Wo sich EU- und US-Recht widersprechen – Die Cloud muss Grenzen kennen

Seit Mai 2018 gibt es einen Konflikt zwischen der Europäischen DSGVO und dem US-amerikanischen CLOUD Act. Was hinter der Regelung steckt und wie Mittelständler dem Konflikt aus dem Weg gehen können.

Illustration: Absmeier, Thommas68

 

Seit dem Frühjahr befinden sich das US-amerikanische und das europäische Datenschutzrecht auf Kollisionskurs. Viele mittelständische Unternehmen in Deutschland sollten sich der weitreichenden Auswirkungen bewusst sein, wenn sie über Softwarelösungen und Dienste aus der Cloud nachdenken.

Seit März dieses Jahres steht der Begriff CLOUD als Abkürzung für »Clarifying Lawful Overseas Use of Data«, also die Klärung der gesetzmäßigen Verwendung ausländischer Daten. Das zugehörige US-Gesetz trägt den Titel CLOUD Act und steht aufgrund seiner Natur in Widerspruch zu europäischen Datenschutz- und Sicherheitsbestimmungen:

Unternehmen, die ihren Firmensitz in den USA haben, sind nun nicht mehr nur im Rahmen des sogenannten Patriot Act zur Kooperation mit den Ermittlungsbehörden ihres Landes verpflichtet. Sie sind es auch dann, wenn sie Nutzungs- und Kundendaten auf Servern außerhalb der Vereinigten Staaten verarbeiten und selbst wenn sie eigene Rechenzentren in Deutschland oder im sonstigen Geltungsbereich europäischer Gesetze wie der DSGVO (Datenschutzgrundverordnung) unterhalten.

Mit Inkrafttreten des CLOUD Act ist nun auch der Schlusspunkt unter ein Gerichtsverfahren gesetzt, das Microsoft jahrelang durch alle Instanzen verfolgt hatte: Das Unternehmen hatte sich gegen die Herausgabe von Daten auf ihren Servern in Irland gewehrt und bis zum obersten amerikanischen Gerichtshof geklagt. Angesichts der neuen gesetzlichen Bestimmungen sieht der Supreme Court jetzt jedoch keine Veranlassung mehr, sein ursprünglich für den Sommer angekündigtes Urteil zu fällen.

 

Zugriff vs. Schutzanspruch

Die spannende Frage für amerikanische Technologie-, Internet- und Cloud-Unternehmen ist, ob und in wieweit der CLOUD Act sie bei ihrem internationalen Geschäft beeinträchtigen kann. Transkontinentale Konflikte beim Datenschutz und der Konformität mit den Bestimmungen der europäischen Datenschutzgrundverordnung (DSGVO) scheinen kaum vermeidbar zu sein. Das gilt vor allem für den in der EU gültigen Anspruch auf Auskunft zum Umgang und zur Weiterverwendung personenbezogener Daten: Der CLOUD Act untersagt, Betroffene über Datenweitergaben zu informieren, die DSGVO hingegen beinhaltet die Auskunftspflicht.

Nicht nur deshalb bezweifeln Juristen und Datenschützer auf beiden Seiten des Atlantiks, dass die aktuellen Rechtsgrundlagen für eine Umsetzung des US-Gesetzes auf europäischem Boden ausreichend sind. Laut DSGVO darf eine Offenlegung und Weitergabe von Nutzer- und Kundeninformationen an Behörden in »Drittländern« (also Staaten außerhalb der EU) nur dann erfolgen, wenn offizielle Rechtshilfeabkommen und verbindliche Übereinkunft mit dem jeweiligen Drittland bestehen.

Als besonders kritisch in diesem Zusammenhang gilt daher die Abwesenheit gerichtlicher Kontrolle, die der CLOUD Act vorsieht. Demnach brauchen US-Behörden keine richterlichen Durchsuchungsbeschlüsse mehr und können ein langes Stück der aktuellen internationalen Rechtswege umgehen.

 

Compliance als Konfliktfeld

Für amerikanische Technik- und Internetkonzerne sind die neuen Bestimmungen ein zweischneidiges Schwert: Wenn sie US-Behörden Daten aushändigen, die auf ihren Servern in Europa gespeichert sind, könnte dies im Geltungsbereich der DVGSO als massiver Rechtsverstoß (etwa gegen Art. 48) betrachtet werden. Dieser Aspekt schmälert die Freude, mit der Unternehmen wie Amazon, Apple, Facebook, Google und selbst Microsoft den CLOUD Act im Frühjahr noch als vernünftige und zeitgemäße Leitlinie für den internationalen Datenaustausch begrüßt hatten.

Vom US-Gesetz quasi verlangte Verstöße gegen die DSVGO und deren Ahndung mit Bußgeldern, die bis zu vier Prozent des –weltweiten—Jahresumsatzes oder 20 Millionen Euro betragen können, sind jedoch nur eine Seite der Medaille. Die andere heißt Kundenvertrauen.

 

Digitalisierung braucht Vertrauen

Für Unternehmen, die ihre Digitalisierung vorantreiben und sich bei der Nutzung von Public Clouds um die Vertraulichkeit sensibler Geschäftsinformationen ebenso sorgen wie um ihre Kundendaten und Gesetzeskonformität, gewinnt eine Frage an Bedeutung: Wo befindet sich der Firmensitz der Anbieter, dessen Lösungen und Cloud-Ressourcen wir nutzen?

Der Grund: Anders als amerikanische Konzerne können regionale Anbieter nicht in die schwierige Lage kommen, Daten von europäischen Servern zwangsweise an US-Behörden weitergeben zu müssen. »Als deutsches Unternehmen unterliegen wir europäischem Recht und sorgen mit umfassenden Know-how für die Sicherheit der Anwendungen und Daten unserer Kunden«, berichtet Michael Padberg, Geschäftsführer der Professionals Telecom (www.PTC.de). Das Unternehmen aus Wörthsee bietet mittelständischen und Großunternehmen ganzheitliche Voice-, Video- und Web-Kommunikationsinfrastrukturen. Die Sicherheit der Daten ist bei den Gesprächen, die Michael Padberg mit seinen Kunden führt, ein wesentliches Thema. Er weist darauf hin, dass Unternehmen nicht notwendig darauf verzichten müssen, Technologie amerikanischer Anbieter zu nutzen: »Zu unseren Leistungen gehört selbstverständlich auch, dass wir die von Kunden genutzten Lösungen amerikanischer Hersteller quasi treuhänderisch betreuen und gegen unberechtigte Zugriffe schützen.« Allerdings bemerkt Padberg bei seinen Kunden auch einen klaren Trend hin zu Private-Cloud-Lösungen.

 

Fazit

Noch ist nicht abzusehen, ob und wie schnell neue bi-laterale Abkommen zum Datenzugriff- und Datenaustausch ausreichende Rechtssicherheit zwischen der EU und den USA schaffen werden. Entscheider in Unternehmen könnten es daher sinnvoller finden, sich von den Business-Plattformen amerikanischer Firmen zurückzuziehen beziehungsweise sich stattdessen von vorn herein regionalen Anbietern zuzuwenden – also Unternehmen mit Hauptsitz innerhalb der EU, die alle ihnen anvertrauten Daten und Anwendungen nach hiesigen Bestimmungen verwalten, speichern und sichern.

 


 

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

Illustration: Absmeier, ocv

 

Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in Richtung informationeller Selbstbestimmung. Dank Neuregelungen wie den Einwilligungsanforderungen, dem Auskunftsrecht oder dem sogenannten »Recht auf Vergessenwerden« wurden unsere Rechte als Betroffene erheblich gestärkt.

 

Gesetzlich gebilligter Zugriff auf personenbezogene Daten – Widerspruch zwecklos

Wäre da nicht diese dunkle Wolke, die sich scheinbar unbemerkt von Medien und Politik über der friedlichen Szenerie breitmacht: Der CLOUD Act – kurz für »Clarifying Lawful Overseas Use of Data Act«. Ein US-Gesetz, erlassen am 23. März, das es US-Behörden erlaubt, auf personenbezogene Daten im Ausland zuzugreifen. Der Provider – laut US-Gesetz jede Institution, die Daten sammelt oder bereitstellt – darf ab dem Zeitpunkt der Anfrage keine Daten mehr löschen (auch nicht außerhalb der USA) und ist auch nicht verpflichtet, die betroffene Person beziehungsweise das Unternehmen über den Zugriff zu informieren. Handelt es sich um eine Person, die kein US-Bürger oder -Bewohner ist, oder um ein außerhalb der USA registriertes Unternehmen, kann der Provider Widerspruch gegen den Datenzugriff einlegen. Theoretisch – denn die US-Behörden können vor Gericht gegen den Widerspruch klagen. Ist der Datenzugriff »im Interesse der USA«, wird zugunsten der US-Behörden entschieden und die Daten müssen unmittelbar übergeben werden. Der Provider wird sich also tunlichst überlegen, ob er sich tatsächlich mit den US-Behörden anlegt, denn die Rolle des Gewinners scheint von Anfang an festzustehen …

Doch es wird noch abstruser: Verabschiedet wurde der CLOUD Act als Anhängsel des 2.232-seitigen US-Haushaltsplans. Dieser führt eigentlich die veranschlagten Einnahmen und Ausgaben des Haushaltsjahres auf. Man könnte fast meinen, das Gesetz sollte unentdeckt durchgewunken werden. Wie es der Zufall will, setzt der CLOUD Act auch einem seit Jahren andauernden Streit zwischen Microsoft und den US-Behörden ein Ende. Microsoft weigerte sich, E-Mail-Daten herauszugeben, die sich auf Servern in Irland befanden. Dank des CLOUD Acts ist der Datenzugriff für die USA nun gesichert.

 

CLOUD Act hebelt Errungenschaften der DSVGO aus – wo bleibt der Aufschrei?

Fragen Sie sich jetzt auch, wie sich der CLOUD Act mit unserer DSVGO vereinbaren lässt? Die Antwort: Überhaupt nicht. Es ist vielmehr so, dass der CLOUD Act die Errungenschaften der DSVGO völlig außer Kraft setzt. Unterhalten europäische Provider Niederlassungen in den USA, unterliegen sie automatisch dem CLOUD Act. Mit der Folge, dass US-Behörden Zugriff auf die europäischen Server fordern können. Die betroffenen Personen werden höchstwahrscheinlich niemals davon erfahren. Datenschutz sieht definitiv anders aus. Als Folge dessen hat der Innenausschuss des EU-Parlaments die EU-Kommission ultimativ aufgefordert, das Datenschutzabkommen »EU-US Privacy Shield« als Folge des CLOUD Act zum 1. September zu kippen, wenn sich die US-Seite nicht an die Vereinbarungen von 2016 hält.

Selbstverständlich ist die Weitergabe personenbezogener Daten von EU-Bürgern an US-Behörden ohne Zustimmung eines EU-Gerichts ein Verstoß gegen die DSVGO. Und die betroffenen Personen haben auch das Recht, gegen die Verantwortlichen vorzugehen und Schadensersatz zu fordern, selbst für immaterielle Schäden. Doch wie sollen sie dieses Recht in Anspruch nehmen können, wenn die Provider laut CLOUD Act nicht über einen Zugriff informieren müssen?

Es ist daher zwingend notwendig, dass die Kollision von CLOUD Act und DSVGO nicht länger totgeschwiegen wird und sich die Aufmerksamkeit von Politik und Medien auf dieses brisante Thema richtet. Solange die Rechtslage so unsicher ist, lässt sich das Problem nur lösen, indem Privatpersonen und Unternehmen keine Provider mit US-Niederlassung wählen oder diese verpflichten, sie zumindest über Anfragen im Rahmen des CLOUD Act zu informieren, damit sie von dem drohenden Unheil erfahren.

 

Martin Aschoff, Gründer und Vorstand der AGNITAS AG