Seit 2013 kämpfen Microsoft und die US-Regierung vor Gericht. Dabei verhandeln sie nichts Geringeres als den Zugriff auf Daten in Rechenzentren außerhalb der USA – was mitunter zum CLOUD Act führte; und der wichtigen Frage, wie wir unsere eigenen Daten mit Blick auf die USA schützen.
Wie es begann: US-Behörde verlangt Daten von Microsoft
Ein US-Bundesrichter hat die Herausgabe von E-Mail-Daten von Microsoft gefordert, Anlass war eine strafrechtliche Verfolgung. Normalerweise stellt das Vorgehen kein juristisches Problem dar, denn entsprechend des PATRIOT Act von 2001 hätte Microsoft solchen Anfragen entgegenkommen müssen. Allerdings hatte sich das Unternehmen in diesem Fall geweigert: Die Daten liegen in einem irischen Rechenzentrum, die örtlichen Gerichte seien für die Durchsuchungsanordnung zuständig.
Der Fall wanderte bis zum Supreme Court und sorgte als New York Search Warrant Case weltweit für Aufsehen. Einerseits spannend, weil Microsoft die Fahne für Datenschutzregelungen hochhält – immerhin geht es auch um die Reputation des eigenen Cloud-Geschäfts in Europa. Andererseits relevant, weil der Anlass auf ein Neues die berechtigte Frage stellt, wie Datenfreigabe zwischen Ländern mit verschiedenen Datenschutzregelungen funktionieren soll.
Im konkreten Fall um Microsoft gibt es noch keine finale Entscheidung; diese wird im Sommer erwartet. Was aber den Fall von einem neuen Licht beleuchten wird und seit Ende März erst gilt, ist der CLOUD Act (Clarifying Lawful Overseas Use of Data Act).
Mit der Unterzeichnung des CLOUD Acts durch den US-Präsidenten konnte der Streitvertreter der Regierung, Noel J. Francisco, den Fall im Supreme Court Anfang April für hinfällig erklären und wird ihn jetzt unter den neuen Maßstäben aufgreifen.
Was hat es mit dem CLOUD Act auf sich?
Der CLOUD Act regelt u.a. Folgendes:
- Er vereinfacht US-Ermittlungsbehörden den Zugang zu Daten über US-Provider, auch wenn dies anderen Regelungen, wie dem europäischen Datenschutz, widerspricht.
→ Im Streit um Daten in Irland wäre Microsoft also dazu verpflichtet, die Daten herzugeben. - Er ebnet den Weg zu exklusiven Vereinbarungen zwischen den USA und einem anderen Land, um direkte Anfragen der jeweiligen Strafverfolgungsbehörde an das Unternehmen im Partnerland zu stellen.
→ Eine US-Behörde kann bei einem ausländischen Unternehmen direkt Daten anfragen, sollte es diese z.B. zur Strafverfolgung benötigen. Umgekehrt wäre es auch möglich, dass das Partnerland Daten bei einem US-Unternehmen anfragt. - Auch wenn der CLOUD Act im Fall um die irischen Daten eine Lösung darzustellen scheint, sehen Kritiker darin verschiedene Probleme. Behörden erhalten mit der direkten Anfrage an Unternehmen zu viel Macht, denn die Gerichte bleiben außen vor; gleichzeitig liegt die Entscheidung nunmehr bei Unternehmen wie Microsoft, Facebook oder Google selbst, ob sie personenbezogene Daten herausgeben – oder ob sie den Fall einer „Comity Analysis“ unterziehen, bei der ein US-Gericht die Regelungen des betroffenen Staates mit denen der USA abwägen soll.
CLOUD Act vs. DSGVO
Der CLOUD Act hat auch für Verbraucher außerhalb der USA Konsequenzen, schließlich laufen viele Dienste aus dem täglichen Leben über US-Unternehmen. US-Behörden haben somit leichter Zugriff auf schützenswerte Daten von EU-Bürgern, auch wenn diese sich in europäischen Rechenzentren befinden.
Allerdings – und hier werden wir mit Spannung den weiteren Verlauf beobachten – ist die EU-Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 verbindlich und nimmt auch Unternehmen aus dem EU-Ausland in die Pflicht, die Daten von EU-Bürgern verarbeiten. Bei Verstößen drohen empfindliche Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Die DSGVO birgt somit schmerzhafte Erfahrungen für Unternehmen – und im Zusammenhang mit dem CLOUD Act auch ein enormes Konfliktpotenzial.
Es wäre dennoch falsch anzunehmen, dass mit dem CLOUD Act die grenzüberschreitende Weitergabe von Daten für die Ewigkeit geregelt ist. Auch Microsoft betrachtet den Act in einer Stellungnahme als noch nicht vollendete Reise und hofft auf erfolgreiche Entwicklungen – auch in Bezug auf personenbezogene Daten. Es liegt nahe, dass auf entstehende Streitigkeiten Neuerungen folgen werden. Zumindest hat Safe Harbour nur begrenzt gehalten und auch das Privacy Shield gerät gelegentlich ins Wanken.
Bleibt die Frage nach der Vertrauenswürdigkeit
Bisher haben sich kritische Verbraucher damit begnügt, wenn sie ihre Daten einem Unternehmen anvertraut haben, das in deutschen Rechenzentren auch den strengen Datenschutzrichtlinien unterliegt. Dieser Schutz und das damit einhergehende Vertrauen wird durch den CLOUD Act stark belastet. Verbraucher werden künftig nur noch eine Frage stellen: In welchem Land sitzt das Unternehmen?
Auch für deutsche Unternehmen, die bisher auf Dienste von US-amerikanischen ISPs gesetzt haben, ist dies eine sensible Frage. Einerseits wegen des Vertrauens der eigenen Kundschaft. Andererseits wegen der fehlenden Informationspflicht des CLOUD Act: Ein Service Provider in den USA ist nicht verpflichtet, Betroffene über die Herausgabe personenbezogener Daten zu informieren.
Als Internet Service Provider beobachten wir Veränderungen mit Spannung und wir verstehen, dass unsere Kunden damit Bauchschmerzen haben. Wir kommen nicht drum rum zu betonen, für wie wichtig wir die strengen Datenschutzregelungen in Deutschland – und mit der DSGVO ab Ende Mai in der EU – erachten. Schließlich ist die aktive Absicherung personenbezogener Daten essenziell, damit Verbraucher einem Unternehmen vertrauen können.
Das bedeutet aber auch: Wer das Vertrauen seiner Kunden halten und rechtliche Zwickmühlen vermeiden will, setzt auf einen IT-Dienstleister mit Unternehmenssitz und Rechenzentrumsstandorten in Deutschland.