Datenschutz

Vorsicht bei der Nutzung von US-Cloud-Diensten

von - 05.11.2019
Digitale Flagge von America und Europa
Foto: BeeBright / shutterstock.com
Annähernd zur gleichen Zeit wie die DSGVO ist der CLOUD Act in den USA in Kraft getreten - dieser erlaubt US-Behörden den Zugriff auf sensible Daten zur Strafverfolgung. Das ist jedoch nicht DSGVO-konform.
Server-Standort snd Entscheidern oft nicht bekannt
(Quelle: NetApp )
Das Tohuwabohu rund um die Datenschutz-Grundverordnung (DSVGO) im vergangenen Jahr war enorm. Wenig beachtet, ist in den USA - quasi im Windschatten der DSGVO - fast zeitgleich der CLOUD Act in Kraft getreten. Das Akronym steht für Clarifying Lawful Overseas Use of Data. Ziel und Zweck des CLOUD Act ist es, US-Behörden zu ermöglichen, im Rahmen der Strafverfolgung Zugriff auf Daten zu erlangen, die bei US-Unternehmen gespeichert sind. Das Gesetz verpflichtet US-Unternehmen zur Herausgabe von Daten, die auf ihren Servern vorhanden sind - auch dann, wenn sich diese im Ausland befinden, also etwa in Europa. Zusätzlich sollen bilaterale Rechtshilfeabkommen zwischen den USA und anderen Staaten abgeschlossen werden. Diese würden es auch nicht US-amerikanischen Behörden ermöglichen, Zugriff auf solche Daten zu erhalten.

Microsofts Klage

Der CLOUD Act ist die Folge einer ganzen Reihe von Rechtsstreitigkeiten um die Herausgabe von Daten an US-Behörden. Der prominenteste Fall war United States gegen Microsoft, der bis zur höchsten gerichtlichen Instanz ging, dem Supreme Court. Der CLOUD Act wurde just zu einem Zeitpunkt ratifiziert, als das Department of Jus­tice die Geduld mit Microsoft verlor - und beendete das Verfahren schlagartig. Damals wollte die US-Behörde von Microsoft die Daten eines US-Bürgers, die sich auf Cloud-Servern von Microsoft in Irland befanden. Microsoft verweigerte die Herausgabe und berief sich auf die Datenschutzgesetze Irlands und der EU. Beim CLOUD Act spielt es nun keine Rolle mehr, wo der Cloud-Provider seine Server betreibt, er zwingt ihn gewissermaßen dazu, die jeweiligen nationalen Gesetze zu brechen.

Was der CLOUD Act besagt

Selbst für gestandene Juristen ist es keine leichte Aufgabe, die Inhalte und Auswirkungen des CLOUD Act genau zu bestimmen. Michael Scheffler, Area Vice President EMEA beim Cloud-Security-Anbieter Bitglass, erklärt es so: „Der CLOUD Act dient dazu, US-Behörden die Ermittlungen in Strafverfahren zu erleichtern. Er ermöglicht ihnen den Zugriff auf Kommunikationsdaten, die Telekommunikations-, E-Mail- oder Cloud-Anbieter im Ausland gespeichert haben. Dafür wurde bislang das Verfahren des Rechtshilfeersuchens genutzt, bei dem US-Behörden mit Unterstützung der Ermittlungsbehörden im Ausland von den Unternehmen die entsprechenden Daten anfordern können. Gemäß CLOUD Act kann die Aushändigung von Kommunikationsdaten aus dem Ausland nun unmittelbar durch die Unternehmen auf Veranlassung der US-Behörden erfolgen.“
Oft stößt man auf das Missverständnis, der CLOUD Act betreffe nur US-Unternehmen. Der CLOUD Act richtet sich aber an alle Unternehmen, die der US-Gerichtsbarkeit unter­liegen. Er gilt vielmehr unabhängig davon, ob Unternehmen in den USA oder in einem anderen Land niedergelassen sind. Das bedeutet, dass jedes Unternehmen mit einer Zweigstelle, einem kleinen Büro oder einer Tochtergesellschaft in den USA dem CLOUD Act unterliegt. Einzelne US-Gerichte gehen noch weiter: Sie haben geurteilt, dass der CLOUD Act selbst für Nicht-US-Webseiten gilt, die von Kunden mit Sitz in den Vereinigten Staaten genutzt werden. Zwar können die betroffenen Unternehmen gegen die Herausgabe der Daten Einspruch einlegen - dieses Vorgehen erscheint aber wenig erfolgversprechend.
Eva-Maria Scheiter, Managing Consultant GRC beim Security-Dienstleister NTT Security, merkt an: „Es geht die Sorge um, US-Behörden könnten an den Gerichten vorbei agieren und an personenbezogene Daten oder gar Betriebsgeheimnisse gelangen, ohne betroffene Personen oder Unternehmen darüber informieren zu müssen.“ Es bestehe jedoch kein Automatismus zur Herausgabe solcher Daten. Unternehmen könnten gegen eine Herausgabe votieren, dann werde der Fall vor einem US-Gericht verhandelt, das die Regelungen eines Staates gegen die der USA abwägen solle. Eva Maria Scheiter sagt außerdem: „Der CLOUD Act bietet ein weiteres Rechtsinstrument, das für mehr Klarheit in der sich ständig ausweitenden internationalen Gesetzgebung im Bereich der Cyberkriminalität sorgt.“
Verwandte Themen