US Gesetz hebelt DSGVO aus

cloud act

Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben. Dies galt bisher allerdings nur, wenn die Daten in den USA lagen. Mit dem CLOUD Act stellt die Trump Regierung nun auch den Zugriff auf ausländische Server sicher.

Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. C.L.O.U.D steht für „Clarifying Lawful Overseas Use of Data Act“, ( „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“).  Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.

Unternehmen in den USA müssen gemäß dem sogenannten Patriot Act gespeicherte Daten, die Gegenstand strafrechtlicher Ermittlungen sind, auf behördliche oder richterliche Anweisung herausgeben. Auch wenn die Voraussetzungen für eine solche Zusammenarbeit zwischen Behörden und Unternehmen im Detail voneinander abweichen, gilt dies im Grundsatz so in vielen Ländern. Ein neues LIcht hat allerdings ein Streit zwischen dem US-Konzern Microsoft und der US-Regierung auf dieses Thema geworfen. Das Unternehmen hatte sich einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland befanden.

Microsoft argumentierte in dem Fall mit dem Datenschutz und damit, dass das Datenschutzrecht des Landes gelte, in dem die Daten gespeichert sind. Und das sieht in einem solchen Fall vor, dass irische Behörden und Gerichte auf der Basis von Rechtshilfeabkommen ihren US-Kollegen Amtshilfe gewähren oder eben verweigern. Nur bei Vorliegen aller entsprechenden Voraussetzungen darf dann eine Datenübermittlung stattfinden. Unabhängig von Daten ist Amtshilfe bislang bei grenzüberschreitenden strafrechtlichen Ermittlungen stets das übliche Vorgehen.

Am 17. April 2018 erklärte der US Supreme Court, das höchste US-amerikanische Gericht, den Rechtsstreit auf Antrag der US-Regierung für erledigt. Nun muss Microsoft den US-Ermittlungsbehörden Zugriff auf die in der EU gespeicherten Daten gewähren. Der Grund für diese überraschende Wendung liegt in einem neuen Gesetz, das den Zugriff US-amerikanischer Behörden auf Daten erheblich ausweitet – sogar rückwirkend.

Der CLOUD Act der USA verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Das steht im Konflikt mit dem Recht der EU und ihrer Mitgliedsstaaten. Ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an US-Behörden übergeben werden. Betroffene Unternehmen müssen sich also entscheiden, welches Recht sie verletzen. Eine auf Dauer inakzeptable Situation. Ob sich die USA doch noch auf Gespräche mit der EU zur Lösung dieser Gemengelage einlässt, ist offen. Bislang will sie nur direkt mit den Regierungen einzelner Staaten sprechen.

Firmen wie Microsoft hatten z.B. Ihren Service Office 365 aus Datenschutzgründen in Datencentren der T-Systems in Deutschland ausgelagert um selber keinen Zugriff mehr auf die Daten zu haben. Mit dem CLOUD Act kann auch diese Lösung nicht vor Zugriffen der US Regierung schützen.

Wie sich dieser Konflikt angesichts ablehnender Haltung der US-Regierung zu Gesprächen über diesen Punkt mit der EU-Kommission lösen lässt, ist derzeit nicht absehbar. Leidtragende sind die Unternehmen. Wer als Betroffener auf Nummer sicher gehen will, muss künftig  nicht nur darauf achten, wo seine Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat. Das gilt auch für nicht personenbezogene Daten, die etwa Geschäfts- und Betriebsgeheimnisse umfassen.

 

Die neuen GSGVO Regeln werden uns noch lange beschäftigen

Berlin, 24.05 2018

Presseinformation

Start DS-GVO am 25. Mai 2018: „Die neuen Regeln werden uns noch lange beschäftigen.“ 

BvD-Experten begleiten Unternehmen und Behörden bei der Umsetzung

Mit dem Start der Datenschutz-Grundverordnung am Freitag beginnt in Europa eine neue Zeitrechnung für den Datenschutz. Doch in einigen Punkten fehlt Unternehmen, Selbständigen und auch den Aufsichtsbehörden noch Rechtssicherheit. „Die neuen Regeln werden uns noch lange über den 25. Mai hinaus beschäftigen“, sagte BvD-Vorstand Thomas Spaeing am Donnerstag in Berlin.

Rechtsunklarheit besteht laut Spaeing unter anderem beim Beschäftigtendatenschutz und in der Abstimmung mit der ePrivacy-Verordnung, die aller Voraussicht erst Ende 2019 an die DS-GVO angepasst wird. Ein vielfach diskutiertes Thema ist auch der Medienbruch bei den Informationspflichten, z. B. bei der Videoüberwachung oder auch der einfachen Kontaktaufnahme im Geschäftsleben.

Auch deshalb hofft der BvD, dass die Aufsichtsbehörden mit dem Start der DS-GVO zunächst „mit Augenmaß“ Unternehmen bei der Umsetzung der Richtlinien begleiten werden. „Auch die Aufsichtsbehörden wissen um die vielen Fragen, die noch ungeklärt sind“, sagte Spaeing. „Deshalb sollten Unternehmen sie nicht als Gegner, sondern als Partner verstehen“. Wichtig sei allerdings, dass die Unternehmen auch die Bereitschaft zeigten, das neue Regelwerk umzusetzen.

Der BvD stellt für Behörden und Unternehmen, die noch fachkompetente Datenschutz-Experten suchen, eine Übersicht der Mitglieder zur Verfügung. „Nach dem Ansturm der letzten Monate erhalten wir von unseren Mitgliedern Hinweise, dass sie wieder Kapazitäten haben“, sagte Spaeing.

Zudem stellt der BvD auf seiner Internetseite www.bvdnet.de aktuelle Informationen zur DS-GVO bereit.

Ihr BvD-Ansprechpartner:

Vorstandsvorsitzender Thomas Spaeing, Budapester Straße 31, 10787 Berlin

Tel: 030 . 26 36 77 60, E-Mail: bvd-gs@bvdnet.de