Cloud Act: USA bläst zum Angriff auf EU-Daten
In den USA hat Präsident Donald Trump den CLOUD Act unterzeichnet. Die Abkürzung steht für den Clarifying Lawful Overseas Use of Data Act, der den bestehenden Stored Communications Act (SCA) ergänzt.
Das neue Gesetz verpflichtet Internet-Unternehmen in den USA, amerikanischen Sicherheitsbehörden auch dann Zugriff auf Daten von Nutzerinnen und Nutzern zu geben, wenn die Daten nicht in den USA gespeichert sind.
Umgekehrt sieht der CLOUD Act auch für ausländische Sicherheitsbehörden die Möglichkeit vor, direkt auf Nutzerdaten in den USA zuzugreifen. Interessierte Staaten können dafür ein bilaterales Abkommen mit den USA schließen.
Hintergrund ist unter anderem die Weigerung von Microsoft, in Irland gespeicherte Kundendaten an amerikanische Sicherheitsbehörden herauszugeben. Inzwischen liegt der Fall United States vs. Microsoft Corp. beim amerikanischen Supreme Court, dem höchsten US-Gericht. Das Gericht hat allerdings noch nicht entschieden. Es stellt sich jetzt die Frage, wie der oberste Gerichtshof damit umgehen wird, dass das neue Gesetz nun etwas ausdrücklich erlaubt, worüber gerichtlich erst noch entschieden werden soll.
Auf das Urteil wird in Fachkreisens schon längere Zeit gespannt gewartet, weil es enorme Auswirkungen auf den Datenschutz hat. Wenn nämlich tatsächlich auch Daten, die außerhalb der USA gespeichert sind, von US-Unternehmen an US-Behörden jederzeit herausgegeben werden müssen, dann stellt das einen klaren Verstoß gegen die Regelungen der Datenschutzgrundverordnung (DSGVO) dar, die Daten von EU-Bürgern – gleich wo sie gespeichert sind – unter einen hohen Schutz stellt, auch vor Zugriffen öffentlicher Stellen.
Die Folge dessen ist, dass ein US-Online-Dienst nicht mehr von einem EU-Unternehmen rechtmäßig genutzt werden kann, da ein Verstoß gegen EU-Recht, also die DSGVO, unvermeidlich ist. Auch sind die Auswirkungen auf das US-EU-Privacy Shield noch nicht abzusehen. Bislang können EU-Daten an US-Unternehmen, die dem Shield beigetreten sind, übermittelt werden, da das Datenschutzniveau dem der EU angeglichen wurde. Doch der CLOUD Act führt dazu, dass das Niveau nicht mehr dem der EU entspricht.
Der CLOUD muss in der Konsequenz dazu führen, dass onlinebasierte US-Services ab sofort als unsicher und nicht datenschutzkonform anzusehen sind. Die EU hat nach unserer Kenntnis noch nicht reagiert. Es ist aber zu erwarten, dass eine Reaktion erfolgt. Wir werden gespannt beobachten, wie sich das Thema weiter entwickelt, und hier berichten.
Das neue Gesetz verpflichtet Internet-Unternehmen in den USA, amerikanischen Sicherheitsbehörden auch dann Zugriff auf Daten von Nutzerinnen und Nutzern zu geben, wenn die Daten nicht in den USA gespeichert sind.
Umgekehrt sieht der CLOUD Act auch für ausländische Sicherheitsbehörden die Möglichkeit vor, direkt auf Nutzerdaten in den USA zuzugreifen. Interessierte Staaten können dafür ein bilaterales Abkommen mit den USA schließen.
Hintergrund ist unter anderem die Weigerung von Microsoft, in Irland gespeicherte Kundendaten an amerikanische Sicherheitsbehörden herauszugeben. Inzwischen liegt der Fall United States vs. Microsoft Corp. beim amerikanischen Supreme Court, dem höchsten US-Gericht. Das Gericht hat allerdings noch nicht entschieden. Es stellt sich jetzt die Frage, wie der oberste Gerichtshof damit umgehen wird, dass das neue Gesetz nun etwas ausdrücklich erlaubt, worüber gerichtlich erst noch entschieden werden soll.
Auf das Urteil wird in Fachkreisens schon längere Zeit gespannt gewartet, weil es enorme Auswirkungen auf den Datenschutz hat. Wenn nämlich tatsächlich auch Daten, die außerhalb der USA gespeichert sind, von US-Unternehmen an US-Behörden jederzeit herausgegeben werden müssen, dann stellt das einen klaren Verstoß gegen die Regelungen der Datenschutzgrundverordnung (DSGVO) dar, die Daten von EU-Bürgern – gleich wo sie gespeichert sind – unter einen hohen Schutz stellt, auch vor Zugriffen öffentlicher Stellen.
Die Folge dessen ist, dass ein US-Online-Dienst nicht mehr von einem EU-Unternehmen rechtmäßig genutzt werden kann, da ein Verstoß gegen EU-Recht, also die DSGVO, unvermeidlich ist. Auch sind die Auswirkungen auf das US-EU-Privacy Shield noch nicht abzusehen. Bislang können EU-Daten an US-Unternehmen, die dem Shield beigetreten sind, übermittelt werden, da das Datenschutzniveau dem der EU angeglichen wurde. Doch der CLOUD Act führt dazu, dass das Niveau nicht mehr dem der EU entspricht.
Der CLOUD muss in der Konsequenz dazu führen, dass onlinebasierte US-Services ab sofort als unsicher und nicht datenschutzkonform anzusehen sind. Die EU hat nach unserer Kenntnis noch nicht reagiert. Es ist aber zu erwarten, dass eine Reaktion erfolgt. Wir werden gespannt beobachten, wie sich das Thema weiter entwickelt, und hier berichten.