US Gesetz hebelt DSGVO aus

cloud act

Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben. Dies galt bisher allerdings nur, wenn die Daten in den USA lagen. Mit dem CLOUD Act stellt die Trump Regierung nun auch den Zugriff auf ausländische Server sicher.

Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. C.L.O.U.D steht für „Clarifying Lawful Overseas Use of Data Act“, ( „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“).  Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.

Unternehmen in den USA müssen gemäß dem sogenannten Patriot Act gespeicherte Daten, die Gegenstand strafrechtlicher Ermittlungen sind, auf behördliche oder richterliche Anweisung herausgeben. Auch wenn die Voraussetzungen für eine solche Zusammenarbeit zwischen Behörden und Unternehmen im Detail voneinander abweichen, gilt dies im Grundsatz so in vielen Ländern. Ein neues LIcht hat allerdings ein Streit zwischen dem US-Konzern Microsoft und der US-Regierung auf dieses Thema geworfen. Das Unternehmen hatte sich einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland befanden.

Microsoft argumentierte in dem Fall mit dem Datenschutz und damit, dass das Datenschutzrecht des Landes gelte, in dem die Daten gespeichert sind. Und das sieht in einem solchen Fall vor, dass irische Behörden und Gerichte auf der Basis von Rechtshilfeabkommen ihren US-Kollegen Amtshilfe gewähren oder eben verweigern. Nur bei Vorliegen aller entsprechenden Voraussetzungen darf dann eine Datenübermittlung stattfinden. Unabhängig von Daten ist Amtshilfe bislang bei grenzüberschreitenden strafrechtlichen Ermittlungen stets das übliche Vorgehen.

Am 17. April 2018 erklärte der US Supreme Court, das höchste US-amerikanische Gericht, den Rechtsstreit auf Antrag der US-Regierung für erledigt. Nun muss Microsoft den US-Ermittlungsbehörden Zugriff auf die in der EU gespeicherten Daten gewähren. Der Grund für diese überraschende Wendung liegt in einem neuen Gesetz, das den Zugriff US-amerikanischer Behörden auf Daten erheblich ausweitet – sogar rückwirkend.

Der CLOUD Act der USA verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Das steht im Konflikt mit dem Recht der EU und ihrer Mitgliedsstaaten. Ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an US-Behörden übergeben werden. Betroffene Unternehmen müssen sich also entscheiden, welches Recht sie verletzen. Eine auf Dauer inakzeptable Situation. Ob sich die USA doch noch auf Gespräche mit der EU zur Lösung dieser Gemengelage einlässt, ist offen. Bislang will sie nur direkt mit den Regierungen einzelner Staaten sprechen.

Firmen wie Microsoft hatten z.B. Ihren Service Office 365 aus Datenschutzgründen in Datencentren der T-Systems in Deutschland ausgelagert um selber keinen Zugriff mehr auf die Daten zu haben. Mit dem CLOUD Act kann auch diese Lösung nicht vor Zugriffen der US Regierung schützen.

Wie sich dieser Konflikt angesichts ablehnender Haltung der US-Regierung zu Gesprächen über diesen Punkt mit der EU-Kommission lösen lässt, ist derzeit nicht absehbar. Leidtragende sind die Unternehmen. Wer als Betroffener auf Nummer sicher gehen will, muss künftig  nicht nur darauf achten, wo seine Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat. Das gilt auch für nicht personenbezogene Daten, die etwa Geschäfts- und Betriebsgeheimnisse umfassen.