CLOUDAct verabschiedet – wenn Daten frei schweben

Freitag, 13. April 2018, in Datenschutz, von Mark Neufurth

CLOUDAct verabschiedet – wenn Daten frei schweben

CLOUDAct – so heißt die neueste Herausforderung für Datenschützer. Wer in einer globalisierten Welt in Sachen Datenschutz auf dem neuesten Stand bleiben will, der hat es schwer. Ständig ändern sich die Rahmenbedingungen. Am 23.03.2018 wurde in den USA zuletzt nach recht kurzer Beratung im US-Kongress der sog. ‚CLOUDAct‘ verabschiedet und unmittelbar danach vom US-Präsidenten in Kraft gesetzt. Mit diesem Gesetz sind Regeln geschaffen worden, die die Kooperation zwischen US-Strafverfolgungsbehörden und ausländischen (Regierungs-)Partnern regeln und u.a. den Zugriff auf persönliche Daten ermöglichen die sich auf Servern auch außerhalb der USA befinden. In erster Linie gilt dieses Gesetz aber in den USA ansässigen Interprovidern. Sie sollen nun bei Verdacht auf schwere Straftaten Daten von Verdächtigen herausgeben. Dabei ist es gleich, wo auf der Welt diese Daten physisch gespeichert sind. Im CLOUDAct heißt es dazu:

“… unabhängig davon, ob sich die Kommunikation, Aufzeichnung oder andere Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden.”

CLOUDAct ausführlich betrachtet

US-Behörden dürfen nun ausdrücklich weitgehend unbeschränkt von ausländischem Recht auf ausschließlich im Ausland gespeicherte Daten US-fremder Personen und Unternehmen zugreifen, jedenfalls wenn US-Unternehmen diese kontrollieren. Nur wenn andere Länder ein Privatsphäre- und Datenaustausch-Abkommen mit den USA unterzeichnen, gibt es für ihre Bürger und Unternehmen kodifizierte Zugriffsbeschränkungen und Kontrollmöglichkeiten in den USA.”

Zentraler Punkt: Dieses Gesetz ist in den USA bereits in Kraft. Mit ausländischen Regierungen – in Europa bspw. auch der EU-Kommission – können bilaterale Abkommen geschlossen werden, um der Durchsetzung des CLOUDAct auch außerhalb der Landesgrenzen rechtssichere Gültigkeit zu verschaffen. Dann können bspw. auch ausländische Cloud-Provider direkt um Datenauskunft angegangen werden. Beteiligte bei der Nutzung des CLOUDAct wie auch bei Schaffung dieser bilateralen Abkommen sind einerseits Behörden und Regierungen der USA und anderer Staaten – alles Angehörige der Exekutive. Bürger und andere Beteiligte bleiben weitgehend außen vor. Ohne Abkommen besteht kein Rechtsschutz für Nicht-US-Bürger.

Zusammenspiel mit der EU-DSGVO ungeklärt

“… um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird” (Art. 44 Satz 2 DSGVO)”

Schutzniveau – so lautet das Stichwort aus der DSGVO. Diese am 25.05.2018 endgültig in Kraft tretende Datenschutznovelle soll EU-Bürgern eigentlich besseren Datenschutz über die Grenzen des Heimatlandes hinweg garantieren. Der CLOUDAct läuft den Bestrebungen der DSGVO klar zuwider. Es müsste also schleunigst ein Abkommen her, dessen Regelungskraft deutlich über den existierenden ‘Privacy Shield’ hinausgehen.

Aushöhlung der Judikative

Der CLOUDAct schafft Stratfverfolgungsbehörden in den USA weitreichende Rechte zum Eingriff in die Datensouveränität nicht nur der Bürger der USA. Es kommt noch besser: Eine richterliche Anordnung auf Datenauskunft wäre nicht mehr erforderlich; es muss nur um Verfolgung ‚schwerer‘ Straftaten gehen. Nach Abschluss passender bilateraler Abkommen wären demzufolge auch Unternehmen außerhalb der USA zur Herausgabe von Daten verpflichtet. Unabhängig davon bleibt UNGEKLÄRT, was mit Daten geschieht, die auf Servern US-amerikanischer Dienstleister außerhalb der USA lagern. Skeptisch machen sollte letztlich, dass die USA nicht zentral mit der EU-Kommission als Repräsentanz der Mitgliedsstaaten bspw. sondern mit einzelnen europäischen (Mitglieds-)Staaten Abkommen festklopfen wollen. Da diese Abkommen auch den Exekutiven der nicht-amerikanischen Vertragspartner zu Gute kämen, ist je nach Land mit wenig Widerstand pro Datenschutz zu rechnen.

Einmal mehr gilt: Persönliche Daten sind im eigenen, deutschen Rechtskreis immer noch am besten aufgehoben – zum Beispiel bei ProfitBricks.

 

Hinterlasse eine Antwort

* Pflichtfeld

© 2012-2018 by ProfitBricks