Schneller als von vielen Marktbeobachtern erwartet – und trotz aller Bitten und Warnungen – wurde bereits Ende März der Clarifying Lawful Overseas Use of Data (CLOUD) Act verabschiedet. Nach dem neuen Gesetz sind amerikanische Internet-Unternehmen, also auch Cloud Service Provider aus den USA, dazu verpflichtet, amerikanischen Sicherheitsbehörden Zugriff auf Nutzerdaten zu ermöglichen, die außerhalb der USA gespeichert sind.
Im Gegenzug erhalten ausländische Sicherheitsbehörden die Möglichkeit, ihrerseits auf Nutzerdaten in den USA zuzugreifen. Dafür müssen die jeweiligen Regierungen allerdings bilaterale Abkommen mit den USA schließen.
Ausgangspunkt: Rechtsstreit mit Microsoft
Ausgangspunkt für die Neuregelung war unter anderem ein bereits seit mehrern Jahren laufendes Gerichtsverfahren zwischen der Firma Microsoft und US-Justizbehörden. Das Unternehmen hatte sich bisher geweigert, in einem Rechenzentrum in Irland gespeicherte Nutzerdaten an die Behörden herauszugeben. Das Verfahren liegt mittlerweile beim Obersten Gerichtshof in den USA, die Entscheidung steht noch aus. Vor dem Hintergrund des neuen Gesetzes stellt sich natürlich die Frage, ob diese Entscheidung überhaupt noch von Belang ist, denn Microsoft ist nun eigentlich gesetzlich dazu verpflichtet, die Daten herauszugeben.
CLOUD Act und EU-DSGVO
Rechtsexperten sehen in der neuen Regelung einen klare Konfrontation zu den in der ab Mai 2018 EU-weit gültigen EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese räumt dem Schutz personenbezogener Daten von EU-Bürgern höchste Priorität ein und untersagt genau den im CLOUD Act geregelten Zugriff auf Nutzerdaten, ohne dass der Nutzer informiert wird. Darüber hinaus hat der Betroffene nicht die Möglichkeit, sich gegen den Zugriff zu wehren. Ein Einspruchsrecht liegt lediglich beim amerikanischen Cloud Service Provider.
CLOUD Act und EU-US-Privacy Shield
Eine weitere Regelung, die durch das neue US-Gesetz beeinträchtigt werden könnte, ist der EU-US-Privacy Shield, der 2016 als Nachfolgeregelung des vom EuGH gekippten Safe Harbor-Abkommens verabschiedet wurde. Bisher können Daten aus der EU an US-Unternehmen, die dem EU-US-Privacy Shield beigetreten sind, übermittelt werden, da das Datenschutzniveau dem der EU angeglichen wurde. Inwieweit das amerikanische Datenschutzniveau nach Verabschiedung des CLOUD Act noch dem EU-Datenschutzniveau entspricht, muss sicher noch geklärt werden.
CLOUD Act: Überrumpelungstaktik oder Kampf gegen das internationale Verbrechen?
Auf amerikanischer Seite wird man nicht müde, zu betonen, dass die neuen Gesetze ausschließlich dazu dienen, den Kampf gegen das internationale Verbrechen zu gewinnen. Auf europäischer Seite scheint man zumindest von der Geschwindigkeit, mit der mit der Verabschiedung des CLOUD Act Fakten geschaffen wurden, überrascht worden zu sein.
2 Gedanken zu „Jetzt also doch: CLOUD Act ermöglicht behördlichen Zugriff auf Nutzerdaten außerhalb der USA“