Was bedeutet der CLOUD ACT für den Datenschutz in Deutschland?

Am 22. März diesen Jahres hat der US-Kongress den CLOUD Act (Clarifying Lawful Overseas Use of Data Act) als Teil des Haushaltsgesetzes (Omnibus Act) verabschiedet. Mit der Unterzeichnung des amerikanischen Präsidenten Donald Trump am 23.03.2018 trat es postwendend daraufhin  in Kraft. Durch den CLOUD Act dürfen US-Behörden nun zukünftig auch ohne Rückgriff auf internationale Rechtshilfeabkommen Zugriff auf (personenbezogene) Daten von (US-)Unternehmen erhalten, die nicht in der USA gespeichert werden. Angesichts der ab dem 25. Mai 2018 geltenden EU-DSGVO birgt dieses amerikanische Gesetz großes Konfliktpotenzial für europäische Unternehmen.

Was hat es mit dem CLOUD Act auf sich?

Der Cloud Act sieht vor, dass Daten auf Basis von bilateralen Vereinbarungen ausgetauscht werden. Schon heute bestehen vergleichbare Vereinbarungen zwischen den USA und anderen Ländern wie beispielsweise der globale automatische Informationsaustausch. Im Zuge des Cloud Acts müssen US-Anbieter in Zukunft Daten auf Servern in anderen Ländern herausgeben – bislang galt hier primär immer die Gesetzgebung des Landes, in dem sich die Daten/Server/Rechenzentren befanden.

Der CLOUD Act regelt u.a. Folgendes:

1. Er vereinfacht US-Ermittlungsbehörden den Zugang zu Daten über US-Provider, auch wenn dies anderen Regelungen, wie dem europäischen Datenschutz, widerspricht.
2. Er ebnet den Weg zu exklusiven Vereinbarungen zwischen den USA und einem anderen Land, um direkte Anfragen der jeweiligen Strafverfolgungsbehörde an das Unternehmen im Partnerland zu stellen.

Mit dem neuen Gesetz erhalten Behördener  mit der direkten Anfrage an Unternehmen zu viel Macht, denn die Gerichte bleiben außen vor; gleichzeitig liegt die Entscheidung nunmehr bei Unternehmen wie Microsoft, Facebook oder Google selbst, ob sie personenbezogene Daten herausgeben – oder ob sie den Fall einer „Comity Analysis“ unterziehen, bei der ein US-Gericht die Regelungen des betroffenen Staates mit denen der USA abwägen soll.

CLOUD Act vs. DSGV – mögliche Folgen für europäische Unternehmen

De facto ist mit dem Inkrafttreten des CLOUD ACT eine erhöhte Unsicherheit in Bezug auf die Datensouveränität bei der Zusammenarbeit mit US-Unternehmen eingetreten. Denn alle Daten, die mit US-amerikanischen Unternehmen und Personen ausgetauscht werden und die im Zugriff amerikanischer Anbieter sind, sind vom Cloud Act potenziell gefährdet. Dazu gehören nicht nur Dateien auf Fileservern sondern auch E-Mails.und Daten in SaaS-Anwendungen wie Servicenow, Salesforce und Co.

Datenschutzkonformer Einsatz von Office 365

Da sich europäische Unternehmen spätestens ab 25. Mai 2018 strikt an die verschärfte Datenschutzgrundverordnung halten müssen, ist ferner damit auch zu klären, ob ein datenschutzkonformer Einsatz beispielsweise von Office 365 nach dem Cloud Act überhaupt noch gewährleistet werden kann, schließlich handelt es sich hierbei um eine Auftragsdatenverarbeitung, die im Art. 28 DSGVO klar geregelt ist.

Die Frage, inwieweit nun eine Herausgabe von Daten aus der Microsoft Cloud an US-Behörden datenschutzrechtliche Probleme mit sich bringen kann, ist zwar noch nicht schlussendlich von den europäischen Behörden beantwortet, jedoch kann man heute schon resümieren: der Cloud Act schafft lediglich auf US-Seite Klarheit, sorgt auf europäischer Seite jedoch erneut für Rechtsunsicherheit.

Micro Focus bietet GroupWise 2018 und Enterprise Messaging umfassende Collaboration-Lösungen, mit der Unternehmen nicht – wie bei Office 365 – gezwungen werden, ihre Collaboration Daten in die Cloud zu legen.