Durch den sog. CLOUD Act (Clarifying Lawful Overseas Use of Data Act, verabschiedet vom US-Kongress im März 2018) erhalten US-Behörden das Recht, auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt.
Anlass für den CLOUD Act waren Probleme der Behörden, insbesondere im Bereich der Strafverfolgung und der nationalen Sicherheit, an Daten zu gelangen, die im Ausland gespeichert waren. In einem 2015 bekannt gewordenen Verfahren hatte sich Microsoft geweigert, Kundendaten zum Zwecke der Strafverfolgung herauszugeben, da diese auf Servern in Irland verortet waren. Ein New Yorker Gericht hatte das US-Unternehmen sodann zur Herausgabe der Daten verurteilt; Microsoft war dem Urteil nachgekommen, hatte aber dabei nur die Daten zur Verfügung gestellt, die in den USA gespeichert waren. Im Berufungsverfahren wurde zugunsten von Microsoft entschieden. Einer Entscheidung des Supreme Courts kam die US-Regierung mit dem CLOUD Act zuvor.
Der CLOUD Act verpflichtet sowohl Internet-Firmen als auch IT-Dienstleister und betrifft alle Cloud-Anbieter mit Sitz in den USA sowie deren Kunden – so zum Beispiel Microsoft, Google, Amazon, Adobe oder Apple. Die betroffenen Unternehmen und Dienstleister können gegen die Herausgabe der Daten Einspruch einlegen; dieses Vorgehen erscheint aber in der Realität wenig aussichtsreich.
Im Spannungsfeld der DSGVO
Nach Art. 48 DSGVO (Datenschutz-Grundverordnung) dürfen Verantwortliche Daten an andere staatliche Stellen eines Drittlandes nur dann herausgeben, wenn Rechtshilfeabkommen in Strafsachen oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. US-Cloud-Diensteanbieter wie deren europäische Kunden stehen also vor einem Dilemma.
Der Europäische Datenschutzausschuss (EDSA) hat sich am 10.07.2019 in einem an den LIBE-Ausschuss (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments) des Europäischen Parlaments gerichteten Schreiben zu den Auswirkungen des US CLOUD Acts auf den europäischen Rechtsrahmen für den Schutz personenbezogener Daten positioniert.
Internationales Abkommen notwendig
In seiner Stellungnahme gelangt der EDSA – im Einvernehmen mit dem Europäischen Datenschutzbeauftragten – zu dem Ergebnis, dass das erforderliche Schutzniveau für die betroffenen Personen in der EU sowie die Rechtssicherheit für Unternehmen nur im Wege eines datenschutzkonformen internationalen Abkommens mit strengen verfahrensrechtlichen und materiellen Grundrechtsgarantien effektiv gewährleistet werden könne. Daneben könnte eine Rechtfertigung nur aus Umständen erfolgen, die eine Verarbeitung zum Schutz der lebenswichtigen Interessen der betroffenen Person auf der Grundlage von Art. 6 Abs. 1 Buchstabe d DSGVO in Verbindung mit Art. 49 Abs. 1 Buchstabe f erforderlich machen. Hierfür dürften die Anwendungsfälle überschaubar bleiben (z.B. im Bereich von Datenübermittlungen von Medizingeräten an den Hersteller).
Fazit
In Anbetracht der unsicheren Rechtslage sollten Unternehmen beim Einsatz von US-Cloud-Diensten besonderes Augenmerk auf die ordnungsgemäße Ausgestaltung der Datenverarbeitungsverträge legen, um das Risiko einer eigenen Haftung zu reduzieren. Rechtssicherheit wird voraussichtlich erst mit dem Abschluss eines internationalen Abkommens zwischen der Union und den USA geschaffen werden. Mit der Verhandlung eines solchen Abkommens hat der Rat die Kommission zwischenzeitlich beauftragt.
Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München