Wie der US CLOUD Act das europäische Datenschutzdilemma verschärft

Inhaltsverzeichnis

Cloud-Dienste sind essenziell geworden in Unternehmen, Behörden und Organisationen. Viele dieser Dienste wie Microsoft 365, AWS oder Google Cloud stammen aus den USA. Das allein wäre rechtlich beherrschbar, gäbe es nicht den US CLOUD Act. Dieses Gesetz verändert die Regeln des transatlantischen Datenverkehrs tiefgreifend und steht häufig in einem Spannungsverhältnis zum europäischen Datenschutz.

Nach der DSGVO ist die Übermittlung personenbezogener Daten in Drittstaaten nur unter bestimmten Bedingungen erlaubt – etwa durch Angemessenheitsbeschluss der EU-Kommission oder Standardvertragsklauseln. Der Europäische Gerichtshof erklärte in den Urteilen Schrems I (2015) und Schrems II (2020) die Datenübermittlungsabkommen Safe Harbor und Privacy Shield für ungültig, weil US-Gesetze wie FISA Section 702 und Executive Order 12333 einen wirksamen Schutz der Daten verhindern.

US-Clouds, EU-Recht und Datenschutz

• Analyse: Wie die Dominanz von Big-Tech und der KI-Hype die Wirtschaft bedrohen
• Wie Big-Tech-Unternehmen Umwelt und Mensch gefährden
• Weg von Big Tech: Wie EU-Staaten die Kontrolle zurückgewinnen
• Europarecht: Diese Pflichten bringt die E-Evidence-Verordnung
• Metas Business-Tools unter juristischem Beschuss
• Wie der US CLOUD Act das europäische Datenschutzdilemma verschärft
• Wie die EU ihr Recht anpasst, um US-Clouds nutzbar zu halten
• Tech-Bros abklemmen: So entkommen Sie US-Clouds
• Alternativen zu US-Clouddiensten: Überblick und Konfigurationstipps
• FAQ: iCloud und Ende-zu-Ende-Verschlüsselung geraten unter Druck
• Digitale Unabhängigkeit: Warum Europa jetzt handeln muss

iX-tract

• Das Thema Datenschutz und US-Cloud-Anbieter beschäftigt Gerichte und Datenschützer schon seit Jahren. Nun befeuern die Aussage eines Microsoft-Managers und eine Entscheidung des EU-Datenschutzbeauftragten die Diskussion erneut.

• Technisch gibt es einige gute Ansätze für Datenschutz wie Microsofts EU-Datengrenze mit ausschließlicher Verarbeitung in der EU, Betreuung durch EU-Personal und Kontrolle über Verschlüsselungsschlüssel. Die Zugriffsmöglichkeit aus den USA besteht aber rechtlich weiterhin.
• Europa muss in Sachen Cloud unabhängiger werden. Das kann nur funktionieren, wenn Technik und Recht gemeinsam gedacht werden, nur dann entsteht echte digitale Resilienz.

US-Gesetze versus EU-Rechte

FISA Section 702 erlaubt US-Nachrichtendiensten, ohne richterliche Einzelanordnung Daten von Nicht-US-Bürgern im Ausland zu sammeln, sofern die Kommunikation über US-Anbieter läuft. Eine Benachrichtigungspflicht ist dabei in vielen Fällen ausgeschlossen. Executive Order 12333 ist eine Anordnung des Präsidenten, die globale Überwachung durch US-Geheimdienste erlaubt, einschließlich Erfassung per Unterseekabel, Satelliten oder Kooperationen mit anderen Behörden, mit nur eingeschränkter gerichtlicher Kontrolle. Beide Regelwerke bieten Europäern keine wirksamen Rechtsbehelfe.

Das war die Leseprobe unseres heise-Plus-Artikels "Wie der US CLOUD Act das europäische Datenschutzdilemma verschärft". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.