US CLOUD Act regelt internationalen Datenzugriff
Wolkenbruch
Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben – allerdings nur, wenn die Daten in den USA liegen. Mit dem CLOUD Act stellt die Trump-Regierung nun auch den Zugriff auf ausländische Server sicher.
Unternehmen in den USA müssen gemäß dem sogenannten Patriot Act gespeicherte Daten, die Gegenstand strafrechtlicher Ermittlungen sind, auf behördliche oder richterliche Anweisung herausgeben. Auch wenn die Voraussetzungen für eine solche Zusammenarbeit zwischen Behörden und Unternehmen im Detail voneinander abweichen, gilt dies im Grundsatz so in vielen Ländern und ist an sich also nichts Besonderes. Ein Schlaglicht hat allerdings ein Streit zwischen dem US-Konzern Microsoft und der US-Regierung auf dieses Thema geworfen. Das Unternehmen hatte sich einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland befanden.
Microsoft argumentierte in dem Fall mit dem Datenschutz und damit, dass das Datenschutzrecht des Landes gelte, in dem die Daten gespeichert sind. Und das sieht in einem solchen Fall vor, dass nationale irische Behörden und Gerichte auf der Basis von Rechtshilfeabkommen ihren US-Kollegen Amtshilfe gewähren oder eben verweigern. Nur bei Vorliegen aller entsprechenden Voraussetzungen darf dann eine Datenübermittlung stattfinden. Unabhängig von Daten ist Amtshilfe bislang bei grenzüberschreitenden strafrechtlichen Ermittlungen stets das übliche Vorgehen.
Am 17. April 2018 erklärte der US Supreme Court, das höchste US-amerikanische Gericht, den Rechtsstreit auf Antrag der US-Regierung für erledigt. Nun muss Microsoft den US-Ermittlungsbehörden Zugriff auf die in der EU gespeicherten Daten gewähren. Der Grund für diese überraschende Wendung liegt in einem neuen Gesetz, das den Zugriff US-amerikanischer Behörden auf Daten erheblich ausweitet – sogar rückwirkend.
Internationale Gepflogenheiten ignoriert
Mit dem sogenannten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“, auf Deutsch etwa „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“. Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.
Der CLOUD Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Die Datenherausgabe setzt auch nicht voraus, dass es ein internationales Rechtshilfeabkommen gibt, das solche Fälle regelt. Im konkreten Fall kann sich Microsoft also nach US-Recht nicht darauf berufen, dass das irische oder das dort ebenfalls geltende EU-Recht die Datenherausgabe etwa von einem Rechtshilfeersuchen der US-amerikanischen Behörden an die irischen Behörden abhängig macht. Ein Konflikt zwischen den Rechtsordnungen Irlands und der USA scheint hier also unausweichlich.
Das Inkrafttreten der EU-Datenschutz-Grundverordnung, kurz DSGVO, bereichert den Zwist um einen weiteren Aspekt. Artikel 48 DSGVO regelt das Herausgeben von Daten an Behörden eines Landes außerhalb der EU: „Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen […] nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“
Laut dieser Vorschrift wäre das Herausgeben von Microsoft in Irland gespeicherter Daten an eine US-Behörde außerhalb eines Rechtshilfeabkommens rechtswidrig, weil es gegen EU-Recht verstößt. Dafür spricht auch Erwägungsgrund 115 zur DSGVO, eine Art Auslegungshilfe zu dieser EU-Vorschrift: „Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden.“
Nach Artikel 83 Absatz 5 DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 DSGVO sogar die besonders hohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist.
Eine Lösung wäre das von Microsoft umgesetzte Modell der Datentreuhand. Unter dem Namen „Office 365 Deutschland“ bietet das Unternehmen Office-Anwendungen an, die T-Systems als Dienstleister betreibt. Dabei erzeugte Daten sind ausschließlich in Deutschland gespeichert, ohne dass Microsoft auf sie Zugriff hat. Demzufolge lautet ein Werbespruch für dieses Angebot „Bereitgestellt aus deutschen Rechenzentren mit Datenspeicherung in Deutschland“. Sprich: Die Daten seien dem Zugriff US-amerikanischer Behörden entzogen.
Vereinbarungen unter Ausschluss der Parlamente
Da sich die Daten auf diese Weise nicht unter der Kontrolle des eigentlichen US-Anbieters – hier Microsoft – befinden, könnte dieser einer Herausgabeanordnung nach dem CLOUD Act unabhängig von rechtlichen Erwägungen also gar nicht mehr folgen. Wie US-Behörden mit solchen Fällen umgehen, ist allerdings noch nicht bekannt. Letztlich könnte der CLOUD Act erweitert werden und US-Unternehmen solche Umgehungspraktiken einfach verbieten. Es fragt sich überdies, wie sich US-Behörden verhalten werden, wenn sich etwa die US-Tochter eines ausländischen Unternehmens weigert, bei der Mutter- oder einer Schwestergesellschaft gespeicherte Daten herauszugeben.
Der CLOUD Act bringt eine weitere Neuerung bei der Herausgabe von Daten an Behörden im internationalen Kontext: Danach können die USA mit anderen Ländern exklusive Vereinbarungen abschließen, die direkte Anfragen einer Behörde bei einem Unternehmen im Partnerland auf Datenherausgabe gestatten. Und diese Anfragen sind ohne Einschaltung von Gerichten möglich, da sie nur auf Verwaltungsebene greifen sollen. Die betroffenen Unternehmen müssten zudem selbst entscheiden, ob sie die Daten an die ausländische Behörde herausgeben oder eine sogenannte „Comity Analysis“ beantragen.
Die Comity Analysis ist der Rechtsschutz, den betroffene US-Unternehmen gegen Anordnungen nach dem CLOUD Act ergreifen können. Nur wenn Länder eine Exekutivvereinbarung mit den USA schließen, können sich Unternehmen wie Microsoft vor Gericht darauf berufen, dass die herauszugebenden Daten weder einen US-Bürger noch einen in den USA ansässigen Nicht-US-Bürger betreffen und zusätzlich die Herausgabe höchstwahrscheinlich das Datenschutzrecht eines Landes verletzt, das mit den USA eine solche Exekutivvereinbarung abgeschlossen hat.
Letztlich zwingt dieser Mechanismus Staaten dazu, mit den USA entsprechende Vereinbarungen zu schließen, die das Persönlichkeitsrecht und damit das Recht an personenbezogenen Daten ihrer Bürger oder von in ihrem Staatsgebiet gespeicherten Daten gegenüber US-Behörden wirksam schützen. Dass sie in umgekehrter und gleicher Weise Daten herausverlangen dürfen, die in den USA gespeichert sind, dürfte in den wenigsten Fällen relevant sein. Deutlich seltener als umgekehrt dürfte es Nicht-US-Unternehmen geben, die in den USA Daten speichern, die für ausländische Ermittlungsverfahren von Relevanz sind.
Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen. Erst kürzlich hat auch die EU-Kommission eine ähnliche Gesetzesinitiative auf den Weg gebracht und sich zu Verhandlungen mit der US-Regierung bereit erklärt.
Allerdings sieht der CLOUD Act nur Verhandlungen mit „ausländischen Regierungen“, nicht jedoch mit „internationalen Organisationen“ vor, etwa der EU. Bis zum Redaktionsschluss stand noch nicht fest, ob US-Justizminister Sessions seine bisherige Weigerung aufgeben wird, mit der EU-Kommission zu verhandeln. Deutschland und andere EU-Staaten haben bereits angekündigt, dass sie nicht an direkten bilateralen Abkommen mit den USA interessiert sind und auf eine Lösung auf EU-Ebene setzen.
Fazit
Der CLOUD Act aus den USA verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Das steht im Konflikt mit dem Recht der EU und ihrer Mitgliedsstaaten. Ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an US-Behörden übergeben werden. Betroffene Unternehmen müssen sich also entscheiden, welches Recht sie verletzen. Eine auf Dauer inakzeptable Situation. Ob sich die USA doch noch auf Gespräche mit der EU zur Lösung dieser Gemengelage einlässt, ist offen. Bislang will sie nur direkt mit den Regierungen einzelner Staaten sprechen.
Fälle wie der von Microsoft sind auch deswegen brisant, weil die US-Regierung offenbar eine ihr unliebsame Rechtslage und das Risiko, vor Gericht eine Niederlage einzustecken, dadurch beseitigt, dass sie rückwirkend die anwendbaren gesetzlichen Grundlagen ändert. Der CLOUD Act sieht vor, dass Konflikte zwischen verschiedenen Rechtsordnungen durch Exekutivvereinbarungen zwischen den USA und anderen Staaten entschärft werden.
Ob und wie sich dieser Konflikt angesichts ablehnender Haltung der US-Regierung zu Gesprächen über diesen Punkt mit der EU-Kommission lösen lässt, ist derzeit nicht absehbar. Leidtragende sind die Unternehmen. Wer als Betroffener auf Nummer sicher gehen will, muss künftig zudem nicht nur darauf achten, wo seine Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat. Das gilt auch für nicht personenbezogene Daten, die etwa Geschäfts- und Betriebsgeheimnisse umfassen. (un@ix.de)