CLOUD Act unterzeichnet – was bedeutet das?

Derzeit sind die meisten Unternehmen emsig dabei, ihre Prozesse der neuen DSGVO anzupassen, um nicht in ernste Schwierigkeiten zu geraten. Ein anderes Ereignis, was für viele europäische Unternehmen wie auch Privatpersonen von ähnlicher Bedeutung ist, wird dabei aber übersehen. Auf der anderen Seite des Atlantiks unterzeichnete der US-Präsident Donald Trump den CLOUD Act. Dieses Gesetz ergänzt den bereits bestehenden Stored Communications Act (SCA) und steht für Clarifying Lawful Overseas Use of Data Act. Für EU-Bürger und Unternehmen birgt dieses in den Medien vernachlässigte Gesetz weitreichende Konsequenzen.

Der CLOUD Act verpflichtet in den USA ansässige Internetunternehmen wie Microsoft, US-Sicherheitsbehörden den Zugriff auf die Daten der Nutzer zu gewähren. Dies gilt auch, wenn die Daten nicht in den USA gespeichert sind und eigentlich die Datenschutzregeln von anderen Staaten gelten, wie bei der EU-DSGVO.

Umgekehrt soll der CLOUD Act aber auch ausländischen Sicherheitsbehörden ermöglichen, über ein bilaterales Abkommen auf die Nutzerdaten von in den USA ansässigen Personen zuzugreifen.

Schon seit 2013 streitet sich die US-Regierung mit dem Softwaregiganten Microsoft vor Gericht um die Herausgabe von Daten von Nicht-US-Bürgern. Also zum Beispiel von uns EU-Bürgern.

Der Anlass für diesen Streitfall war die Anordnung eines US-Richters zur Herausgabe von E-Mail-Daten von Microsoft. Prinzipiell ist das Unternehmen nach dem PATRIOT Act auch dazu verpflichtet. Allerdings handelte es sich in diesem Fall um Daten, die in einem Irischen Rechenzentrum lagen. Microsoft verweigerte den Zugriff und verwies auf die Zuständigkeit des Gerichtes vor Ort.

Infolgedessen gelangte der Fall zum Supreme Court, dem höchsten US-Gericht. Dessen endgültige Entscheidung wurde ursprünglich für diesen Sommer erwartet. Aufgrund des CLOUD Act hat das Gericht den Microsoft-Fall jetzt jedoch zu den Akten gelegt, weil es – so die Richter – keinen Konflikt mehr gäbe, da sich der CLOUD Act auf den Streitfall anwenden ließe.

Bisher galten Daten, die insbesondere in deutschen Rechenzentren gespeichert sind, als sicher aufgrund der hierzulande strengen Datenschutzrichtlinien. Jetzt müssen EU-Bürger aber damit rechnen, dass ihre Daten, bei der Nutzung durch Dienste von US-Unternehmen, nicht mehr allein in Deutschland verbleiben.

Wichtig ist zu beachten, dass es in diesem Fall eine Unterscheidung bei der Behandlung von US-Bürgern und Personen, die in den USA wohnhaft sind, zu Personen. die nicht zu diesem Personenkreis gehören, wie EU-Bürgern, gibt. So verlangt die neue Rechtslage die Herausgabe der personenbezogenen Daten von US-Bürgern und Personen, die in den USA wohnhaft sind, ohne Widerspruchsmöglichkeit. Bei EU-Bürgern und Personen außerhalb des genannten Personenkreises, können die US-amerikanischen Service Provider Einspruch erheben und die Daten nicht herausgeben. Allerdings können die Behörden dagegen klagen, und die US-Gerichte haben explizit die Möglichkeit, die Provider zur Herausgabe der Daten zu zwingen, wenn dies “im Interesse der USA” ist.

Jeder sollte sich also die Frage stellen „Wo sitzt das Unternehmen und sind meine Daten sicher?“ bevor er einen Onlinedienst nutzt. Eventuell gibt es ja auch eine Alternative zu dem gewünschten US-Service.

Insbesondere für Unternehmen hat dieses US-Gesetz ernsthafte Konsequenzen. US-Service Provider sind zudem auch nicht verpflichtet, betroffene Personen oder Unternehmen über herausgegebene Daten zu informieren.

Der CLOUD Act kollidiert stark mit der DSGVO, dem EU-Recht. Wenn diese ab dem 25. Mai 2018 verbindlich wird, werden auch Nicht-EU-Unternehmen in die Pflicht genommen, die Daten von EU-Bürgern verarbeiten. Die Strafen bei Verletzungen der DSGVO sind empfindlich. Unternehmen, die US-Dienste nutzen, geraten dadurch in ernsthafte Bedrängnis. Schon allein aus diesem Grund ist die Nutzung von US-Diensten ab der Gültigkeit der DSGVO sehr problematisch.

Auch bezüglich der Verantwortung gegenüber den eigenen Kunden und der bei deutschen Unternehmen oft beworbenen hohen Datenschutzbestimmungen, ergibt sich die Konsequenz, dass onlinebasierte US-Services nicht mehr sicher und datenschutzkonform sind. Unternehmen, die weiterhin auf US-Dienste setzten, müssen neben der rechtlichen Konsequenz also auch um das Vertrauen ihrer eigenen Kunden fürchten.

Microsoft selbst betrachtet das neue Gesetz übrigens nur als Übergangslösung, bei der das letzte Wort noch nicht gesprochen ist. Denn es ist davon auszugehen, dass durch die entstehenden Konflikte Neuerungen folgen.

Gespannt darf man auch noch auf die Reaktion der EU sein. Bisher liegt diese nach unserer Erkenntnis nicht vor.