Datenschützer warnen: US CLOUD Act bedroht europäische IT-Sicherheit

Gemäß dem sogenannten Patriot Act mussten Unternehmen in den USA bereits seit 2011 Daten, die sie gespeichert haben und die zum Gegenstand von strafrechtlichen Ermittlungen zählen, auf Anweisung einer Behörde oder eines Richters herausgeben. Aber auch weitere Abkommen wie zum Beispiel das Privacy Shield oder Safe Harbor bereiteten Datenschützern bereits große Sorgen. 

CLOUD Act verpflichtet Unternehmen illegaler Weise zur Datenherausgabe

Ende März 2018 ist jedoch mit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ein neues Gesetz in Kraft getreten, dessen Auswirkungen von vielen IT-Entscheidern immer noch enorm unterschätzt werden. Im CLOUD Act wird nämlich die Handhabung von Daten festgelegt, die physisch zwar nicht in den USA gespeichert, aber von US-Unternehmen verwaltet werden. Der CLOUD Act verpflichtet neben Unternehmen aus den USA auch andere Unternehmen, die Daten mit Unternehmen aus den USA tauschen oder Teil eines Unternehmens aus den USA sind dazu, diese sogar ohne vorherigen richterlichen Beschluss US-Behörden zu übergeben. 

Damit steht der CLOUD Act absolut im Widerspruch zur in Europa geltenden EU-Datenschutzgrundverordnung (DSGVO). Denn betroffen sind nahezu alle Daten, die sich in der Kontrolle, dem Besitz oder der Obhut eines Unternehmens befinden. Darunter fallen also nicht nur personenbezogene Daten, sondern auch Patente, unternehmensbezogene Daten und Auswertungen sowie Telemetrie- und Messdaten - also alle Daten, die Sie für gewöhnlich unter Verschluss halten. 

Europäische Unternehmen geraten also unweigerlich in die Lage, wahlweise gegen den US-CLOUD Act oder gegen die EU-DSGVO zu verstoßen. Insofern muss jedes deutsche oder europäische Unternehmen ganz genau prüfen, inwiefern es vom CLOUD Act betroffen ist und wie Sie Ihre Daten vor dem Fremdzugriff der US-Behörden schützen können. 

Fakt ist jedenfalls, dass die Konflikte zwischen den beiden Regularien auf Dauer unbedingt ausgeräumt werden müssen. Aktuell stehen die Gespräche zwischen der EU und den USA jedoch noch völlig am Anfang. Bis hier eine verbindliche Lösung gefunden ist, wird es wohl noch einige Zeit dauern. Und so lange bleibt eine große Unsicherheit, wie die Rechtslage genau zu werten ist, in der europäische Unternehmen – zumindest aktuell – zwangsweise die Rolle des Verlierers einnehmen. 

Der US CLOUD Act ist fast zur selben Zeit in Kraft getreten wie die DSGVO in Europa. Die beiden Regularien machen allerdings sehr deutlich den unterschiedlichen Stellenwert klar: Im Gegensatz zu den USA basiert der Datenschutz in Europa auf dem Grundrecht an informationeller Selbstbestimmung. Mit der DSGVO hat dieser nun eine allgemeingültige Rechtsgrundlage. In den USA hingegen ist der Datenschutz Bestandteil des Verbraucherschutzes und im Wirtschaftsrecht verankert. Das erlaubt es Unternehmen aus den USA ein eigenes Datenschutzniveau zu bestimmen. 

Dies hat allerdings zur Folge, dass mit der DSGVO und dem CLOUD Act für Unternehmen aus Europa zwei unvereinbare Rechtsauffassungen miteinander kollidieren. Geht man nach dem CLOUD Act, so unterliegen Unternehmen aus den USA, die Daten im Ausland verarbeiten, immer dem Recht der USA.

Demzufolge sind sie auch verpflichtet, Daten, die sich in ihrem Besitz, ihrer Kontrolle oder aber auch nur in ihrer Obhut befinden, im Bedarfsfall den US-Behörden offenzulegen: und zwar selbst dann, wenn dazu kein richterlicher Beschluss vorliegt. Für den CLOUD Act spielt es keine Rolle, ob die Daten in einem Rechenzentrum außerhalb der Cloud, in einer Cloud, innerhalb der USA oder im Ausland gespeichert werden. Hier wird nur danach entschieden, ob sie zu einem Unternehmen aus den USA gehören oder nicht. 

Hinter dem CLOUD Act steht der Wunsch und das Ziel, die Strafverfolgung in den USA deutlich schneller voranzubringen. Und das unterstützt natürlich auch ein vereinfachter Zugriff auf Daten, die im Ausland gespeichert werden. Vor Inkrafttreten des CLOUD Act wurde der Zugriff über entsprechende Rechtshilfeabkommen geregelt, die zwischen den einzelnen Regierungsbehörden getroffen wurden.

Besonders auf Cloud-Anbieter, Provider, IT-Dienstleister mit Sitz in den USA sowie natürlich deren Kunden hat der CLOUD Act eine große Auswirkung. Denn vor allem letztere können auch deutsche und europäische Unternehmen sein, die ihre Datenverarbeitung an einen Dienstleister aus den USA abgegeben haben – und zwar auch dann, wenn die Daten in Deutschland oder Europa gespeichert werden. Auch hier gilt uneingeschränkt die Datenübermittlung an die US-Behörden. 

Nicht von der Hand zu weisen ist außerdem, dass sich die US-Behörden nicht nur auf Unternehmen wie z. B. Amazon, Dropbox, Microsoft usw. konzentrieren, die ihren Sitz in den USA haben, sondern auch Unternehmen im Fokus haben, die erwiesenermaßen irgendeine sonstige Verbindung in die USA haben. 

Aufgrund des CLOUD Acts müssen Unternehmen heute genau prüfen, für welchen (Software-)Anbieter sie sich entscheiden.“, sagt auch Christian Volkmer, Datenschutzexperte und Geschäftsführer Projekt 29 GmbH & Co. KG.

>>> Wenn Daten herausgegeben werden, sind die Cloud-Betreiber nicht einmal dazu verpflichtet, Sie darüber zu informieren. Fordern Sie für eine detaillierte Übersicht unser Executive Summary zum US CLOUD Act an.

>>> Oder lesen Sie, was Sie hinsichtlich des CLOUD Acts für Ihre IT-Sicherheit berücksichtigen müssen.