© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@weka.at

31.05.2021 | Datenschutz & IT | ID: 1093081

Auswirkungen des CLOUD-Acts bei der Nutzung von US-Providern

Albert Scherzer

Der CLOUD-Act ist das konträre Gegenstück zur DSGVO. Was müssen Unternerhmen hinsichtlich des CLOUD-Acts bei der Nutzung von US-Providern und Verarbeitung personenbezogener Daten beachten?

Der Begriff CLOUD-Act ist die Abkürzung für „Clarifying Lawful Overseas Use of Data Act“. Dies ist im Wesentlichen eine gesetzliche Datenschutzregelung der Vereinigten Staaten. Er ermächtigt US-amerikanischen Behörden den Zugriff auf sämtliche Unternehmens- und Kundendaten von Cloud- und Kommunikationsanbietern, vorausgesetzt, das Unternehmen hat seinen Sitz in den USA bzw unterliegt dem amerikanischen Recht.

Der CLOUD-Act ist daher als konträres Gegenstück zur EU-Datenschutzgrundverordnung (DSGVO) zu betrachten, bei der personenbezogene Daten einen höheren Stellenwert einnehmen. Im Folgenden soll geklärt werden, ob der CLOUD-Act bei der Wahl eines europäischen Angebots eines US-Providers beeinflussen soll.

EU-USA privacy-shield

Das EU-US Privacy Shield ist ein Abkommen zwischen der EU und den USA, welches Fragen des Datenschutzes und der Datensicherheit bei der Übermittlung von personenbezogenen Daten in die USA beinhaltet. Aufgrund dieses Abkommens legte die Europäische Kommission fest, dass die USA ein angemessenes und folglich gleichwertiges Datenschutzniveau wie die EU aufweisen. Dies gilt als so genannter Angemessenheitsbeschluss nach Art 45 DSGVO. Die Konsequenz ist, dass fortan personenbezogene Daten dorthin übermittelt werden, ohne dass es zusätzlicher Maßnahmen bedarf.

Welche Erkenntnisse liefert „Schrems II“?

Der EuGH befasste sich hierbei zum einen mit der Stufe der Rechtsordnung, die Zugriffsmöglichkeiten der US-Strafverfolgungsbehörden überhaupt vorsehen dürfen. In den USA selbst ist dies bereits aufgrund von Verordnungen möglich.

Der EuGH entschied, dass der Angemessenheitsbeschluss der Europäischen Kommission ungültig sei (privacy-shield). Die USA seien nicht in der Lage, ein angemessenes Datenschutzniveau zu gewährleisten. Begründet wurde dies insbesondere mit den Zugriffsrechten der US-Behörden für Zwecke der nationalen Sicherheit. Auch der beim EU-US Privacy Shield vorgesehene Beschwerdemechanismus sei nicht geeignet, die gravierenden Mängel beim Rechtsschutz auszugleichen. Eine inhaltliche Überprüfung des Datenschutzniveaus in den USA erfolgte indes nicht.

Datenverarbeitung außerhalb von EU/EWR

Betreffend die Datenverarbeitung in Drittstaaten aus österreichischer bzw europäischer Sichtweise sind vorwiegend zwei Fragen relevant:

  • Einerseits die Nutzung von Clouddiensten, Social-Media-Diensten und anderen digitalen Angeboten der Technologieunternehmen aus den USA, sowie
  • das Outsourcen von Softwareentwicklung in Ost-Europa („Nearshore Outsourcing“) sowie („Offshore Outsourcing“) in Asien.

Bedeutend ist die Frage, wie aufgrund des Urteils des EuGH künftig mit Diensten aus den USA zu verfahren sein wird.

Umsetzung und Verlagerung in die EU 

Die überwiegende Mehrheit der US-Provider hat dies bereits umgesetzt und die Bedingungen abgeändert bzw innerhalb der EU Serverstandorte eröffnet, bei gleichzeitiger Garantie, dass keine Datenverarbeitungen außerhalb der EU stattfinden. Aktuell ist der Gebrauch von Standardvertragsklauseln weiterhin möglich, wobei sich hierbei auch die Kritik häuft.

Viele US-Unternehmen versuchen nach außen, die Anforderungen der DSGVO zu erfüllen, scheitern aber nur allzu häufig an der Bestimmung des Artikels 48 DSGVO (Zulässigkeit der Übermittlung von Personendaten an staatliche Stellen in Drittländern), sofern sie personenbezogene Daten an US-Behörden liefern. Zudem sind die US-Unternehmen verpflichtet, US-Gesetze wie FISA oder CLOUD-Act einhalten. Dies gilt auch für die europäischen Tochterunternehmen der US-Anbieter.

Mit der Konsequenz, dass die Verarbeitung personenbezogener Daten nun in der EU erfolgt, ist das Problem der systematischen Bearbeitung in den USA formell gelöst, nicht jedoch die Problematik des Zugriffs von US-Behörden darauf. Dieser Widerspruch lässt sich nicht zur Gänze auflösen, jedoch richtig einordnen.

Die Zwickmühle mit der amerikanischen Strafverfolgung

Der CLOUD-Act ist die Verschriftlichung einer seit langem bestehenden Praxis in der amerikanischen Strafverfolgung, die in den Vereinigten Staaten bereits seit Jahrzehnten gängig ist und in sämtlichen Urteilen von US-Gerichten bestätigt wurde, allerdings mit einer Ausnahme. Es geht dabei um den Zugriff einer US-Behörde auf personenbezogene Daten eines US-Amerikaners auf Servern von Microsoft in Irland. Um auch diese Ausnahme endgültig zu tilgen, wurde die langjährige Praxis schließlich im „CLOUD Act“ niedergeschrieben. Auch wenn dies teils problematisch erscheint, darf man formell davon ausgehen, dass die USA damit das Ziel verfolgen, Beweise in Zusammenhang mit US-Personen in Strafprozessen zu erheben. Massenspionage und der Diebstahl von Betriebsgeheimnissen dürfen auf dieser Basis nicht erfolgen.

Außerdem verfügen die US-Behörden über weitere Optionen, um an die für Strafverfahren benötigten Daten von US-Personen zu gelangen. Dies wäre im Rahmen der Rechtshilfe möglich. In Österreich besteht hierfür der „Vertrag zwischen der Regierung der Republik Österreich und der der Vereinigten Staaten von Amerika über die Rechtshilfe in Strafsachen“.

Der Nachteil hierbei liegt darin, dass mehr Personen an einem Rechtshilfeprozess beteiligt sind und eine gewisse Verfahrensdauer des Rechtshilfeersuchens unvermeidbar ist. Dies vergrößert das Risiko erheblich, dass der betroffene US-Staatsbürger von den Ermittlungen erfährt und die Beweissicherung darunter leidet. Infrage steht somit nicht, ob die USA an diese Daten gelangen sollen, sondern wie.

Grenzen der Datenerhebung

Die zuständigen Gerichte in den USA überprüfen die eingehenden Anfragen der Strafverfolgungsbehörden hinsichtlich des CLOUD-Acts auf deren Grundrechtskonformität und Verhältnismäßigkeit. In weiterer Folge befassen sich die US-Anbieter minutiös mit den meist wenigen Anfragen von US-Strafverfolgungsbehörden und ringen sich auch durch, diese abzulehnen. Dies liegt daran, dass der CLOUD-Act Datenerhebungen auf Vorrat und auch die zufällige Suche nach interessanten Daten verbietet. Es besteht die Verpflichtung der US-Behörden exakt anzugeben, wonach sie auf der Suche sind. Es ist nicht möglich, Anfragen zu stellen, um zu eruieren, ob sich auf den Servern eventuell etwas Verwertbares befindet (Verbot der „fishing expeditions“).

Staatlicher Zugriff auf personenbezogene Daten

Nicht nur die USA, sondern auch in Österreich sehen etwa die Strafprozessordnung (StPO) und weitere Gesetze unterschiedliche Möglichkeiten vor, über Betroffene personenbezogene Daten bei IT- oder Telekomdienstleistern mit Sitz oder Serverstandort in Österreich abzufragen. Zudem besteht die so genannte „Cyber Crime Convention“ (CCC), ein internationales Abkommen, welches auch in Österreich ratifiziert wurde und eine ähnliche Vorgangsweise ermöglicht wie der CLOUD-Act.

Die nachstehenden Fragen sind für jene interessant, die sich weitergehende Rechtsfragen in diesem Zusammenhang stellen:

  • Umgang der US-Gerichte mit Gesuchen von US-Behörden, die sich auf den CLOUD Act beziehen
  • Möglichkeit der Betroffenheit des eigenen Unternehmens bzw von Kunden als US-Person
  • Häufigkeit der Gesuchten beim jeweiligen US-Provider
  • Umgangspraxis des Providers hinsichtlich bereits erfolgter bzw vergangener Anfragen
  • Ausloten der Zusicherungen, die der Provider seinen Kunden bietet
  • Informationspflicht hinsichtlich eigener Kunden

Was nun? 

Bei der Kooperation mit US-Providern müssen freilich neben den spezifischen Fragen zum CLOUD-Act auch jene Fragen beantwortet werden, die ganz allgemein im Rahmen der Verarbeitung von personenbezogenen Daten anfallen. Zu klären ist stets, welche Daten aufgrund welcher Grundlage erhoben und verarbeitet werden.

In einem ersten Schritt ist jedenfalls festzustellen, ob die US-Dienste bereits die Umstellung auf Standardvertragsklauseln oder Binding-Corporate-Rules vollzogen haben. Auf dieser Grundlage ist eine einzelfallbezogene Risikoanalyse durchzuführen. .

Grundsätzlich kann jedenfalls nicht gesagt werden, den CLOUD-Act als ausschließliches oder schwerwiegendes Kriterium bei der Auswahl von Partnern im Zusammenhang mit Datenbearbeitungen anzuwenden.

Ähnliche Beiträge

  • Die Zukunft der digitalen Sicherheit und des Datenschutzes in der EU

    Zum Beitrag
  • EuGH kippt Privacy Shield – Was müssen Unternehmen künftig beachten?

    Zum Beitrag
  • Datenschutz: Privacy by Design oder Privacy by Default?

    Zum Beitrag