Hinter dem simplen Begriff „Cloud Act“ versteckt sich die Möglichkeit für US-Behörden auf personenbezogene Daten in ganz Europa zugreifen zu können. Was sich genau dahinter verbirgt und wie das Gesetz zustande kam, erfahren Sie in diesem Artikel.
Was ist der CLOUD Act?
CLOUD Act ist ein Gesetz, das aus der USA stammt. „CLOUD“ ist dabei die Abkürzung für „Clarifying Lawful Overseas Use of Data Act„. Übersetzt heißt es „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten, die im Ausland liegen“.
Im Kern sorgt der CLOUD Act dafür, dass US-Behörden zur Strafverfolgung auf Daten zugreifen können, die außerhalb der USA gespeichert sind. Denn es verpflichtet Internet-Unternehmen und Online-Dienstleister, US-Unternehmen Zugriff auf Daten zu gewähren, sobald sich der Speicherort in den Vereinigten Staaten befindet.
Zusätzlich umstritten ist die Erstellung von bilateralen bzw. zweiseitigen Abkommen, die es Behörden im Ausland erlauben würde, Anfragen zu Daten direkt an große Unternehmen zu stellen, ohne dass eine gerichtliche Instanz dazwischen steht. Denn durch das CLOUD-Gesetz können ausländische Unternehmen auf sensible Daten zugreifen, die von US-Unternehmen in anderen Ländern gespeichert wurden.
So entstand der CLOUD Act
Sie haben womöglich noch nicht von dem CLOUD Act gehört? Keine Sorge, so geht es vielen Personen und Unternehmen. Denn das Gesetz kam zeitgleich mit der viel diskutierten DSGVO heraus. Es wurde am 23. März 2018 unterzeichnet und fiel daher an so manchen Stellen unter den Tisch. Allerdings hat das Gesetz weitreichende Auswirkungen, denn es steht in Teilen sogar im Widerspruch zur DSGVO.
Im Ursprung entstand der „USA Patriot Act“ bereits nach dem Terroranschlag vom 11. September 2011. Die USA benötigte den Patriot Act, damit das FBI und weitere US-Behörden Maßnahmen zur Terrorabwehr und der Verfolgung weiterer Straftaten vornehmen konnten. So wurden US-Unternehmen verpflichtet, Daten über Kunden herauszugeben, die ihren Sitz in Ländern außerhalb der USA hatten.
Im Rahmen eines sogenannten „National Security Letter“ (= Brief zur Nationalen Sicherheit) können US-Behörden sogar den Auftrag erteilen, dass die Empfänger der Daten schweigen sollen. Betroffenen entfällt folglich sogar das Recht über die Vorgänge aufgeklärt zu werden, was gerade mit ihren Daten passiert. In Deutschland ist dieser Vorgang hinsichtlich der aktuellen DSGVO undenkbar und widerspricht jeglichem Datenschutz.
Der Patriot Act war insgesamt sehr lange umstritten, besonders auch, wie mit dem Thema außerhalb der USA umgegangen wird. Aus diesem Grund hat der US-Kongress 2018 genauere Fakten bzw. auch den „Act“ geschaffen, um die Bestimmungen unseren heutigen Cloud-Technologien anzupassen.
Auslöser war ein Streit mit Microsoft
Die Ursache für das CLOUD-Gesetz im Jahr 2018 war eine Verweigerung von Microsoft, Informationen über Kunden herauszugeben, die auf Servern in Irland lagen. Microsoft sollte diese zur Strafverfolgung an US-Behörden herausgeben. Ein Gericht in New York fällte ein Urteil zur Herausgabe. Microsoft hat sich allerdings geweigert und lediglich die Daten herausgegeben, die ihren Speicherort in den USA hatten.
Grenzübergreifende Strafverfolgung – CLOUD ACT vs. DSGVO
US-amerikanische Behörden sehen eine starke Notwendigkeit, mit dem US-Gesetz Verbrechen über Ländergrenzen hinweg zu bekämpfen und für eine weitreichende Sicherheit zu sorgen. Es ist zwar möglich, dass Unternehmen Einspruch erheben und die Weitergabe von sensiblen Daten verweigern können, allerdings ist dies in der Realität nicht immer möglich.
Laut der DSGVO dürfen sensible Daten nur dann international herausgegeben werden, wenn entsprechende Rechtshilfeabkommen in Strafverordnungen vorhanden sind oder andere Übereinkünfte zwischen Drittländern und der EU bestehen. Dahinter steht der Artikel 48 der DSGVO. Zudem regelt der 5. Artikel, dass Rechtfertigungsgründe von gespeicherten Daten in Drittländer vorhanden sein müssen, um personenbezogene Daten herauszugeben.
Konsequenzen für europäische Unternehmen
Das CLOUD Act Gesetz aus der USA kann Unternehmen im Weg stehen, wenn sie einen intensiven Datenschutz verfolgen. Denn sobald sie mit US-amerikanischem Cloud Computing in Berührung geraten, sind deren Services nicht mehr datenschutzkonform. Hier können europäische Firmen abgestraft werden.
Grundlegend unterliegen gespeicherte Daten, die in Europa verarbeitet werden, dem Recht der Europäischen Union und demzufolge der DSGVO. Zwischen der EU und USA gibt es kein Rechtshilfeabkommen in Bezug auf den CLOUD Act. Somit entsteht automatisch ein Verstoß gegen die DSGVO, wenn Firmen einfach Daten weitergeben, die in der EU gespeichert werden. Für Dienstleister aus den Vereinigten Staaten, die europaweit Daten verarbeiten, bedeutet dies eine Zwickmühle. Denn sie müssen sich bei der Datenverarbeitung entscheiden, ob sie gegen die DSGVO oder den Cloud Act verstoßen.
Hinsichtlich der Verantwortung gegenüber den eigenen Kunden wird es ebenfalls problematisch. Denn Unternehmen, die weiterhin Cloud-Anbieter von US-Firmen verwenden, sind nicht länger sicher und datenschutzkonform. Das hat nicht nur rechtliche Konsequenzen, sondern vermindert auch das Vertrauen der eigenen Kunden.
Lösungsansätze für Firmen – Achtung vor US-Cloud-Diensten!
Betroffene Unternehmen, die sich um die eigene IT-Sicherheit sorgen und viel Wert auf den Schutz sensibler Kundendaten sowie Geschäftsinformationen legen, sollten sich sehr genau überlegen, welche Cloud-Anbieter sie nutzen.
Zunächst sollten sich Firmen aus der EU fragen, wo sich der Firmensitz inklusive der Rechenzentren befindet, dessen Cloud-Dienste sie nutzen. Datenschutzrechtlich sind Firmen in Europa auf der sicheren Seite, wenn sie nur Anwendungen verwenden, die bei einem europäischen Cloud-Anbieter mit einem Rechenzentrum in Europa liegen. Von amerikanischen Cloud-Anbietern ist somit stark abzuraten, solange die jeweilige Firma viel Wert auf Datenschutz legt.
Um weiterhin datenschutzkonform zu handeln und dem Zugriff von US-Behörden zu entgehen, schlagen betroffene Unternehmen, wie beispielsweise Microsoft, Wege über dritte Unternehmen ein, die nicht in den USA liegen. So betreibt Microsoft zum Beispiel Office-Software bei einem separaten Dienstleister. Auf die Daten, die mit Office erzeugt werden, hat das amerikanische Unternehmen Microsoft somit keinen eigenen Zugriff mehr. Denn die Daten werden nur in Deutschland abgespeichert und weiterverarbeitet. Fraglich ist jedoch, wie diese Lösung bei zukünftigen Streitfällen innerhalb von US-Gerichten aussehen könnte.
Unternehmen stehen auf der sicheren Seite, wenn Sie nur Cloud-Dienste nutzen, die in der EU liegen. Sollten diese trotzdem zur Herausgabe von Daten durch US-Behörden aufgefordert werden, ist es empfehlenswert, Beschwerden an den entsprechenden, staatlichen Stellen der USA einzureichen. Firmen können damit argumentieren, dass die Daten keine in der USA lebenden Bürger betreffen und der Datenschutz des entsprechenden EU-Landes greift.
Außerdem ist es sehr sinnvoll verschlüsselte Cloud-Dienste zu verwenden. Denn die Aufforderung zur Herausgabe betrifft nur die Übermittlung der Daten, jedoch keine Pflicht diese vorher zu entschlüsseln.
TeamDrive hält sich vom CLOUD Act fern
Unser hochsicherer Cloud-Anbieter TeamDrive hält sich sehr strikt von dem amerikanischen „CLOUD Act“ fern. Denn uns ist sehr wichtig, personenbezogene Daten zu schützen.
Als deutsches Unternehmen verwenden wir nur Server, deren Standorte in der EU liegen bzw. unter europäischer Kontrolle stehen. Außerdem besitzt TeamDrive keine gesellschaftliche Beteiligung eines US Unternehmens und hat selbst keine Niederlassung in den USA. Weiterhin werden alle Daten der TeamDrive Kunden vor dem Hochladen in die Cloud hoch verschlüsselt und die Schlüssel verbleiben unter ausschließlicher Kontrolle des Kunden.
So können wir den Datenschutz laut der aktuellen DSGVO sicherstellen und erfüllen obendrein auch alle Datenschutzanforderungen von Berufsgeheimnisträgern und genügen höchsten Schutzbedürfnissen von vertraulichen Dokumenten jeglicher Art.