DSGVO vs. CLOUD Act – gegen was wollen Sie verstoßen?

Zwischen der Datenschutzgrundverordnung (DSGVO) und dem neuen amerikanischen CLOUD Act gibt es ein erhebliches Spannungsfeld. Die Frage ist, ob US-Behörden die Gesetze anderer Länder respektieren. BUSYMOUSE zeigt auf, was das für Systemhäuser bedeutet. [...]

Die DSGVO regelt in Artikel 48 den Fall eines Herausgabeverlangens durch Behörden und andere staatliche Stellen eines Drittlandes. Danach dürfen solche Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen (Mutual Legal Assistance Treaty – MLAT) oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat besteht. (c) Oliver Boehmer - bluedesign - stock.adobe.com

Amerikanische Sicherheitsbehörden haben laut Medienberichten teilweise wenig Respekt vor Landesgrenzen. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act), der seit März 2018 in Kraft ist, ist in dieser Hinsicht bereits ein Kompromiss. Vorher beriefen sich FBI & Co. auf den Stored Communications Act (SCA) von 1986, als es noch keine IT-Cloud gab. Gegen die geforderte Datenherausgabe laut SCA wehrte sich vor allem Microsoft und ging vor den Supreme Court mit der Begründung, das SCA gelte nicht für im Ausland vorgehaltene Daten.

Zwei Versuche, SCA zu erweitern, scheiterten im amerikanischen Kongress, bevor der CLOUD Act dann 2018 angenommen wurde. Grundsätzlich legt er fest, dass alle US-Unternehmen bei Vorlage eines Strafbefehls die Daten aus den USA vorlegen müssen, dass aber bei Daten in anderen Ländern die dort geltenden Datenschutzrichtlinien respektiert werden müssen, allerdings nur unter bestimmten Voraussetzungen. Die großen IT-Unternehmen wie Microsoft, Google oder Apple begrüßten den CLOUD Act, während sich Bürgerrechtler unzufrieden zeigten.

Die gerichtliche Auseinandersetzung vor dem Supreme Court zwischen FBI und Microsoft wurde daraufhin vom Obersten Gericht an ein Gericht in New York zurückverwiesen und dadurch erledigt, dass die Strafverfolger ihren Haftbefehl zurückzogen.

DSGVO oder CLOUD Act – wer ist stärker

Die Frage, wie sich Datenschutzgrundverordnung (DSGVO) und CLOUD Act miteinander vertragen, ist schwer zu beantworten. Die DSGVO regelt in Artikel 48 den Fall eines Herausgabeverlangens durch Behörden und andere staatliche Stellen eines Drittlandes. Danach dürfen solche Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen (Mutual Legal Assistance Treaty – MLAT) oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat besteht.

Rechtsanwälte sehen Zwickmühle

Ein Konflikt scheint unausweichlich, urteilen verschiedene Rechtsanwälte: „Letztlich zwingt der CLOUD Act Unternehmen also sich zu entscheiden, ob gegen US-Recht oder das Recht desjenigen Staates verstoßen werden soll, innerhalb dessen die Daten gespeichert sind oder dessen Staatsangehöriger der Bürger ist, dessen Daten in den USA untersucht werden sollen“, sagt Simone Rosenthal, Partnerin bei Schürmann Rosenthal Dreyer. Nils Lölfing, Rechtsanwalt Bird & Bird, betont: „Aufgrund der aktuellen Rechtslage befinden sich Unternehmen in der EU in einer Zwickmühle. So müssten sie bei einer Anfrage von US-Behörden gegen Artikel 48 der EU-DSGVO verstoßen.“ Ebenso sieht es Johanna M. Hofmann, Rechtsanwältin für IT- und Datenschutzrecht in der Wirtschaftskanzlei CMS: „Wird nun ein US-Unternehmen auf Grundlage des CLOUD-Acts aufgefordert, in der EU gespeicherte Daten offenzulegen, kann sich der Anbieter in einer Zwickmühle befinden: Der CLOUD-Act zwingt ihn zur Herausgabe. Das fehlende Durchführungsabkommen hindert ihn daran.“

Eine gute Nachricht ist es, dass ein Weg aus der Zwickmühle möglich erscheint. Die EU und die USA arbeiten derzeit an einer gemeinsamen Lösung, um für mehr Rechtssicherheit zu sorgen.

Systemhäuser sollten vorsichtig sein

Für Systemhäuser ist deshalb große Sorgfalt anzuraten. Wenn Sie Ihre Daten einem amerikanischen Provider anvertrauen, unterliegt dieser selbstverständlich dem CLOUD Act. Aber auch die großen deutschen Provider wie die Telekom und 1&1 sind in großem Maßstab in den USA tätig und gelten deshalb für das Gesetz als amerikanische Unternehmen. Deshalb wurde wohl das von Microsoft und der Telekom entwickelte Modell einer Datentreuhänderschaft mittlerweile eingestellt.

Und das gleiche gilt ebenso für einen kleineren Provider, wenn dieser auch nur eine winzige Geschäftsstelle in den USA unterhält, denn laut CLOUD Act reicht dafür eine signifikante Präsenz aus.

Unser Rat: Verlassen Sie sich auf einen rein deutschen Provider ohne jede Präsenz in den USA mit datenschutzkonformen und hochsicheren Rechenzentren in Deutschland. Das legt dem CLOUD Act jedenfalls eine hohe Hürde in den Weg.

Und die DSGVO führt das schärfere Schwert als der CLOUD Act. Im Juli 2019 wurden in Großbritannien der Hotelkette Marriott und der Fluglinie British Airways Strafzahlungen von insgesamt mehr als 300 Millionen Pfund wegen Verstößen gegen die Datenschutzrichtlinien auferlegt.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*