Der CLOUD Act und die DSGVO

Seit fünf Jahren streiten Microsoft und die US-Regierung über die Herausgabe von E-Mail-Daten, die der Konzern auf einem Server in Irland gespeichert hat. Eine Entscheidung des obersten Gerichtshofes (US Supreme Court) stand noch aus. Doch nun wird der Fall zu den Akten gelegt.

Grund ist ein neues Gesetz, das Präsident Trump am 23. März dieses Jahres unterschrieben hat: Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde als Teil des Haushaltsgesetzes verabschiedet und gewährt US-Ermittlungsbehörden auch dann Zugriff auf gespeicherte Daten, wenn diese auf Servern im Ausland liegen – zumindest, solange die Server unter der Kontrolle von US-Unternehmen sind.

Das Besondere an dem neuen Gesetz: Der CLOUD Act sieht ausdrücklich vor, dass die USA mit ausländischen Staaten bilaterale Abkommen treffen, die auch ausländischen Behörden den Zugriff auf US-Server erlauben. Dabei sollen die Behörden ihre Anfragen direkt an die Unternehmen stellen können – die Gerichte und Datenschutzbestimmungen des jeweiligen Landes bleiben außen vor.

Die Betroffenen haben somit kaum Möglichkeit, sich zur Wehr zu setzen: Nur wenn ein Land ein Privatsphäre- und Datenaustausch-Abkommen mit den USA unterzeichnet, gibt es für deren Bürger und Unternehmen festgelegte Zugriffsbeschränkungen und Kontrollmöglichkeiten in den USA. Das betrachten nicht nur Datenschützer und Bürgerrechtsorganisationen kritisch, sondern auch die Unternehmen, die US-Cloud-Dienste nutzen.

Was genau bedeutet der CLOUD Act nun für EU-Bürger, die Dienste von US-Anbietern wie zum Beispiel Microsoft in Anspruch nehmen? Diese Frage hat besonders vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) Relevanz: Ist die Datenübermittlung eines Unternehmens an eine US-Behörde überhaupt zulässig? Artikel 48 DSGVO legt das Gegenteil nahe. Demnach werden Zugriffe von US-Behörden auf in der EU gespeicherte Daten durch internationale Übereinkünfte wie Rechtshilfeabkommen und unter Einbeziehung der heimischen Behörden durchgesetzt.

Übermittelt ein Unternehmen personenbezogener Daten an den heimischen Behörden vorbei, könnte dies einen direkten Verstoß gegen Artikel 48 DSGVO darstellen und wäre somit bußgeldbewährt. Klarheit oder gar Rechtssicherheit bestehen hier allerdings noch nicht. Denn bisher ist beispielsweise noch nicht geklärt, ob die im CLOUD Act vorgesehenen bilateralen Abkommen unter die in Art. 48 genannten „internationalen Übereinkünfte“ fallen. Es bleibt also abzuwarten, wie sich die Aufsichtsbehörden hier positionieren.

Einen möglichen Ausweg hat sich der US-Konzern vorab überlegt – mit dem Programm „Office 365 Deutschland“. Hier betreibt die Deutsche Telekom als sogenannter Datentreuhänder die Server; Microsoft selbst hat im Rahmen der Vereinbarung nur zu Wartungs- und Supportzwecken Zugriff auf die Daten.

Auf diese Weise könnte Microsoft einen Datenzugriff durch die US-Behörden womöglich von vornherein unterbinden. Der CLOUD Act sieht nämlich ausdrücklich vor, dass die Daten im Besitz bzw. unter der Kontrolle des jeweiligen Anbieters sein müssen. Das ist beim Treuhandmodell von „Office 365 Deutschland“ aber gerade nicht der Fall: die Kontrolle über die Daten liegt hier bei der Telekom. Ob dies allerdings auch die US-Gerichte so sehen, muss sich noch zeigen.

Dieses zusätzliche Maß an Datenschutz erhöht jedoch die Kosten für jene Unternehmen, die sich für Rechtssicherheit und -Datensicherheit entscheiden. Die Preise für „Office 365 Deutschland“ liegen im Schnitt um rund 25 Prozent über den Preisen für die „normalen“ Office-365-Dienste.

2018-07-11T12:59:02+00:00