Europäischer Datenschutz vs. US-Amerikanisches Datensammeln
Trotz großer Panik und einiger Startschwierigkeiten haben die meisten Unternehmen die Hürde DSGVO in den letzten Wochen doch noch gemeistert. Aber kann damit das Thema Datenschutz abgehakt werden? Nein, leider nicht. Wie wir bereits schon im April berichtet hatten, gibt es noch den US CLOUD Act, der für Clarifying Lawful Overseas Use of Data Act steht.
Der CLOUD Act
Dieses Gesetz wurde bereits im März 2018 als Teil des US-Haushaltsgesetzes mit verabschiedet. Das Ziel: “Ein zeitnaher Zugriff auf die elektronischen Daten von Kommunikationsdienstleistern ist wichtig für die Regierungsbestrebungen, die öffentliche Sicherheit zu schützen und ernsthafte Kriminalität zu bekämpfen, Terrorismus eingeschlossen.”
Leider bezieht sich der CLOUD Act nicht nur auf Personen, die in den USA leben, denn das Gesetz greift ebenso für personenbezogene Daten, die nicht in US-Rechenzentren lagern bzw. auch für Nicht-US-Bürger. Das heißt, dass die US-Behörden damit auch auf Daten zugreifen können, die in einem europäischen Rechenzentrum lagern, da die Gesetzgebung US-Unternehmen dazu verpflichten kann, diese mit einem entsprechenden Gerichtsbeschluss unverzüglich herauszugeben. Die US-Regierung versucht sich damit einen ungehinderten Zugang zu allen möglichen Daten zu verschaffen.
Bei Personen die nicht in den USA leben bzw. nicht US-Bürger sind, gibt es noch die Möglichkeit des Providers, Widerspruch gegen die Herausgabe der personenbezogenen Daten einzulegen, das ist aber kein Muss. Die US-Behörden können ihrerseits gegen den Widerspruch klagen. Die Aussichten, dass die Gerichte zugunsten der Behörden entscheiden und dann doch noch an die Daten gelangen, sind relativ gut. Denn die gesetzlich geforderte Begründung, dass es im Interesse des eigenen Landes ist, wird wohl in vielen Fällen reichen.
Das Problem ist nicht nur die mögliche Herausgabe der Daten, sondern auch, dass betroffene Personen oder Unternehmen dies vielleicht nicht einmal mitbekommen. Denn der Provider ist nicht verpflichtet, diese zu informieren. Zudem darf der Provider die Daten ab dem Zeitpunkt der Behördenanfrage auch nicht mehr löschen, selbst wenn sich diese außerhalb der USA befinden.
CLOUD Act vs. DSGVO
Dass der US-CLOUD Act nicht zu den seit kurzem gültigen, strengeren Datenschutzbestimmungen der EU passt, der DSGVO, dürfte schnell klar werden.
Das Hauptproblem ist, dass mit der Weitergabe von personenbezogenen Daten an US-Behörden im Rahmen des CLOUD Act, ohne die Zustimmung eines europäischen Gerichts, klar gegen den europäischen Datenschutz verstößt. Dies kann für Unternehmen gefährlich werden, da betroffene Personen nach Artikel 82 der DSGVO das Recht haben, gegen den Verantwortlichen sowie Auftragsdatenverarbeiter vorzugehen. Dies kann zu Schadensersatzforderungen führen, welche nicht nur einen materiellen Schaden abdecken, sondern auch einen immateriellen Schaden abdecken können, also eine Art Schmerzensgeld. Zudem kommt, dass es für den Ruf eines Unternehmens voraussichtlich negative Folgen haben wird, wenn bekannt wird, dass es Schadensersatzforderungen im Zusammenhang mit dem CLOUD Act gibt.
Wie kann das eigene Unternehmen geschützt werden?
Wichtig zu wissen ist, dass diese Problematik nur für Unternehmen relevant ist, die Anbieter nutzen, deren Unternehmenssitz in den USA ist und die personenbezogene Daten verarbeiten. Für betroffene Unternehmen bieten sich folgende Möglichkeiten an:
- Das Problem ignorieren und hoffen, dass die EU diese mit entsprechenden Gesetzen löst. Gerade bei kleineren und weniger bekannten Unternehmen ist die Wahrscheinlichkeit Probleme zu bekommen eher geringer.
- Um zumindest Informationen zu erhalten, besteht die Möglichkeit, Providern mit US-Niederlassungen zu verpflichten, dass diese über Anfragen im Rahmen des CLOUD Act informieren.
- Die sicherste Lösung ist es, derzeit keine Anbieter mit Sitz in den USA zu nutzen, solange es keine klare Rechtslage gibt.
Aus für das Privacy Shield?
Neben dem CLOUD Act ist jetzt auch das Privacy Shield in den Fokus der EU-Behörden gerückt. So fordert der Innenausschuss des EU-Parlaments, zur Einhaltung des Datenschutzes, den transatlantischen Datenschutzschild aufzukündigen. Dieser ist die Voraussetzung für den Transfer von Unternehmensdaten zwischen der EU und den USA.
Damit wird der Druck auf die EU Kommission erhöht, dass die seit dem 25. Mai 2018 gültige DSGVO auch wirklich eingehalten wird. Der Ausschuss verlangt von der EU-Kommission, dass diese zum 1. September den Privacy Shield außer Kraft setzt, sollte sich die USA nicht an die seit 2016 gültigen Vorgaben halten. Schon zum damaligen Zeitpunkt sahen einige EU-Vertreter den Privacy Shield, als Nachfolger für Save Habour, als unzureichend an. Aufgrund, des jetzt in Kraft getretenen CLOUD Act wird das Ungleichgewicht zulasten der EU-Bürger weiter verstärkt.
Um den EU-Bürgern die mit der DSGVO und in der EU-Grundrechtecharta bezweckte Sicherheit bieten zu können, besteht also Handlungsbedarf.
Wenn das Thema für Sie interessant ist, können wir Ihnen auch folgende Beiträge empfehlen:
CLOUD Act unterzeichnet – was bedeutet das?
Über die Autorin:
Sophie Schneider
Sophie Schneider ist seit 2017 Marketing Manager bei der AGNITAS AG. Die studierte Medienwirtschaftlerin und Ökonomin schreibt regelmäßig Blogbeiträge rund um die Themen E-Mail-Marketing, Kampagnen, Recht, Sicherheit und alles was unsere Leser sonst noch interessiert. Darüber hinaus betreut Sophie unsere Social-Media-Auftritte und den Messe- und Eventbereich.