch für einige Tools gibt es solche Alternativen nicht und ein Verzicht wäre problematisch.
Ein weiterer Weg, sich zu schützen, ist die konsequente Verschlüsselung. Wenn alle Daten grundsätzlich state-of-the-art verschlüsselt werden, können die amerikanischen Behörden zwar Zugriff auf die (verschlüsselten) Daten erlangen, doch sie können damit nichts anfangen.
Insofern bleibt nur zu hoffen, dass die EU entsprechende Regelungen vorsieht – auch rechtlicher Natur – um die Daten der Europäer vor dem Zugriff der amerikanischen Behörden besser zu schützen. Denn solche Regelungen, die klar miteinander in Widerspruch stehen, lassen sich schlußendlich wohl nur auf politischer Ebene lösen.
Möchten Sie mehr?
In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.