Cloud Act: Was bedeutet dies für Unternehmen?

Veröffentlicht von StefanLutz am

Cloud Act

Viele haben schon davon gehört: Dem US Cloud Act, welcher es US-amerikanischen Behörden erlaubt, Daten zu US Bürgern, Firmen, in den USA lebenden Menschen etc. herauszuverlangen, egal wo sich die Daten befinden. Vorausgegangen war ein Rechtsstreit mit Microsoft. Microsoft stellte sich hierbei auf den Standpunkt, dass die Daten dem Zugriff der US Behörden entzogen seien, da diese sich auf Servern in Irland befinden. Dem wurde nun durch den CLOUD Act ein Ende bereitet. Ab sofort können die US Behörden die Herausgabe von Daten verlangen, welche im Ausland gespeichert werden.

Diese Praxis widerspricht aber der seit dem 25.5.2018 geltenden DSGVO. Dort ist in Artikel 48 geregelt:

Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

What?

Eigentlich ganz einfach. Ohne verbindliche internationale Übereinkunft oder ein entsprechendes Rechtshilfeabkommen dürfen Daten, die in der EU gespeichert sind nicht die EU verlassen und nicht an einen Drittstaat übermittelt werden.

Why so excited?

Auch hier wiederum ganz einfach. Art. 83 DSGVO hält hierfür einen Bußgeldrahmen vor, welcher sich gewaschen hat:

Art. 83 Abs. 5:

Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist

…die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;

And now?

Das ist derzeit eine gute Frage. Bei einer Datenübermittlung an US Unternehmen gilt hier also besondere Vorsicht walten zu lassen. Microsoft hatte zunächst versucht, den Klauen der US Behörden dadurch zu entkommen, dass die Daten in einem neu errichteten Rechenzentrum in Magedeburg von T-Systems treuhänderisch verwaltet werden und Microsoft überhaupt keinen Zugriff auf diese Daten hat. Nunmehr scheint das Unternehmen jedoch von dieser Strategie weniger überzeugt zu sein und hat den Service aufgekündigt. Kunden von Office 365 sollen nunmehr wählen können, ob die Daten in den US oder in der EU gespeichert werden. In beiden Fällen jedoch haben die US Behörden aufgrund des CLOUD Acts Zugriff auf diese Daten, weshalb aus datenschutzrechtlicher Sicht von solchen Diensten abgeraten werden muss.

Alternativen? Derzeit leider keine. Das betrifft auch nicht nur Microsoft, sondern sämtliche Cloudanbieter und auch Dienste wie Facebook etc.