Adieu, DSGVO? – Was Microsoft, der Supreme Court und der CLOUD Act mit unserem Datenschutz zu tun haben

Die USA beschließen den sogenannten Cloud Act – erübrigt sich damit der Datenschutz in Europa? Wir haben die wichtigsten Eckdaten zusammengefasst.

 

Was geschah bisher?

Hintergrund der ganzen Debatte ist die Auseinandersetzung zwischen Microsoft und den USA. Der Konflikt schwelt bereits seit 2013. Konkret ging es um einen User, gegen den die amerikanische Drogenfahndung in einem Drogendelikt ermittelte. In diesem Rahmen forderten die Behörden von Microsoft Zugriff auf E-Mails, die dieser User mit Outlook verschickt hatte. Tatsächlich entschied ein Gericht in erster Instanz, dass Microsoft die Daten herausgeben müsse.

 

Allerdings legte der Konzern Berufung ein. Die Begründung: Die Daten lagen auf einem Server in Irland, also außerhalb der USA. Ein in den USA ausgestellter Durchsuchungsbefehl sei laut Microsofts Ansicht hier nicht gültig. Das solle bitte mit den irischen Gerichten geregelt werden. Die Sache schaukelte sich hoch: Mittlerweile wird der Fall vor dem Supreme Court verhandelt, dem höchsten Gericht Amerikas.

 

Hätte dieser für die USA entschieden und Microsoft gezwungen, die Daten freizugeben, so wäre damit ein Präzedenzfall von ungeahnter Reichweite geschaffen worden.

 

Dass der Konzern sehr zugeknöpft reagierte, ist wohl verständlich: Eine Herausgabe der Daten hätte Microsofts Geschäft mit der Cloud in Europa einen ganz schönen Dämpfer verpasst. Mit einem solchen Urteil wären nämlich auf einen Schlag sämtliche amerikanische Cloud-Dienste für europäische Unternehmen tabu gewesen. Denn diese gerichtliche Entscheidung hätte bedeutet, dass die USA im Zweifelsfall auch unbegrenzten Zugriff auf Daten gehabt hätten, die auf Servern in Europa liegen. Und das wiederum ist mit der DSGVO nicht ansatzweise zu vereinbaren.

 

Nun nimmt der Fall jedoch mit der Berufung auf den CLOUD Act eine neue Wendung: Die US-Regierung hat den Streit mit Verweis auf das neue Gesetz als hinfällig erklärt. Auch Microsoft ist geneigt, die Auseinandersetzung ad acta zu legen.

 

 

Was besagt der CLOUD Act?

Der sogenannte CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde Ende März 2018 von Donald Trump unterzeichnet und ist damit bereits in Kraft. Er regelt die Zusammenarbeit zwischen Strafverfolgungsbehörden der USA und anderen Ländern, wenn es um den Zugriff auf Daten geht, die auf Servern außerhalb des Landes liegen. Tatsächlich war der Microsoft-Fall Anstoß dafür, das Gesetz zu entwickeln.

 

Der CLOUD Act erlaubt es der US-Strafverfolgung, von amerikanischen Unternehmen Zugriff auf Daten anzufordern – und zwar unabhängig davon, wo die betreffende Person lebt oder wo auf der Welt die Daten sich befinden. Darüber hinaus können die USA nun bilaterale Abkommen mit anderen Staaten schließen, um den Austausch solcher Daten noch weiter zu erleichtern. Im Gegenzug sollen ausländische Behörden auch Zugriff auf Server in den USA erhalten.

 

 

Lässt sich das Gesetz rückwirkend anwenden?

Eigentlich sind Gesetze nicht rückwirkend geltend zu machen. Das Justizministerium hat aber bereits einen neuen Durchsuchungsbefehl an Microsoft geschickt, der auf dem CLOUD Act basiert. Damit wird der ursprüngliche Fall im Prinzip beiseite gelegt und es beginnt eine neue Auseinandersetzung, auf die der CLOUD Act angewendet werden kann.

 

 

Wie ist der CLOUD Act zu bewerten?

Viele Technik-Konzerne und auch die Justiz sehen den CLOUD Act positiv. Zwischen den USA und anderen Ländern können jetzt Absprachen getroffen werden, wie in Fällen wie dem Microsoft-Verfahren vorzugehen ist. Das reduziert ihrer Meinung nach Konflikte mit ausländischem Recht. Im Zweifel profitieren auch ausländische Behörden davon, da sie dadurch bei der Untersuchung von Verbrechen im eigenen Land Daten erhalten können, die auf Servern in den USA liegen.

 

Bürgerrechtsorganisationen vertreten dagegen einen wesentlich kritischeren Standpunkt und zwar aus vielerlei Gründen:

 

Unternehmen entscheiden über Daten

Mit dem CLOUD Act können (und müssen) Unternehmen weitestgehend alleine darüber entscheiden, ob sensible Kundendaten herausgegeben werden.

 

 

Sicherheitsbestimmungen werden ausgehebelt

Darüber hinaus würden solche Abkommen die jeweils geltenden Sicherheitsbestimmungen in den Ländern weitestgehend aushebeln. So laufen etwa große Teile der weltweiten Kommunikation im Internet über Server in den USA. Ein Land, das ein entsprechendes Abkommen mit den USA hätte, könnte also Daten aus den USA anfordern, um Personen überall auf der Welt zu überwachen – und das ohne irgendwelche Datenschutzbestimmungen anzuwenden, die sonst in den USA gelten. Kein Richter würde sich je mit der Anfrage befassen, es bräuchte keine richterliche Anordnung, und die US-Behörden müssten von einer solchen Anfrage auch nicht informiert werden.

 

Die Unternehmen haben allenfalls die Möglichkeit, binnen 14 Tagen vor Gericht zu widersprechen, wenn sie glauben, dass die Herausgabe der Daten mit ausländischem Recht in Konflikt steht. In diesem Fall kommt es zu einer Güterabwägung.

 

Damit liegt es aber erstens im Ermessen der Wirtschaft, welcher Umgang mit unseren sensiblen Daten noch rechtens ist und wo die Grenze verläuft. Und zweitens geht auch das nur, wenn ein Abkommen mit den USA besteht. Heißt: Nur die Bürger der Länder, die ein solches Abkommen eingehen, haben überhaupt die Möglichkeit sich zu schützen. Das erhöht den Druck natürlich enorm.

 

 

Anwendungsfälle bleiben vage

Ein weiterer Kritikpunkt: Das Gesetz bleibt sehr vage, wenn es darum geht, Delikte zu beschreiben, bei denen es überhaupt angewendet werden kann. Besteht ein entsprechendes Abkommen, können die Partner also in allen möglichen Fällen Daten anfragen. Die Bestimmung lautet, dass es sich um “schwere Kriminalität auch inklusive Terrorismus” handeln müsste – eine ziemlich weit gefasste Definition.

 

 

 

Gesetzgebung ohne Anhörung

Der CLOUD Act wurde mehr oder weniger “durchgeschummelt”: Er wurde im Rahmen des Haushaltsgesetzes erlassen. Dabei handelte es sich um ein sogenanntes Omnibusgesetz, also ein Gesetzespaket, das sich mit allen möglichen unzusammenhängenden Themen befasst. Das Haushaltsgesetz selber wurde im Kongress natürlich stark diskutiert. Die Details des CLOUD Acts wurden aber niemals separat besprochen. Der CLOUD Act und der Haushalt der US-Regierung haben tatsächlich gar nichts miteinander zu tun. Mit der Unterschrift des Präsidenten unter dem Ausgabenprogramm ist er jetzt aber gleichzeitig wie der Haushalt in Kraft getreten.

 

 

Was bedeutet das für den Fall Microsoft?

Die Entscheidung des Supreme Court, die im Sommer erwartet worden wäre, ist jetzt weitestgehend bedeutungslos geworden. Die rechtliche Grundlage, um solche Fälle zu bewerten, hat sich nun verändert.

 

Auch dass der Supreme Court sich dem CLOUD Act widersetzt und explizit fordert, US-Behörden mögen sich bitte dem ausländischen Recht (z. B. der DSGVO) fügen, ist eher unwahrscheinlich. Amerika ist in den letzten Jahren ja regelmäßig durch Alleingänge aufgefallen, sodass auch in diesem Fall nicht unbedingt ein rücksichtsvolles Miteinander in der internationalen Gemeinschaft zu erwarten ist. Der CLOUD Act wird also wohl Bestand haben. Nun besteht nur noch die Möglichkeit, dass der Supreme Court eine internationale Güterabwägung empfiehlt, statt streng den CLOUD Act anzuwenden.

 

 

Was bedeutet das für den hiesigen Datenschutz?

Der CLOUD Act wurde spezifisch geschrieben, um Datenaustausch im Rahmen grenzüberschreitender Ermittlungen zu vereinfachen. Die DSGVO dagegen sollte europaweit einheitliche Datenschutz-Standards schaffen und damit unter anderem auch die Wirtschaftsunion stärken. Ermittlungen gegen Kriminelle standen bei der Ausarbeitung dagegen weniger im Fokus.

 

Unabhängig davon gibt es in der DSGVO einen eigenen Abschnitt, der sich mit internationalen Datenübertragungen befasst. Auch bei diesen Übertragungen soll nämlich das Schutzniveau, das die DSGVO vorsieht, nicht untergraben werden. Damit genau das nicht passiert, muss entweder die EU-Kommission bestätigen, dass im Zielland das gleiche Schutzniveau vorherrscht, oder es muss irgendeine Art von Garantie vorliegen, die das gewährleistet.

 

Nun könnte man denken, dass als eine solche Garantie auch die eben erwähnten bilateralen Abkommen herhalten könnten. Die Anforderungen für solche Abkommen erinnern auch teilweise an die DSGVO-Vorschriften. Allerdings sehen die Abkommen auch die Verpflichtung vor, sich gegenseitig Datenzugriffsrechte einzuräumen und den weltweiten Informationsfluss zu schützen. Nur unter erschwerten Bedingungen ist es möglich, durch gerichtliches Einschreiten die Anfrage auf Datenzugriff abzuwehren.

 

Unterm Strich gilt also: Damit Daten ins Ausland übermittelt werden können, z. B. aufgrund eines ausländischen Gerichtsurteils, muss zwischen der EU und dem betreffenden Land eine Übereinkunft oder ein Abkommen bestehen. Doch auch dieses Abkommen muss den Standards der DSGVO genügen. Und im Moment sieht es nicht so aus, als könnte der CLOUD Act diese Standards erfüllen.

 

 

Müssen sich Unternehmen jetzt noch auf die DSGVO vorbereiten?

Ja, und zwar unbedingt! Zum einen bedeutet der CLOUD Act nicht, dass die Amerikaner nun jederzeit beliebig Zugriff auf alle Daten der ganzen Welt haben. Es geht schließlich um den spezifischen Kontext der Strafverfolgung. Und wie gesagt schreibt ja die DSGVO vor, dass ihre Standards auch im internationalen Datenaustausch erfüllt werden müssen.

 

Und zum anderen ist durch die amerikanische Gesetzgebung nicht mit einem Schlag die gesamte DSGVO ausgehebelt. Zwar steht die abschließende Bewertung der Fachwelt, wie der CLOUD Act und die DSGVO zusammenpassen, leider noch aus. Es ist jedoch abzusehen, dass zu diesem Thema noch Diskussionen auf internationalem Parkett anstehen. Die EU wird die DSGVO nicht von einem Tag auf den anderen rückgängig machen. Der CLOUD Act ist also durchaus kein Anlass, die Vorbereitungen auf die neue Ära des Datenschutzes einfach so fallen zu lassen.

 

Und wenn Sie ganz sicher gehen wollen: Informieren Sie sich, wo die Software-Anbieter, deren Dienste Sie nutzen, ihre Server stehen haben. Und benutzen Sie eine verschlüsselte Software, die selbst deren Hersteller nicht knacken könnte – wie zum Beispiel UWORK.X. Sollte der sehr unwahrscheinliche Fall eintreten, dass Ihre Daten an eine ausländische Regierung übergeben werden müssen, sind diese immerhin sicher. Ohne den erforderlichen Schlüssel (und den hat ja der Anbieter selber nicht) wären sie gar nicht zu auszulesen.

 

 

UWORK.X ist ein Ende-zu-Ende-verschlüsseltes Kommunikationstool, das vollständig den Anforderungen der DSGVO entspricht. Testen Sie das Programm jetzt 30 Tage kostenlos!