Das Verfahren gegen Microsoft zur Herausgabe von in Irland gespeicherten Daten ist diese Woche eingestellt worden. Das hört sich zunächst positiv an. Der Hintergrund ist allerdings bedenklich: Der CLOUD Act soll den Zugriff auf europäische Daten ermöglichen.

Am 23. März war von der US-amerikanischen Regierung mit dem CLOUD Act völlig überraschend ein neues Gesetz verabschiedet worden. Es soll den Zugriff auf Daten in anderen Ländern in Zukunft erleichtern. Pikantes Detail: Das Gesetz war als Afterthought im Rahmen einer Haushaltsdebatte entschieden worden und damit ohne ausführliche Debatte »durch die Hintertür« in den Gesetzgebungsprozess eingegangen (zu den Hintertüren unten mehr).

Der CLOUD Act wurde spontan von großen amerikanischen Herstellern wie Apple und Microsoft begrüßt. Das verwundert etwas. Hatten sie sich doch in den letzten Monaten gegenüber den Forderungen der US-Regierung zur Herausgabe von Daten standhaft gezeigt. Der Beifall ist so zu bewerten, dass der CLOUD Act den US-amerikanischen Anbietern nun mehr Rechtssicherheit gibt und sie nicht weiter zwischen den Stühlen europäischer und US-amerikanischer Gesetzgebung sitzen. Dies wird ihnen vor allem Klagen aus Europa ersparen.

Die Folgen des CLOUD Acts

Der CLOUD Act sieht vor, dass Daten auf Basis von bilateralen Vereinbarungen ausgetauscht werden. Auch heute bestehen vergleichbare Vereinbarungen zwischen den USA und anderen Ländern wie beispielsweise der globale automatische Informationsaustausch. Im Zuge des CLOUD Acts müssen in Zukunft US-Anbieter Daten auf Servern in anderen Ländern herausgeben, wenn es sich um Daten von US-Bürgern handelt.

Dies ist ein weiteres Beispiel einer schrittweisen Aufweichung der regionalen Datensouveränität, basierend auf einem grundsätzlich anderen kulturellen Verständnis von IT-Sicherheit und Datenschutz. Angefangen vom PATRIOT Act, der Zugriff auf Daten in den USA auch ohne Gerichtsbeschluss ermöglicht, über breit angelegte Überwachungsprogramme wie Prism und den Druck, der auf US-Anbieter zur Herausgabe von Daten ausgeübt wird (Apple, Microsoft), bis hin zum CLOUD Act. Individuelle Verfehlungen wie kürzlich von Facebook kommen hinzu.

So überraschend der CLOUD Act verabschiedet wurde, so sehr kann man gespannt sein, was als nächstes kommt. Der Gesetzentwurf 2016 zur verpflichtenden Einrichtung von Backdoors durch US-Hersteller, um die Verschlüsselung zu umgehen, konnte nach öffentlichen Protesten noch abgewendet werden.

Doch was bedeutet das für europäische Unternehmen?

Alle Daten, die mit US-amerikanischen Unternehmen und Personen ausgetauscht werden und die im Zugriff amerikanischer Anbieter sind, sind potenziell vom CLOUD Act gefährdet. Dazu gehören nicht nur Dateien auf Fileservern sondern auch E-Mails. Was das für die Strafverfolgung von VW und Bosch bei der Dieselgate-Affäre bedeutet hätte, lässt sich nur schwer ermessen.

De facto ist jedoch eine erhöhte Unsicherheit in Bezug auf die Datensouveränität bei der Zusammenarbeit mit US-Unternehmen zu erwarten. Auf lange Sicht kann sich das außerdem als problematisch für amerikanische Softwarehersteller herausstellen.

Thomas Deutschmann, CEO, Brainloop