US-Cloud Act vs. DSGVO – Steht unser Datenschutz auf dem Spiel?
Statement von Martin Aschoff, Gründer und Vorstand der AGNITAS AG
Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in Richtung informationeller Selbstbestimmung. Dank Neuregelungen wie den Einwilligungsanforderungen, dem Auskunftsrecht oder dem sogenannten „Recht auf Vergessenwerden“ wurden unsere Rechte als Betroffene erheblich gestärkt.
Wäre da nicht diese dunkle Wolke, die sich scheinbar unbemerkt von Medien und Politik über der friedlichen Szenerie breitmacht: Der CLOUD Act – kurz für „Clarifying Lawful Overseas Use of Data Act“. Ein US-Gesetz, erlassen am 23. März, das es US-Behörden erlaubt, auf personenbezogene Daten im Ausland zuzugreifen. Der Provider – laut US-Gesetz jede Institution, die Daten sammelt oder bereitstellt – darf ab dem Zeitpunkt der Anfrage keine Daten mehr löschen (auch nicht außerhalb der USA) und ist auch nicht verpflichtet, die betroffene Person beziehungsweise das Unternehmen über den Zugriff zu informieren. Handelt es sich um eine Person, die kein US-Bürger oder -Bewohner ist, oder um ein außerhalb der USA registriertes Unternehmen, kann der Provider Widerspruch gegen den Datenzugriff einlegen. Theoretisch - denn die US-Behörden können vor Gericht gegen den Widerspruch klagen. Ist der Datenzugriff „im Interesse der USA“, wird zugunsten der US-Behörden entschieden und die Daten müssen unmittelbar übergeben werden. Der Provider wird sich also tunlichst überlegen, ob er sich tatsächlich mit den US-Behörden anlegt, denn die Rolle des Gewinners scheint von Anfang an festzustehen…
Doch es wird noch abstruser: Verabschiedet wurde der CLOUD Act als Anhängsel des 2.232-seitigen US-Haushaltsplans. Dieser führt eigentlich die veranschlagten Einnahmen und Ausgaben des Haushaltsjahres auf. Man könnte fast meinen, das Gesetz sollte unentdeckt durchgewunken werden. Wie es der Zufall will, setzt der CLOUD Act auch einem seit Jahren andauernden Streit zwischen Microsoft und den US-Behörden ein Ende. Microsoft weigerte sich, E-Mail-Daten herauszugeben, die sich auf Servern in Irland befanden. Dank des CLOUD Acts ist der Datenzugriff für die USA nun gesichert.
CLOUD Act hebelt Errungenschaften der DSVGO aus – wo bleibt der Aufschrei?
Fragen Sie sich jetzt auch, wie sich der CLOUD Act mit unserer DSVGO vereinbaren lässt? Die Antwort: Überhaupt nicht. Es ist vielmehr so, dass der CLOUD Act die Errungenschaften der DSVGO völlig außer Kraft setzt. Unterhalten europäische Provider Niederlassungen in den USA, unterliegen sie automatisch dem CLOUD Act. Mit der Folge, dass US-Behörden Zugriff auf die europäischen Server fordern können. Die betroffenen Personen werden höchstwahrscheinlich niemals davon erfahren. Datenschutz sieht definitiv anders aus. Als Folge dessen hat der Innenausschuss des EU-Parlaments die EU-Kommission ultimativ aufgefordert, das Datenschutz-Abkommen „EU-US Privacy Shield“ als Folge des CLOUD Act zum 1. September zu kippen, wenn sich die US-Seite nicht an die Vereinbarungen von 2016 hält.
Selbstverständlich ist die Weitergabe personenbezogener Daten von EU-Bürgern an US-Behörden ohne Zustimmung eines EU-Gerichts ein Verstoß gegen die DSVGO. Und die betroffenen Personen haben auch das Recht, gegen die Verantwortlichen vorzugehen und Schadensersatz zu fordern, selbst für immaterielle Schäden. Doch wie sollen sie dieses Recht in Anspruch nehmen können, wenn die Provider laut CLOUD Act nicht über einen Zugriff informieren müssen?
Es ist daher zwingend notwendig, dass die Kollision von CLOUD Act und DSVGO nicht länger totgeschwiegen wird und sich die Aufmerksamkeit von Politik und Medien auf dieses brisante Thema richtet. Solange die Rechtslage so unsicher ist, lässt sich das Problem nur lösen, indem Privatpersonen und Unternehmen keine Provider mit US-Niederlassung wählen oder diese verpflichten, sie zumindest über Anfragen im Rahmen des CLOUD Act zu informieren, damit sie von dem drohenden Unheil erfahren.
Bitte beachten Sie auch unseren Blogbeitrag zum Thema unter: https://www.agnitas.de/cloud-act-und-privacy-shield
Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in Richtung informationeller Selbstbestimmung. Dank Neuregelungen wie den Einwilligungsanforderungen, dem Auskunftsrecht oder dem sogenannten „Recht auf Vergessenwerden“ wurden unsere Rechte als Betroffene erheblich gestärkt.
Gesetzlich gebilligter Zugriff auf personenbezogene Daten – Widerspruch zwecklos
Wäre da nicht diese dunkle Wolke, die sich scheinbar unbemerkt von Medien und Politik über der friedlichen Szenerie breitmacht: Der CLOUD Act – kurz für „Clarifying Lawful Overseas Use of Data Act“. Ein US-Gesetz, erlassen am 23. März, das es US-Behörden erlaubt, auf personenbezogene Daten im Ausland zuzugreifen. Der Provider – laut US-Gesetz jede Institution, die Daten sammelt oder bereitstellt – darf ab dem Zeitpunkt der Anfrage keine Daten mehr löschen (auch nicht außerhalb der USA) und ist auch nicht verpflichtet, die betroffene Person beziehungsweise das Unternehmen über den Zugriff zu informieren. Handelt es sich um eine Person, die kein US-Bürger oder -Bewohner ist, oder um ein außerhalb der USA registriertes Unternehmen, kann der Provider Widerspruch gegen den Datenzugriff einlegen. Theoretisch - denn die US-Behörden können vor Gericht gegen den Widerspruch klagen. Ist der Datenzugriff „im Interesse der USA“, wird zugunsten der US-Behörden entschieden und die Daten müssen unmittelbar übergeben werden. Der Provider wird sich also tunlichst überlegen, ob er sich tatsächlich mit den US-Behörden anlegt, denn die Rolle des Gewinners scheint von Anfang an festzustehen…
Doch es wird noch abstruser: Verabschiedet wurde der CLOUD Act als Anhängsel des 2.232-seitigen US-Haushaltsplans. Dieser führt eigentlich die veranschlagten Einnahmen und Ausgaben des Haushaltsjahres auf. Man könnte fast meinen, das Gesetz sollte unentdeckt durchgewunken werden. Wie es der Zufall will, setzt der CLOUD Act auch einem seit Jahren andauernden Streit zwischen Microsoft und den US-Behörden ein Ende. Microsoft weigerte sich, E-Mail-Daten herauszugeben, die sich auf Servern in Irland befanden. Dank des CLOUD Acts ist der Datenzugriff für die USA nun gesichert.
CLOUD Act hebelt Errungenschaften der DSVGO aus – wo bleibt der Aufschrei?
Fragen Sie sich jetzt auch, wie sich der CLOUD Act mit unserer DSVGO vereinbaren lässt? Die Antwort: Überhaupt nicht. Es ist vielmehr so, dass der CLOUD Act die Errungenschaften der DSVGO völlig außer Kraft setzt. Unterhalten europäische Provider Niederlassungen in den USA, unterliegen sie automatisch dem CLOUD Act. Mit der Folge, dass US-Behörden Zugriff auf die europäischen Server fordern können. Die betroffenen Personen werden höchstwahrscheinlich niemals davon erfahren. Datenschutz sieht definitiv anders aus. Als Folge dessen hat der Innenausschuss des EU-Parlaments die EU-Kommission ultimativ aufgefordert, das Datenschutz-Abkommen „EU-US Privacy Shield“ als Folge des CLOUD Act zum 1. September zu kippen, wenn sich die US-Seite nicht an die Vereinbarungen von 2016 hält.
Selbstverständlich ist die Weitergabe personenbezogener Daten von EU-Bürgern an US-Behörden ohne Zustimmung eines EU-Gerichts ein Verstoß gegen die DSVGO. Und die betroffenen Personen haben auch das Recht, gegen die Verantwortlichen vorzugehen und Schadensersatz zu fordern, selbst für immaterielle Schäden. Doch wie sollen sie dieses Recht in Anspruch nehmen können, wenn die Provider laut CLOUD Act nicht über einen Zugriff informieren müssen?
Es ist daher zwingend notwendig, dass die Kollision von CLOUD Act und DSVGO nicht länger totgeschwiegen wird und sich die Aufmerksamkeit von Politik und Medien auf dieses brisante Thema richtet. Solange die Rechtslage so unsicher ist, lässt sich das Problem nur lösen, indem Privatpersonen und Unternehmen keine Provider mit US-Niederlassung wählen oder diese verpflichten, sie zumindest über Anfragen im Rahmen des CLOUD Act zu informieren, damit sie von dem drohenden Unheil erfahren.
Bitte beachten Sie auch unseren Blogbeitrag zum Thema unter: https://www.agnitas.de/cloud-act-und-privacy-shield