Durch den sog. CLOUD Act (Clarifying Lawful Overseas Use of Data Act, verabschiedet vom US-Kongress im März 2018) erhalten US-Behörden das Recht, auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt.

Anlass für den CLOUD Act waren Probleme der Behörden, insbesondere im Bereich der Strafverfolgung und der nationalen Sicherheit, an Daten zu gelangen, die im Ausland gespeichert waren. In einem 2015 bekannt gewordenen Verfahren hatte sich Microsoft geweigert, Kundendaten zum Zwecke der Strafverfolgung herauszugeben, da diese auf Servern in Irland verortet waren. Ein New Yorker Gericht hatte das US-Unternehmen sodann zur Herausgabe der Daten verurteilt; Microsoft war dem Urteil nachgekommen, hatte aber dabei nur die Daten zur Verfügung gestellt, die in den USA gespeichert waren. Im Berufungsverfahren wurde zugunsten von Microsoft entschieden. Einer Entscheidung des Supreme Courts kam die US-Regierung mit dem CLOUD Act zuvor.

Der CLOUD Act verpflichtet sowohl Internet-Firmen als auch IT-Dienstleister und betrifft alle Cloud-Anbieter mit Sitz in den USA sowie deren Kunden – so zum Beispiel Microsoft, Google, Amazon, Adobe oder Apple. Die betroffenen Unternehmen und Dienstleister können gegen die Herausgabe der Daten Einspruch einlegen; dieses Vorgehen erscheint aber in der Realität wenig aussichtsreich.

Im Spannungsfeld der DSGVO

Nach Art. 48 DSGVO (Datenschutz-Grundverordnung) dürfen Verantwortliche Daten an andere staatliche Stellen eines Drittlandes nur dann herausgeben, wenn Rechtshilfeabkommen in Strafsachen oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. US-Cloud-Diensteanbieter wie deren europäische Kunden stehen also vor einem Dilemma.

Der Europäische Datenschutzausschuss (EDSA) hat sich am 10.07.2019 in einem an den LIBE-Ausschuss (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments) des Europäischen Parlaments gerichteten Schreiben zu den Auswirkungen des US CLOUD Acts auf den europäischen Rechtsrahmen für den Schutz personenbezogener Daten positioniert.

Internationales Abkommen notwendig

In seiner Stellungnahme gelangt der EDSA – im Einvernehmen mit dem Europäischen Datenschutzbeauftragten – zu dem Ergebnis, dass das erforderliche Schutzniveau für die betroffenen Personen in der EU sowie die Rechtssicherheit für Unternehmen nur im Wege eines datenschutzkonformen internationalen Abkommens mit strengen verfahrensrechtlichen und materiellen Grundrechtsgarantien effektiv gewährleistet werden könne. Daneben könnte eine Rechtfertigung nur aus Umständen erfolgen, die eine Verarbeitung zum Schutz der lebenswichtigen Interessen der betroffenen Person auf der Grundlage von Art. 6 Abs. 1 Buchstabe d DSGVO in Verbindung mit Art. 49 Abs. 1 Buchstabe f erforderlich machen. Hierfür dürften die Anwendungsfälle überschaubar bleiben (z.B. im Bereich von Datenübermittlungen von Medizingeräten an den Hersteller).

Fazit

In Anbetracht der unsicheren Rechtslage sollten Unternehmen beim Einsatz von US-Cloud-Diensten besonderes Augenmerk auf die ordnungsgemäße Ausgestaltung der Datenverarbeitungsverträge legen, um das Risiko einer eigenen Haftung zu reduzieren. Rechtssicherheit wird voraussichtlich erst mit dem Abschluss eines internationalen Abkommens zwischen der Union und den USA geschaffen werden. Mit der Verhandlung eines solchen Abkommens hat der Rat die Kommission zwischenzeitlich beauftragt.

Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more
    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more