Wie ein US-Gesetz die DSGVO aushebelt

Eines der Ziele der Datenschutz-Grundverordnung (DSGVO) war die Schaffung von Rechtssicherheit für Unternehmen. In jedem EU-Staat gelten nun die gleichen Datenschutzstandards, und auch US-Firmen, die Geschäfte in EU-Staaten betreiben, müssen sich an die Vorgaben der DSGVO halten.

Speichert etwa ein deutsches Unternehmen ­Daten auf den irischen Servern eines US-Cloud-Anbieters, unterliegen diese der DSGVO und nicht US-Recht. Doch diese Rechtssicherheit wurde möglicherweise ausgehebelt. Während in den Wochen vor Inkrafttreten der DSGVO noch umfassend und oft kon­trovers über selbige diskutiert wurde, hat der US-Kongress, weitgehend unbeachtet von der europäischen Öffentlichkeit, mit dem Cloud Act ein Gesetz ver­abschiedet, das US-Firmen verpflichtet, gegen die DSGVO zu verstoßen.

Der Cloud Act (Clarifying Law-ful Overseas Use of Data Act) ist ein US-Gesetz, das im März 2018 vom US-Kongress beschlossen wurde. Es verpflichtet US-Cloud-Anbieter dazu, US-Behörden Zugriff auf gespeicherte Daten zu ermöglichen, auch wenn diese Daten außerhalb der USA gespeichert sind. Dabei wird deutlich gemacht, dass geltendes nationales Recht nicht als Hinderungsgrund für die Herausgabe der Daten gilt.

Ein US-Unter­nehmen mit Server-Standort in der EU ist also verpflichtet, US-Behörden Zugriff auf diese Server zu gewähren, obwohl ihm dies laut DSGVO untersagt ist. Besonders kritisch: Als US-Anbieter gilt potenziell jedes Unternehmen mit Sitz in den USA, auch wenn das nicht der Hauptsitz ist. Ausschlaggebend ist, dass der US-Anbieter die Daten kontrolliert. Betroffen können also sowohl die Anbieter der Cloud-Technologien sein als auch die Data Owner, die auf die Technologien dieser Anbieter setzen.

Die betroffenen Unternehmen sitzen in der Zwickmühle. Entweder sie verstoßen durch Herausgabe der Daten gegen die DSGVO, wenn sie dem Anliegen der US-Gerichte nachkommen, oder gegen US-Recht, wenn sie es nicht tun. Sie können nicht rechtssicher handeln und müssen im Zweifel die eigenen Konsequenzen abwägen. Angesichts der nach der ­DSGVO in Aussicht stehenden Bußgelder von bis zu 4 Prozent des weltweiten Konzernjahresumsatzes wird sich das nicht einfach gestalten.

Die DSGVO sollte Rechtssicherheit schaffen. Ob ihr das insgesamt gelungen ist, darüber lässt sich streiten. Bei vielen Passagen herrscht noch immer Uneinigkeit über ihre Interpretation unter Juristen, Datenschutzbehörden, ja selbst unter den Politikern, die die DSGVO mit erarbeitet haben. ­Diese Unsicherheit für Unternehmen wird sich noch weiter verschärfen, wenn man sich nicht darauf verlassen kann, dass sich alle von der DSGVO betroffenen Dienste und Anbieter an die Verordnung halten, ja manche sich nach US-Recht noch nicht einmal daran halten dürfen.