Der Cloud Act gewährleistet Zugriff auf gespeicherte Daten
Durch den Cloud Act (Abkürzung für Clarifying Lawful Overseas Use of Data Act) erhalten US-Behörden das Recht, auch dann auf gespeicherte Daten zuzugreifen, wenn die Speicherung außerhalb der Vereinigten Staaten von Amerika erfolgt. Das Gesetz verpflichtet sowohl Internet-Firmen als auch IT-Dienstleister und betrifft alle Cloud-Anbieter mit Sitz in den USA und dessen Kunden – so zum Beispiel Microsoft, Google, Amazon, Adobe oder Apple.
Streit mit Microsoft war Auslöser für die Gesetzesinitiative
Anlass für den Cloud Act waren Probleme der Behörden, an Daten zu gelangen, die im Ausland gespeichert waren. Konkret hatte sich hier Microsoft geweigert, Kundendaten zum Zwecke der Strafverfolgung herauszugeben, da diese auf Servern in Irland verortet waren. Ein New Yorker Gericht hatte das US-Unternehmen sodann zur Herausgabe der Daten verurteilt; Microsoft war dem Urteil nachgekommen, hatte aber dabei nur die Daten zur Verfügung gestellt, die in den USA gespeichert waren.
Strafverfolgung soll durch den Cloud Act auch grenzübergreifend möglich sein
Insbesondere im Bereich der Strafverfolgung und der nationalen Sicherheit war der Cloud Act aus US-Sicht somit notwendige Maßnahme, um eine gezielte Bekämpfung von Verbrechen möglich zu machen. Zwar können die betroffenen Unternehmen und Dienstleister gegen die Herausgabe der Daten Einspruch einlegen – dieses Vorgehen erscheint aber nach realistischer Einschätzung wenig aussichtsreich.
Die DSGVO regelt in Art. 48 explizit die Herausgabe von Daten an Behörden und an andere staatliche Stellen eines Drittlandes. Rechtlich dürfen Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Daneben findet aber auch Art. 5 DSGVO Beachtung, der weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer vorsieht.
Fazit
Unternehmen müssen angesichts des Cloud Acts kreative Alternativen nutzen, wenn sie dem Zugriff der US-Behörden entgehen wollen (bzw. DSGVO-konform handeln wollen). Eine Möglichkeit ist dabei der von Microsoft eingeschlagene Weg: Hier werden die zur Verfügung stehenden Office Anwendungen vom Unternehmen T-Systems betrieben. Die von Office erzeugten Daten werden somit lediglich in Deutschland gespeichert, ohne dass Microsoft als US-Unternehmen Zugriff auf die Daten selbst hat. Offen bleibt, ob derartige Auswege in letzter Instanz auch der Prüfung durch US-Gerichte standhalten.
Alles, was Sie wissen müssen