CLOUD Act – US-Regierung untergräbt europäischen Datenschutz
Derzeit sind die meisten Unternehmen emsig dabei, ihre Prozesse der neuen DSGVO anzupassen, um nicht in ernste Schwierigkeiten zu geraten. Ein anderes Ereignis, was für viele europäische Unternehmen wie auch Privatpersonen von ähnlicher Bedeutung ist, wird dabei aber übersehen. Auf der anderen Seite des Atlantiks unterzeichnete der US-Präsident Donald Trump den CLOUD Act. Dieses Gesetz ergänzt den bereits bestehenden Stored Communications Act (SCA) und steht für Clarifying Lawful Overseas Use of Data Act. Für EU-Bürger und Unternehmen birgt dieses in den Medien vernachlässigte Gesetz weitreichende Konsequenzen.
Was ist der CLOUD Act?
Der CLOUD Act verpflichtet in den USA ansässige Internetunternehmen wie Microsoft, US-Sicherheitsbehörden den Zugriff auf die Daten der Nutzer zu gewähren. Dies gilt auch, wenn die Daten nicht in den USA gespeichert sind und eigentlich die Datenschutzregeln von anderen Staaten gelten, wie bei der EU-DSGVO.
Umgekehrt soll der CLOUD Act aber auch ausländischen Sicherheitsbehörden ermöglichen, über ein bilaterales Abkommen auf die Nutzerdaten von in den USA ansässigen Personen zuzugreifen.
Hintergrund
Schon seit 2013 streitet sich die US-Regierung mit dem Softwaregiganten Microsoft vor Gericht um die Herausgabe von Daten von Nicht-US-Bürgern. Also zum Beispiel von uns EU-Bürgern.
Der Anlass für diesen Streitfall war die Anordnung eines US-Richters zur Herausgabe von E-Mail-Daten von Microsoft. Prinzipiell ist das Unternehmen nach dem PATRIOT Act auch dazu verpflichtet. Allerdings handelte es sich in diesem Fall um Daten, die in einem Irischen Rechenzentrum lagen. Microsoft verweigerte den Zugriff und verwies auf die Zuständigkeit des Gerichtes vor Ort.
Infolgedessen gelangte der Fall zum Supreme Court, dem höchsten US-Gericht. Dessen endgültige Entscheidung wurde ursprünglich für diesen Sommer erwartet. Aufgrund des CLOUD Act hat das Gericht den Microsoft-Fall jetzt jedoch zu den Akten gelegt, weil es – so die Richter – keinen Konflikt mehr gäbe, da sich der CLOUD Act auf den Streitfall anwenden ließe.
Was bedeutet das für EU-Bürger?
Bisher galten Daten, die insbesondere in deutschen Rechenzentren gespeichert sind, als sicher aufgrund der hierzulande strengen Datenschutzrichtlinien. Jetzt müssen EU-Bürger aber damit rechnen, dass ihre Daten, bei der Nutzung durch Dienste von US-Unternehmen, nicht mehr allein in Deutschland verbleiben.
Wichtig ist zu beachten, dass es in diesem Fall eine Unterscheidung bei der Behandlung von US-Bürgern und Personen, die in den USA wohnhaft sind, zu Personen. die nicht zu diesem Personenkreis gehören, wie EU-Bürgern, gibt. So verlangt die neue Rechtslage die Herausgabe der personenbezogenen Daten von US-Bürgern und Personen, die in den USA wohnhaft sind, ohne Widerspruchsmöglichkeit. Bei EU-Bürgern und Personen außerhalb des genannten Personenkreises, können die US-amerikanischen Service Provider Einspruch erheben und die Daten nicht herausgeben. Allerdings können die Behörden dagegen klagen, und die US-Gerichte haben explizit die Möglichkeit, die Provider zur Herausgabe der Daten zu zwingen, wenn dies “im Interesse der USA” ist.
Jeder sollte sich also die Frage stellen „Wo sitzt das Unternehmen und sind meine Daten sicher?“ bevor er einen Onlinedienst nutzt. Eventuell gibt es ja auch eine Alternative zu dem gewünschten US-Service.
Welche Auswirkungen hat das Gesetz auf Unternehmen?
Insbesondere für Unternehmen hat dieses US-Gesetz ernsthafte Konsequenzen. US-Service Provider sind zudem auch nicht verpflichtet, betroffene Personen oder Unternehmen über herausgegebene Daten zu informieren.
Der CLOUD Act kollidiert stark mit der DSGVO, dem EU-Recht. Wenn diese ab dem 25. Mai 2018 verbindlich wird, werden auch Nicht-EU-Unternehmen in die Pflicht genommen, die Daten von EU-Bürgern verarbeiten. Die Strafen bei Verletzungen der DSGVO sind empfindlich. Unternehmen, die US-Dienste nutzen, geraten dadurch in ernsthafte Bedrängnis. Schon allein aus diesem Grund ist die Nutzung von US-Diensten ab der Gültigkeit der DSGVO sehr problematisch.
Auch bezüglich der Verantwortung gegenüber den eigenen Kunden und der bei deutschen Unternehmen oft beworbenen hohen Datenschutzbestimmungen, ergibt sich die Konsequenz, dass onlinebasierte US-Services nicht mehr sicher und datenschutzkonform sind. Unternehmen, die weiterhin auf US-Dienste setzten, müssen neben der rechtlichen Konsequenz also auch um das Vertrauen ihrer eigenen Kunden fürchten.
Microsoft selbst betrachtet das neue Gesetz übrigens nur als Übergangslösung, bei der das letzte Wort noch nicht gesprochen ist. Denn es ist davon auszugehen, dass durch die entstehenden Konflikte Neuerungen folgen.
Gespannt darf man auch noch auf die Reaktion der EU sein. Bisher liegt diese nach unserer Erkenntnis nicht vor.
Tipp: Mit AGNITAS sind Sie auf der sicheren Seite: Betrieb in deutscher Cloud mit 99,5 Prozent garantierter Verfügbarkeit. 24/7 Monitoring und Administration der Server und Systeme, inklusive Datenhoheit, in Deutschland ohne Abfluss in unsichere Drittländer.
Umfrage: stimmen Sie ab
Über die Autorin:
Sophie Schneider
Sophie Schneider ist seit 2017 Marketing Manager bei der AGNITAS AG. Die studierte Medienwirtschaftlerin und Ökonomin schreibt regelmäßig Blogbeiträge rund um die Themen E-Mail-Marketing, Kampagnen, Recht, Sicherheit und alles was unsere Leser sonst noch interessiert. Darüber hinaus betreut Sophie unsere Social-Media-Auftritte und den Messe- und Eventbereich.