Immer wie­der hört oder liest man diver­se Aus­sa­gen zum Cloud Act (Clari­fy­ing Lawful Over­seas Use of Data Act), so z.B., dass der Cloud Act von den Straf­ver­fol­gungs­be­hör­den der Ver­ei­nig­ten Staa­ten von Ame­ri­ka aus­ge­nutzt wird und dass Sie auf alle (per­so­nen­be­zo­ge­ne) Daten zugrei­fen kön­nen. In der Theo­rie ist es zwar mög­lich, aber in der Pra­xis schaut es ein wenig anders aus! Grund­sätz­lich lässt sich eines sagen, „Ein Umzug in die Cloud setzt Ver­trau­en vor­aus“. Ohne Ver­trau­en in neue Tech­ni­ken und auch in den Dienst­leis­ter (Auf­trags­ver­ar­bei­ter), soll­te ein Umzug in die Cloud nicht durch­ge­führt wer­den.

Um es ein wenig här­ter aus­zu­drü­cken, „wer nur schwarz­malt, soll­te bes­ser daheim­blei­ben!“

Was erlaubt der Cloud Act?

Der Cloud Act ermög­licht ame­ri­ka­ni­schen Straf­ver­fol­gungs­be­hör­den auf Basis einer Ermitt­lungs­an­ord­nung, Infor­ma­tio­nen durch ame­ri­ka­ni­sche IT-Dienst­leis­ter (u.a. Ama­zon, Goog­le, Apple, etc.) über Betrof­fe­ne zu erhal­ten – auch wenn die­se Daten außer­halb der USA gespei­chert wer­den. Durch den Cloud Act wird die Reich­wei­te kla­rer for­mu­liert. Hier­von betrof­fen sind alle Kom­mu­ni­ka­ti­ons­an­bie­ter mit Sitz in den USA – unter ande­rem auch Micro­soft.

Gibt es nur den Cloud Act?

Da die meis­ten namen­haf­ten Kom­mu­ni­ka­ti­ons- und IT-Dienst­leis­tungs­un­ter­neh­men aus den USA stam­men, ist auch klar, dass der Cloud Act im Mit­tel­punkt steht. Jedoch soll­te man nicht ver­ges­sen, dass es in der EU eine ähn­li­che Ver­ord­nung bzw. Initia­ti­ve gibt – die elec­tro­nic-evi­de­ne. Somit ist es gleich­gül­tig, ob der Dienst­leis­ter in der EU oder in den USA sei­nen Sitz hat.

Was wird durch den Cloud Act erreicht?

Der Cloud Act schafft eine Ermäch­ti­gungs­grund­la­ge und den Rah­men zum Abschluss eines inter­na­tio­na­len Abkom­mens für Straf­er­mitt­lungs­be­hör­den zum Zwe­cke der Ermitt­lung und Ver­fol­gung von Straf­ta­ten. Die­ses neue Abkom­men der USA kann digi­ta­le und ande­re moder­ne Ver­fah­ren kom­bi­nie­ren, damit Straf­er­mitt­lungs­be­hör­den schnel­ler agie­ren kön­nen. Für den inter­na­tio­na­len Daten­trans­fer im Rah­men eines Straf­ver­fol­gungs­ver­fah­rens wird aus recht­li­cher Sicht ein Rechts­hil­fe­ab­kom­men zwi­schen den betrof­fe­nen Län­dern benö­tigt, um den Daten­trans­fer ermög­li­chen zu kön­nen (wie z.B. das Gesetz für inter­na­tio­na­le Rechts­hil­fe in Straf­sa­chen). Der Euro­päi­sche Daten­schutz­aus­schuss for­dert genau­so ein Rechts­hil­fe­ab­kom­men mit den USA, damit die Daten­über­mitt­lung auch auf euro­päi­scher Ebe­ne rechts­kon­form statt­fin­den kann.

Ist der Cloud Act reine Willkür?

Der Cloud Act ist kei­ne rei­ne Will­kür, da die­ser die Pri­vat­sphä­re und Men­schen­rech­te aner­kennt. Wei­ter­hin wird im Vor­feld, bevor eine Straf­er­mitt­lungs­be­hör­de aktiv wer­den kann, eine Abwä­gung fol­gen­der Schutz­funk­tio­nen durch­ge­führt:

  • Ach­tung der Rechts­staat­lich­keit und der Grund­sät­ze der Nicht­dis­kri­mi­nie­rung
  • Schutz vor will­kür­li­cher und unrecht­mä­ßi­ger Ver­let­zung der Daten­schutz­rech­te
  • Recht auf ein fai­res Ver­fah­ren
  • Meinungs‑, Ver­ei­ni­gungs- und Ver­samm­lungs­frei­heit zu fried­li­chen Zwe­cken
  • Schutz vor will­kür­li­chen Fest­nah­men und Inhaf­tie­run­gen
  • Ver­bot von Fol­ter und grau­sa­mer, unmensch­li­cher oder ernied­ri­gen­der Behand­lung oder Stra­fe

Es ist für ein US-Gericht schwer, die Anfor­de­rung ein­zel­ner Län­der ein­zu­hal­ten. Bei einer inter­na­tio­na­len Ver­ein­ba­rung hat der Kon­gress 180 Tage Zeit das Abkom­men zu über­prü­fen. Anschlie­ßend erfolgt eine Ent­schei­dung durch den Kon­gress, wel­cher in letz­ter Instanz die Ent­schei­dungs­ge­walt hat. Die US-Regie­rung erhofft durch die­ses Ver­fah­ren mehr Trans­pa­renz, damit Daten­schutz­grup­pen, Men­schen­rechts­ak­ti­vis­ten, Cloud-Ser­vice-Anbie­ter und ande­re Grup­pen die Mög­lich­keit haben Ein­spruch ein­zu­le­gen.

Auf wen trifft der Cloud Act zu?

Jeder, der ein bzw. meh­re­re Dienst­leis­tun­gen von einem oder meh­re­ren Kom­mu­ni­ka­ti­ons­an­bie­tern aus den USA bezieht, ist vom Cloud Act betrof­fen. Auch wenn der Cloud Act zwi­schen nicht US- und US-Bür­gern einen Unter­schied macht, kann man im Nach­gang sagen, dass „Jeder“ betrof­fen ist.

Wie unterscheidet der Cloud Act zwischen nicht US – und US-Bürgern?

Im ers­ten Fall wird die­ses wie folgt dar­ge­stellt: „Her­aus­ga­be von Infor­ma­tio­nen über einen US-Bür­ger (unab­hän­gig von sei­nem Auf­ent­halts­ort) oder einen sich in den Ver­ei­nig­ten Staa­ten auf­hal­ten­den Nicht-US-Bür­ger.“

Im zwei­ten Fall wird die­ses wie folgt dar­ge­stellt: „Her­aus­ga­be von Infor­ma­tio­nen über einen Nicht-US-Bür­ger, der sich außer­halb der Ver­ei­nig­ten Staa­ten auf­hält („cus­to­mer […] does not resi­de in the United Sta­tes “)“

Somit soll­te jetzt klar sein, wer vom Cloud Act betrof­fen ist.

Kann ein amerikanischer Kommunikationsanbieter gegen eine solche Verfügung vorgehen?

Einem Dienst­an­bie­ter bleibt die Mög­lich­keit erhal­ten, dass bei einem befürch­te­ten Ver­stoß gegen natio­na­les Recht, gegen eine sol­che Ver­fü­gung Kla­ge erho­ben wer­den kann. Wei­ter­hin kann ein Dienst­leis­ter den Betrof­fe­nen infor­mie­ren, wenn kei­ne Geheim­hal­tungs­ver­pflich­tung auf­er­legt wur­de.

Wie sieht dieses im Fall Microsoft aus?

Micro­soft infor­miert sei­ne Kun­den und ver­sucht immer trans­pa­rent zu sein, solan­ge kei­ne Geheim­hal­tungs­ver­pflich­tung auf­er­legt wur­de. Um alles noch trans­pa­ren­ter zu hal­ten, hat Micro­soft hier­zu einen Law Enfor­ce­ment Requests Report ein­ge­rich­tet, wo sich die Kun­den über die Her­aus­ga­be von Daten infor­mie­ren kön­nen. Wenn man sich hier­zu den Bereich Jul-Dec 2019 nur für Deutsch­land anschaut, sieht man direkt, dass es sich hier um Meta­da­ten han­delt, wel­che hier abge­fragt wur­den.

Die­ses The­ma soll­te nicht unter­schätzt wer­den, da der Cloud Act mehr und mehr an Bedeu­tung gewinnt und jedem auf die Füße fal­len kann.

Wenn Sie Fra­gen haben, dann kön­nen Sie sich an du-bist-datenschutz@blusystems.de wen­den.