Vertrauen schaffen trotz Cloud Act
Immer wieder hört oder liest man diverse Aussagen zum Cloud Act (Clarifying Lawful Overseas Use of Data Act), so z.B., dass der Cloud Act von den Strafverfolgungsbehörden der Vereinigten Staaten von Amerika ausgenutzt wird und dass Sie auf alle (personenbezogene) Daten zugreifen können. In der Theorie ist es zwar möglich, aber in der Praxis schaut es ein wenig anders aus! Grundsätzlich lässt sich eines sagen, „Ein Umzug in die Cloud setzt Vertrauen voraus“. Ohne Vertrauen in neue Techniken und auch in den Dienstleister (Auftragsverarbeiter), sollte ein Umzug in die Cloud nicht durchgeführt werden.
Um es ein wenig härter auszudrücken, „wer nur schwarzmalt, sollte besser daheimbleiben!“
Was erlaubt der Cloud Act?
Der Cloud Act ermöglicht amerikanischen Strafverfolgungsbehörden auf Basis einer Ermittlungsanordnung, Informationen durch amerikanische IT-Dienstleister (u.a. Amazon, Google, Apple, etc.) über Betroffene zu erhalten – auch wenn diese Daten außerhalb der USA gespeichert werden. Durch den Cloud Act wird die Reichweite klarer formuliert. Hiervon betroffen sind alle Kommunikationsanbieter mit Sitz in den USA – unter anderem auch Microsoft.
Gibt es nur den Cloud Act?
Da die meisten namenhaften Kommunikations- und IT-Dienstleistungsunternehmen aus den USA stammen, ist auch klar, dass der Cloud Act im Mittelpunkt steht. Jedoch sollte man nicht vergessen, dass es in der EU eine ähnliche Verordnung bzw. Initiative gibt – die electronic-evidene. Somit ist es gleichgültig, ob der Dienstleister in der EU oder in den USA seinen Sitz hat.
Was wird durch den Cloud Act erreicht?
Der Cloud Act schafft eine Ermächtigungsgrundlage und den Rahmen zum Abschluss eines internationalen Abkommens für Strafermittlungsbehörden zum Zwecke der Ermittlung und Verfolgung von Straftaten. Dieses neue Abkommen der USA kann digitale und andere moderne Verfahren kombinieren, damit Strafermittlungsbehörden schneller agieren können. Für den internationalen Datentransfer im Rahmen eines Strafverfolgungsverfahrens wird aus rechtlicher Sicht ein Rechtshilfeabkommen zwischen den betroffenen Ländern benötigt, um den Datentransfer ermöglichen zu können (wie z.B. das Gesetz für internationale Rechtshilfe in Strafsachen). Der Europäische Datenschutzausschuss fordert genauso ein Rechtshilfeabkommen mit den USA, damit die Datenübermittlung auch auf europäischer Ebene rechtskonform stattfinden kann.
Ist der Cloud Act reine Willkür?
Der Cloud Act ist keine reine Willkür, da dieser die Privatsphäre und Menschenrechte anerkennt. Weiterhin wird im Vorfeld, bevor eine Strafermittlungsbehörde aktiv werden kann, eine Abwägung folgender Schutzfunktionen durchgeführt:
- Achtung der Rechtsstaatlichkeit und der Grundsätze der Nichtdiskriminierung
- Schutz vor willkürlicher und unrechtmäßiger Verletzung der Datenschutzrechte
- Recht auf ein faires Verfahren
- Meinungs‑, Vereinigungs- und Versammlungsfreiheit zu friedlichen Zwecken
- Schutz vor willkürlichen Festnahmen und Inhaftierungen
- Verbot von Folter und grausamer, unmenschlicher oder erniedrigender Behandlung oder Strafe
Es ist für ein US-Gericht schwer, die Anforderung einzelner Länder einzuhalten. Bei einer internationalen Vereinbarung hat der Kongress 180 Tage Zeit das Abkommen zu überprüfen. Anschließend erfolgt eine Entscheidung durch den Kongress, welcher in letzter Instanz die Entscheidungsgewalt hat. Die US-Regierung erhofft durch dieses Verfahren mehr Transparenz, damit Datenschutzgruppen, Menschenrechtsaktivisten, Cloud-Service-Anbieter und andere Gruppen die Möglichkeit haben Einspruch einzulegen.
Auf wen trifft der Cloud Act zu?
Jeder, der ein bzw. mehrere Dienstleistungen von einem oder mehreren Kommunikationsanbietern aus den USA bezieht, ist vom Cloud Act betroffen. Auch wenn der Cloud Act zwischen nicht US- und US-Bürgern einen Unterschied macht, kann man im Nachgang sagen, dass „Jeder“ betroffen ist.
Wie unterscheidet der Cloud Act zwischen nicht US – und US-Bürgern?
Im ersten Fall wird dieses wie folgt dargestellt: „Herausgabe von Informationen über einen US-Bürger (unabhängig von seinem Aufenthaltsort) oder einen sich in den Vereinigten Staaten aufhaltenden Nicht-US-Bürger.“
Im zweiten Fall wird dieses wie folgt dargestellt: „Herausgabe von Informationen über einen Nicht-US-Bürger, der sich außerhalb der Vereinigten Staaten aufhält („customer […] does not reside in the United States “)“
Somit sollte jetzt klar sein, wer vom Cloud Act betroffen ist.
Kann ein amerikanischer Kommunikationsanbieter gegen eine solche Verfügung vorgehen?
Einem Dienstanbieter bleibt die Möglichkeit erhalten, dass bei einem befürchteten Verstoß gegen nationales Recht, gegen eine solche Verfügung Klage erhoben werden kann. Weiterhin kann ein Dienstleister den Betroffenen informieren, wenn keine Geheimhaltungsverpflichtung auferlegt wurde.
Wie sieht dieses im Fall Microsoft aus?
Microsoft informiert seine Kunden und versucht immer transparent zu sein, solange keine Geheimhaltungsverpflichtung auferlegt wurde. Um alles noch transparenter zu halten, hat Microsoft hierzu einen Law Enforcement Requests Report eingerichtet, wo sich die Kunden über die Herausgabe von Daten informieren können. Wenn man sich hierzu den Bereich Jul-Dec 2019 nur für Deutschland anschaut, sieht man direkt, dass es sich hier um Metadaten handelt, welche hier abgefragt wurden.
Dieses Thema sollte nicht unterschätzt werden, da der Cloud Act mehr und mehr an Bedeutung gewinnt und jedem auf die Füße fallen kann.
Wenn Sie Fragen haben, dann können Sie sich an du-bist-datenschutz@blusystems.de wenden.