Zahl­rei­che deut­sche und euro­päi­sche Unter­neh­men nut­zen die Cloud-Diens­te eines ame­ri­ka­ni­schen Cloud-Anbie­ters (sei es Micro­soft, Goog­le, Apple, Ama­zon und etc.). Für den Daten­schutz auf euro­päi­scher Ebe­ne nimmt sowohl das The­ma ‘‘Cloud Act‘‘, als auch das The­ma ‘‘Patri­ot Act‘‘ immer mehr an Bedeu­tung. In unse­rem letz­ten Blog­bei­trag haben wir bereits das The­ma “Cloud Act“ aus­führ­lich dar­ge­stellt und möch­ten Sie in die­sem auf den Patri­ot Act auf­merk­sam machen und wie genau er in Ver­bin­dung mit der Daten­ver­ar­bei­tung steht.

Was ist der Patriot Act und was erlaubt er?

Durch den Patri­ot Act (2001) haben die Ver­ei­nig­ten Staa­ten die Befug­nis­se ihrer Geheim­diens­te und Ermitt­lungs­be­hör­de erwei­tert. Hin­ter­grund für die Erwei­te­rung der Befug­nis­se war die Ter­ror­be­kämp­fung und die Spio­na­ge­ab­wehr. Der For­eign Intel­li­gence Sur­veil­lan­ce Court kann einen Beschluss gegen z.B. eine Orga­ni­sa­ti­on erlas­sen. Somit ist das Unternehe­men ver­pflich­tet, die bei ihm gespei­cher­ten Daten her­aus­zu­ge­ben. Wenn aber kein Beschluss des Gerichts vor­liegt hat das FBI eine ande­re Mög­lich­keit – die sog. Natio­nal Secu­ri­ty Let­ters (NSL). Die Natio­nal Secu­ri­ty Let­ters unter­lie­gen kei­nen Gerichts­be­schluss. Das FBI kann die­se selbst erlas­sen und somit das Unter­neh­men ver­pflich­ten die ange­frag­ten Daten zu über­mit­teln. An der Stel­le ist wich­tig zu erwäh­nen, dass es sich um Orga­ni­sa­tio­nen han­delt deren Fir­men­sitz in den USA ist. Was beinhal­tet ein Natio­nal Secu­ri­ty Let­ter? Unter ande­rem kön­nen fol­gen­de Infor­ma­tio­nen ange­fragt wer­den:

  • DSL-Account Infor­ma­tio­nen
  • Datum, an dem das Kon­to eröff­net oder geschlos­sen wur­de
  • Adres­sen, die im Zusam­men­hang mit dem Kon­to ste­hen
  • Alle sons­ti­gen Infor­ma­tio­nen, von denen der Pro­vi­der glaub­te, dass es sich um eine elek­tro­ni­sche Kom­mu­ni­ka­ti­on han­delt (‘‘Any other infor­ma­ti­on which you con­si­der to be an elec­tro­nic com­mu­ni­ca­ti­on tran­sac­tio­n­al record‘‘)
Welche Auswirkung haben die National Security Letters auf den Datenschutz für deutsche Unternehmen?

Die­se Fra­ge lässt sich nicht ein­sei­tig beant­wor­ten. Selbst­ver­ständ­lich sind deut­sche Unter­neh­men an die deut­schen und euro­päi­schen Daten­schutz­re­ge­lun­gen gebun­den. Wenn eine Orga­ni­sa­ti­on per­so­nen­be­zo­ge­ne Daten in der Cloud ver­ar­bei­tet, ist die­se ver­pflich­tet sich an die DSGVO und das Bun­des­da­ten­schutz­ge­setz (BDSG) zu hal­ten. Auf der ande­ren Sei­te sind ame­ri­ka­ni­sche Unter­neh­men an das USA-Recht gebun­den. Außer­dem müs­sen die­se auch die spe­zi­fi­schen Rege­lun­gen des kon­kre­ten Staa­tes, in dem sich die Ser­ver befin­den, berück­sich­ti­gen.

Die recht­li­che Kol­li­si­on ist im kon­kre­ten Fall unver­meid­bar. Vie­le Unter­neh­men haben bereits eine Stel­lung­nah­me zu die­sem The­ma abge­ge­ben (wie z.B. Micro­soft, das selbst die Recht­mä­ßig­keit der Rechts­grund­la­ge prüft). Emp­feh­lens­wert ist auf jeden Fall bevor Sie sich für einen ame­ri­ka­ni­schen Cloud-Anbie­ter ent­schei­den, die Gesichts­punk­te des kon­kre­ten Unter­neh­mens zum The­ma zu berück­sich­ti­gen. Damit es zu einer kla­ren Lösung des Dilem­mas kommt arbei­tet die EU-Kom­mis­si­on auf die Erstel­lung eines Abkom­mens. Das Abkom­men soll hin­rei­chen­de Rechts­grund­la­gen schaf­fen, um eine rechts­kon­for­me Zusam­men­ar­beit zu gewähr­leis­ten. Das Ziel ist, dass ein sol­ches Rechts­ab­kom­men bis Ende 2020 zur Ver­fü­gung ste­hen kann.