Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben – allerdings nur, wenn die Daten in den USA liegen.

Mit dem CLOUD Act stellt die Regierung der USA nun auch den Zugriff auf ausländische Server sicher.

 

In der USA müssen gemäß dem sogenannten Patriot Act gespeicherte Daten, die Gegenstand strafrechtlicher Ermittlungen sind, auf behördliche oder richterliche Anweisung von Unternehmen herausgeben werden.

Die Voraussetzungen für eine solche Zusammenarbeit zwischen Behörden und Unternehmen wichen dabei häufig deutlich voneinander ab.

Jüngst gab es einen Streit zwischen dem US-Konzern Microsoft und der US-Regierung. Microsoft hatte sich einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland befanden.

Der Cloud-Act soll so etwas wieder aushebeln um der Regierung dennoch den Zugriff auf die gewünschten Date zu ermöglichen.

Am 17. April 2018 erklärte der US Supreme Court, das höchste US-amerikanische Gericht, den Rechtsstreit auf Antrag der US-Regierung für erledigt. Microsoft muss den US-Ermittlungsbehörden nun Zugriff auf die in der EU gespeicherten Daten gewähren.

Der Grund für diese überraschende Wendung liegt in einem neuen Gesetz, das den Zugriff US-amerikanischer Behörden auf Daten erheblich ausweitet – sogar rückwirkend.

 

Internationale Gepflogenheiten ignoriert

Mit dem sogenannten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“, auf Deutsch etwa „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“. Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.

Der CLOUD Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Die Datenherausgabe setzt auch nicht voraus, dass es ein internationales Rechtshilfeabkommen gibt, das solche Fälle regelt. Im konkreten Fall kann sich Microsoft also nach US-Recht nicht darauf berufen, dass das irische oder das dort ebenfalls geltende EU-Recht die Datenherausgabe etwa von einem Rechtshilfeersuchen der US-amerikanischen Behörden an die irischen Behörden abhängig macht. Ein Konflikt zwischen den Rechtsordnungen Irlands und der USA scheint hier also unausweichlich.

Das Inkrafttreten der EU-Datenschutz-Grundverordnung, kurz DSGVO, bereichert den Zwist um einen weiteren Aspekt. Artikel 48 DSGVO regelt das Herausgeben von Daten an Behörden eines Landes außerhalb der EU: „Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen […] nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“

Laut dieser Vorschrift wäre das Herausgeben von Microsoft in Irland gespeicherter Daten an eine US-Behörde außerhalb eines Rechtshilfeabkommens rechtswidrig, weil es gegen EU-Recht verstößt. Dafür spricht auch Erwägungsgrund 115 zur DSGVO, eine Art Auslegungshilfe zu dieser EU-Vorschrift: „Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden.“

Nach Artikel 83 Absatz 5 DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 DSGVO sogar die besonders hohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist.

 

Office 365 Deutschland – Eine Lösung für Daten in der Cloud?

Eine Lösung wäre das von Microsoft umgesetzte Modell der Datentreuhand. Unter dem Namen „Office 365 Deutschland“ bietet das Unternehmen Office-Anwendungen an, die T-Systems als Dienstleister betreibt. Dabei erzeugte Daten sind ausschließlich in Deutschland gespeichert, ohne dass Microsoft auf sie Zugriff hat. Demzufolge lautet ein Werbespruch für dieses Angebot „Bereitgestellt aus deutschen Rechenzentren mit Datenspeicherung in Deutschland“.

Sprich: Die Daten seien dem Zugriff US-amerikanischer Behörden entzogen.

 

EWeitere Editierung vorgesehen …

Vereinbarungen unter Ausschluss der Parlamente

Da sich die Daten auf diese Weise nicht unter der Kontrolle des eigentlichen US-Anbieters – hier Microsoft – befinden, könnte dieser einer Herausgabeanordnung nach dem CLOUD Act unabhängig von rechtlichen Erwägungen also gar nicht mehr folgen. Wie US-Behörden mit solchen Fällen umgehen, ist allerdings noch nicht bekannt. Letztlich könnte der CLOUD Act erweitert werden und US-Unternehmen solche Umgehungspraktiken einfach verbieten. Es fragt sich überdies, wie sich US-Behörden verhalten werden, wenn sich etwa die US-Tochter eines ausländischen Unternehmens weigert, bei der Mutter- oder einer Schwestergesellschaft gespeicherte Daten herauszugeben.

Der CLOUD Act bringt eine weitere Neuerung bei der Herausgabe von Daten an Behörden im internationalen Kontext: Danach können die USA mit anderen Ländern exklusive Vereinbarungen abschließen, die direkte Anfragen einer Behörde bei einem Unternehmen im Partnerland auf Datenherausgabe gestatten. Und diese Anfragen sind ohne Einschaltung von Gerichten möglich, da sie nur auf Verwaltungsebene greifen sollen. Die betroffenen Unternehmen müssten zudem selbst entscheiden, ob sie die Daten an die ausländische Behörde herausgeben oder eine sogenannte „Comity Analysis“ beantragen.

Die Comity Analysis ist der Rechtsschutz, den betroffene US-Unternehmen gegen Anordnungen nach dem CLOUD Act ergreifen können. Nur wenn Länder eine Exekutivvereinbarung mit den USA schließen, können sich Unternehmen wie Microsoft vor Gericht darauf berufen, dass die herauszugebenden Daten weder einen US-Bürger noch einen in den USA ansässigen Nicht-US-Bürger betreffen und zusätzlich die Herausgabe höchstwahrscheinlich das Datenschutzrecht eines Landes verletzt, das mit den USA eine solche Exekutivvereinbarung abgeschlossen hat.

Letztlich zwingt dieser Mechanismus Staaten dazu, mit den USA entsprechende Vereinbarungen zu schließen, die das Persönlichkeitsrecht und damit das Recht an personenbezogenen Daten ihrer Bürger oder von in ihrem Staatsgebiet gespeicherten Daten gegenüber US-Behörden wirksam schützen. Dass sie in umgekehrter und gleicher Weise Daten herausverlangen dürfen, die in den USA gespeichert sind, dürfte in den wenigsten Fällen relevant sein. Deutlich seltener als umgekehrt dürfte es Nicht-US-Unternehmen geben, die in den USA Daten speichern, die für ausländische Ermittlungsverfahren von Relevanz sind.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen. Erst kürzlich hat auch die EU-Kommission eine ähnliche Gesetzesinitiative auf den Weg gebracht und sich zu Verhandlungen mit der US-Regierung bereit erklärt.

Allerdings sieht der CLOUD Act nur Verhandlungen mit „ausländischen Regierungen“, nicht jedoch mit „internationalen Organisationen“ vor, etwa der EU. Bis zum Redaktionsschluss stand noch nicht fest, ob US-Justizminister Sessions seine bisherige Weigerung aufgeben wird, mit der EU-Kommission zu verhandeln. Deutschland und andere EU-Staaten haben bereits angekündigt, dass sie nicht an direkten bilateralen Abkommen mit den USA interessiert sind und auf eine Lösung auf EU-Ebene setzen.

 

Fazit

Der CLOUD Act aus den USA verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Das steht im Konflikt mit dem Recht der EU und ihrer Mitgliedsstaaten. Ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an US-Behörden übergeben werden. Betroffene Unternehmen müssen sich also entscheiden, welches Recht sie verletzen. Eine auf Dauer inakzeptable Situation. Ob sich die USA doch noch auf Gespräche mit der EU zur Lösung dieser Gemengelage einlässt, ist offen. Bislang will sie nur direkt mit den Regierungen einzelner Staaten sprechen.

Fälle wie der von Microsoft sind auch deswegen brisant, weil die US-Regierung offenbar eine ihr unliebsame Rechtslage und das Risiko, vor Gericht eine Niederlage einzustecken, dadurch beseitigt, dass sie rückwirkend die anwendbaren gesetzlichen Grundlagen ändert. Der CLOUD Act sieht vor, dass Konflikte zwischen verschiedenen Rechtsordnungen durch Exekutivvereinbarungen zwischen den USA und anderen Staaten entschärft werden.

Ob und wie sich dieser Konflikt angesichts ablehnender Haltung der US-Regierung zu Gesprächen über diesen Punkt mit der EU-Kommission lösen lässt, ist derzeit nicht absehbar. Leidtragende sind die Unternehmen. Wer als Betroffener auf Nummer sicher gehen will, muss künftig zudem nicht nur darauf achten, wo seine Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat. Das gilt auch für nicht personenbezogene Daten, die etwa Geschäfts- und Betriebsgeheimnisse umfassen.

 
Tobias Haar, LL.M. (Rechtsinformatik), MBA,

 

Quelle: https://www.heise.de/ix/heft/Wolkenbruch-4089925.html

 

 

Categories:

Tags:

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.