DSGVO vs. CLOUD Act – gegen was wollen Sie verstoßen?

Zwischen der Datenschutzgrundverordnung (DSGVO) und dem neuen amerikanischen CLOUD Act gibt es ein erhebliches Spannungsfeld. Die Frage ist, ob US-Behörden die Gesetze anderer Länder respektieren. BUSYMOUSE zeigt auf, was das für Systemhäuser bedeutet. [...]

Die DSGVO regelt in Artikel 48 den Fall eines Herausgabeverlangens durch Behörden und andere staatliche Stellen eines Drittlandes. Danach dürfen solche Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen (Mutual Legal Assistance Treaty – MLAT) oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat besteht. (c) Oliver Boehmer - bluedesign - stock.adobe.com

Amerikanische Sicherheitsbehörden haben laut Medienberichten teilweise wenig Respekt vor Landesgrenzen. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act), der seit März 2018 in Kraft ist, ist in dieser Hinsicht bereits ein Kompromiss. Vorher beriefen sich FBI & Co. auf den Stored Communications Act (SCA) von 1986, als es noch keine IT-Cloud gab. Gegen die geforderte Datenherausgabe laut SCA wehrte sich vor allem Microsoft und ging vor den Supreme Court mit der Begründung, das SCA gelte nicht für im Ausland vorgehaltene Daten.

Zwei Versuche, SCA zu erweitern, scheiterten im amerikanischen Kongress, bevor der CLOUD Act dann 2018 angenommen wurde. Grundsätzlich legt er fest, dass alle US-Unternehmen bei Vorlage eines Strafbefehls die Daten aus den USA vorlegen müssen, dass aber bei Daten in anderen Ländern die dort geltenden Datenschutzrichtlinien respektiert werden müssen, allerdings nur unter bestimmten Voraussetzungen. Die großen IT-Unternehmen wie Microsoft, Google oder Apple begrüßten den CLOUD Act, während sich Bürgerrechtler unzufrieden zeigten.

Die gerichtliche Auseinandersetzung vor dem Supreme Court zwischen FBI und Microsoft wurde daraufhin vom Obersten Gericht an ein Gericht in New York zurückverwiesen und dadurch erledigt, dass die Strafverfolger ihren Haftbefehl zurückzogen.

DSGVO oder CLOUD Act – wer ist stärker

Die Frage, wie sich Datenschutzgrundverordnung (DSGVO) und CLOUD Act miteinander vertragen, ist schwer zu beantworten. Die DSGVO regelt in Artikel 48 den Fall eines Herausgabeverlangens durch Behörden und andere staatliche Stellen eines Drittlandes. Danach dürfen solche Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen (Mutual Legal Assistance Treaty – MLAT) oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat besteht.

Rechtsanwälte sehen Zwickmühle

Ein Konflikt scheint unausweichlich, urteilen verschiedene Rechtsanwälte: „Letztlich zwingt der CLOUD Act Unternehmen also sich zu entscheiden, ob gegen US-Recht oder das Recht desjenigen Staates verstoßen werden soll, innerhalb dessen die Daten gespeichert sind oder dessen Staatsangehöriger der Bürger ist, dessen Daten in den USA untersucht werden sollen“, sagt Simone Rosenthal, Partnerin bei Schürmann Rosenthal Dreyer. Nils Lölfing, Rechtsanwalt Bird & Bird, betont: „Aufgrund der aktuellen Rechtslage befinden sich Unternehmen in der EU in einer Zwickmühle. So müssten sie bei einer Anfrage von US-Behörden gegen Artikel 48 der EU-DSGVO verstoßen.“ Ebenso sieht es Johanna M. Hofmann, Rechtsanwältin für IT- und Datenschutzrecht in der Wirtschaftskanzlei CMS: „Wird nun ein US-Unternehmen auf Grundlage des CLOUD-Acts aufgefordert, in der EU gespeicherte Daten offenzulegen, kann sich der Anbieter in einer Zwickmühle befinden: Der CLOUD-Act zwingt ihn zur Herausgabe. Das fehlende Durchführungsabkommen hindert ihn daran.“

Eine gute Nachricht ist es, dass ein Weg aus der Zwickmühle möglich erscheint. Die EU und die USA arbeiten derzeit an einer gemeinsamen Lösung, um für mehr Rechtssicherheit zu sorgen.

Systemhäuser sollten vorsichtig sein

Für Systemhäuser ist deshalb große Sorgfalt anzuraten. Wenn Sie Ihre Daten einem amerikanischen Provider anvertrauen, unterliegt dieser selbstverständlich dem CLOUD Act. Aber auch die großen deutschen Provider wie die Telekom und 1&1 sind in großem Maßstab in den USA tätig und gelten deshalb für das Gesetz als amerikanische Unternehmen. Deshalb wurde wohl das von Microsoft und der Telekom entwickelte Modell einer Datentreuhänderschaft mittlerweile eingestellt.

Und das gleiche gilt ebenso für einen kleineren Provider, wenn dieser auch nur eine winzige Geschäftsstelle in den USA unterhält, denn laut CLOUD Act reicht dafür eine signifikante Präsenz aus.

Unser Rat: Verlassen Sie sich auf einen rein deutschen Provider ohne jede Präsenz in den USA mit datenschutzkonformen und hochsicheren Rechenzentren in Deutschland. Das legt dem CLOUD Act jedenfalls eine hohe Hürde in den Weg.

Und die DSGVO führt das schärfere Schwert als der CLOUD Act. Im Juli 2019 wurden in Großbritannien der Hotelkette Marriott und der Fluglinie British Airways Strafzahlungen von insgesamt mehr als 300 Millionen Pfund wegen Verstößen gegen die Datenschutzrichtlinien auferlegt.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*