Cloud Act versus DSGVO

Das US-Gesetz Cloud Act ist nicht mit der europäischen Datenschutzgrundverordnung vereinbar.

Das Tohuwabohu rund um die Datenschutzgrundverordnung (DSVGO) im vergangenen Jahr war enorm. Wenig beachtet ist quasi im Windschatten der DSGVO nahezu zeitglich der Cloud Act in Kraft getreten. Das Akronym steht für „Clarifying Lawful Overseas Use of Data“. Ziel und Zweck des Cloud Act ist es, US-Behörden zu ermöglichen, im Rahmen der Strafverfolgung Zugriff auf Daten zu erlangen, die bei US-Unternehmen gespeichert sind. Das Gesetz verpflichtet US-Unternehmen zur Herausgabe von Daten, die auf ihren Servern vorhanden sind – auch dann, wenn sich diese im Ausland befinden, also etwa in Europa. Dazu sollen bilaterale Rechtshilfeabkommen zwischen den USA und anderen Staaten abgeschlossen werden. Diese würden es auch nicht-US-amerikanischen Behörden ermöglichen, Zugriff auf solche Daten zu erhalten.

Der Cloud Act ist die Folge einer ganzen Reihe von Rechtsstreitigkeiten um die Herausgabe von Daten an US-Behörden. Der prominenteste Fall war United States versus Microsoft, der bis zur höchsten gerichtlichen Instanz ging, dem Supreme Court. Das Gesetz wurde just dann ratifiziert, als das Department of Justice die Geduld mit Microsoft verlor und beendete das Verfahren schlagartig. Damals wollte die US-Behörde von Microsoft die Daten eines US-Bürgers, die sich auf Cloud-Servern von Microsoft in Irland befanden. Microsoft verweigerte die Herausgabe und berief sich auf die Datenschutzgesetze von Irland und der EU. Beim Cloud Act spielt es nun keine Rolle mehr, wo der Cloud-Provider seine Server betreibt und zwingt ihn gewissermaßen dazu, die jeweiligen nationalen Gesetze zu brechen. […]

Fachartikel für com! professional