Für Organisationen, die in oder mit der Europäischen Union tätig sind, ist es von grundlegender Bedeutung zu verstehen, wie sich die Datenschutzgesetze über die Grenzen hinweg überschneiden. Und doch sorgt der U.S. CLOUD Act weiterhin für Verwirrung darüber, was digitale Souveränität in der Praxis tatsächlich bedeutet.
In diesem Blog werden die wichtigsten Auswirkungen des CLOUD Act erläutert, warum er im Widerspruch zu europäischen Datenschutzgrundsätzen wie der GDPR steht und was er für Unternehmen bedeutet, die versuchen, ihre sensible Kommunikation zu schützen.
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz, das 2018 verabschiedet wurde. Es ermöglicht den US-Strafverfolgungsbehörden, amerikanische Unternehmen zu zwingen, Zugang zu im Ausland gespeicherten Daten zu gewähren, auch wenn diese Daten Nicht-US-Personen gehören und sich in Rechenzentren in der Europäischen Union befinden.
Das schließt ein:
Der CLOUD Act setzt lokale Datenschutzgesetze außer Kraft , wenn strafrechtliche Ermittlungen US-Interessen berühren. Sein Geltungsbereich ist extraterritorial, d. h. er gilt unabhängig davon, wo die Daten physisch gespeichert sind, solange der Dienstanbieter seinen Sitz in den Vereinigten Staaten hat. Es gibt den US-Behörden die Befugnis, auf personenbezogene, unternehmensbezogene oder sogar als geheim eingestufte Daten zuzugreifen, ohne die betroffenen Nutzer oder die europäischen Aufsichtsbehörden vorher zu informieren.
Genau hier beginnt der Konflikt.
Nach der Datenschutz-Grundverordnung benötigen Datenübermittlungen in Länder außerhalb der EU eine Rechtsgrundlage. Artikel 48 der Datenschutz-Grundverordnung besagt, dass gerichtliche Anordnungen aus Drittländern (wie den USA) nur dann gültig sind, wenn sie auf einem internationalen Abkommen wie einem Rechtshilfevertrag (MLAT) beruhen. Das CLOUD-Gesetz umgeht jedoch MLATs vollständig.
Dies bringt die Unternehmen in ein rechtliches Dilemma:
Der Europäische Datenschutzausschuss hat klargestellt: Diensteanbieter, die dem EU-Recht unterliegen, können Datenübermittlungen in die USA nicht allein auf der Grundlage von CLOUD Act-Anfragen rechtlich begründen.
Im Gegensatz zu früheren Mechanismen wie dem MLAT erfordert der CLOUD Act keine Zusammenarbeit zwischen Regierungen. Er ermöglicht den US-Behörden einen einseitigen Zugriff auf Daten, ohne dass eine gerichtliche Überprüfung in der EU erforderlich ist und ohne dass die betroffenen Personen in der EU über ausreichende Rechtsmittel verfügen.
Zwar gibt es eine Bestimmung, die es US-Diensteanbietern erlaubt, ein Ersuchen "aufzuheben oder zu ändern", wenn es mit einem ausländischen Gesetz kollidiert, doch ist diese Option selten, komplex und ermessensabhängig. In den meisten Fällen wird sie die Übermittlung von europäischen Daten nicht verhindern.
Oberflächlich betrachtet könnte ein amerikanisches Unternehmen versprechen, dass Ihre Daten "niemals die EU verlassen". Aber nach dem CLOUD Act ist der Standort irrelevant. Die Zuständigkeit richtet sich nach den Eigentumsverhältnissen.
Selbst wenn die Daten also in Frankfurt oder Paris gehostet werden und von einem US-Anbieter verwaltet werden, können US-Behörden rechtmäßig auf sie zugreifen, ohne den Nutzer oder eine europäische Behörde einzuschalten. Dies untergräbt direkt:
Wenn die US-Strafverfolgungsbehörden solche Anfragen stellen, sollten europäische Unternehmen und Dienstanbieter diesen nicht direkt nachkommen. Stattdessen sollten sie diese Fälle an den Rechtshilfevertrag (Mutual Legal Assistance Treaty, MLAT) verweisen, der stärkere Verfahrensgarantien und Rechtssicherheit nach EU-Recht bietet. Solange eine Anordnung nach dem CLOUD-Gesetz nicht über das MLAT durchsetzbar und nach der Datenschutz-Grundverordnung anerkannt ist, gibt es keine Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU.
Für Unternehmen, die mit sensiblen Informationen umgehen, seien es Geschäftsgeheimnisse oder persönliche Kundendaten, stellt dieser rechtliche Konflikt ein echtes Risiko dar. Infolgedessen konzentrieren sich immer mehr Unternehmen nicht mehr darauf, wo die Daten gespeichert werden, sondern darauf, wer die Infrastruktur kontrolliert. Wenn der Anbieter der Rechtsprechung der USA unterliegt, kann die vollständige Einhaltung der DSGVO nicht garantiert werden. Deshalb ist die Wahl eines in der EU ansässigen Anbieters nicht nur eine Vorliebe. Es ist eine Notwendigkeit für Datenschutz und Souveränität.
Die GDPR wurde entwickelt, um die Rechte des Einzelnen auf Privatsphäre und Datenschutz innerhalb der EU zu schützen. Sie setzt strenge Regeln dafür durch, wie Daten verarbeitet, gespeichert und übertragen werden können, insbesondere über Grenzen hinweg.
Das CLOUD-Gesetz umgeht dies durch:
Dies bringt Unternehmen in eine Zwickmühle: Sie müssen die DSGVO einhalten und riskieren, gegen das CLOUD-Gesetz zu verstoßen, oder sie müssen US-Vorladungen nachkommen und riskieren GDPR-Strafen.
Viele globale Anbieter bieten inzwischen in der EU ansässige Rechenzentren und Dienste an, die als souverän" vermarktet werden. Doch bei der Souveränität geht es nicht nur darum, wo die Daten gespeichert werden, sondern auch darum, wer sie kontrolliert.
Wenn ein Cloud-Anbieter seinen Hauptsitz in den USA hat, gilt nach wie vor das CLOUD-Gesetz. Das gilt auch hier:
Diese Angebote bieten die Illusion von Kontrolle, unterliegen aber weiterhin den rechtlichen Anforderungen der USA.
Wenn Ihr Unternehmen echte digitale Souveränität und Konformität gewährleisten muss, sollten Sie Folgendes in Betracht ziehen:
In Sektoren wie dem Gesundheitswesen, der Verteidigung, der Regierung und dem Finanzwesen sind diese Schritte für den Schutz sensibler Kommunikation und die Einhaltung gesetzlicher Vorschriften unerlässlich.
Der CLOUD Act stellt einen echten und ungelösten Konflikt für EU-Organisationen dar, die in den USA ansässige Dienstleister nutzen. Er umgeht den europäischen Rechtsrahmen und stellt die Idee der Datensouveränität selbst in Frage.
Wenn Ihr Anbieter der US-Rechtsprechung unterliegt, sind Ihre Daten möglicherweise nicht sicher, selbst wenn sie innerhalb der EU gespeichert sind. Souveränität ist kein Marketingversprechen, sondern eine rechtliche Realität.
Echte Kontrolle beginnt mit der Wahl einer Infrastruktur, die auf Ihr rechtliches Umfeld abgestimmt ist. Das bedeutet in Europa entwickelte, quelloffene und rechtlich sichere Plattformen wie Wire.