Als in Europa nach langen Vorarbeiten und Diskussionen die DSGVO (Datenschutzgrundverordnung) eingeführt wurde, galt in den USA schon seit ungefähr zwei Monaten der sogenannte CLOUD Act (Clarifying Lawful Overseas Use of Data). Hinter beiden Verordnungen, die sich, ihren Namen nach zu urteilen, auf den ersten Blick mit derselben Sache befassen, stehen allerdings zwei unterschiedliche Rechtsauffassungen, die sich gegenseitig ausschließen.
Fokus und Grundidee der beiden Verordnungen könnten unterschiedlicher nicht sein: Während Hauptanliegen der DSGVO ist, die Regeln zur Verarbeitung personenbezogener Daten EU-weit zu vereinheitlichen und dabei die Persönlichkeitsrechte der User zu schützen, dient der CLOUD Act der Vereinfachung der US-Strafverfolgung, da durch seine Anwendung ein Zugriff auf – auch im Ausland – gespeicherte Kommunikationsdaten von Verdächtigen erleichtert wird. Dies kann aus juristischer Sicht besonders für Cloud-Anbieter und Unternehmen, die Cloud-Anwendungen einsetzen, problematisch werden.
Unterschiedliche Bewertung von Persönlichkeitsrechten
Der „Clarifying Lawful Overseas Use of Data“ (CLOUD) Act ersetzt die bisher üblichen Rechtshilfeabkommen zwischen Regierungsbehörden verschiedener Länder und regelt bei Verdachtsmomenten schnellen Zugriff und schnelle Abwicklung auch außerhalb der USA, da die US-Ermittlungsbehörden nun ohne richterliche Anordnungen mit Hilfe des CLOUD Act servergespeicherte Daten direkt von Unternehmen wie beispielsweise Amazon, Apple, Google, Oracle oder Microsoft anfordern können. Besonders brisant ist in diesem Zusammenhang, dass der Cloud-Anbieter keiner Unterrichtungspflicht gegenüber den Betroffenen unterliegt, deren Daten zu Traffic, Kommunikation, aber auch Inhaltlichem herausgegeben wurden.
Dies ist ein eklatanter Widerspruch zu den Bestimmungen der Datenschutzgrundverordnung. Da sich die meisten großen Anbieter für den CLOUD Act ausgesprochen haben, sind europäische Datenschützer alarmiert und geben Untersuchungen in Auftrag, die die Auswirkungen auf die DSGVO in der nächsten Zeit genauer überprüfen und einschätzen sollen.
Grund ist u. a., dass Cloud-Anbieter nur eines der beiden Gesetze – CLOUD Act oder DSGVO – einhalten können, wenn es zu einer Anfrage nach in Europa gespeicherten Datensätzen kommt. Zwar besagt der CLOUD Act, dass die Weitergabe von Daten nur erfolgen soll, wenn damit keine nationalen Gesetze verletzt werden, doch für alle die Fälle, in denen ein weitergehender Zugriff geregelt werden muss, gibt es noch keine rechtssichere Handhabe, weil die noch zu führenden Verhandlungen zwischen der EU und den USA gerade erst begonnen haben. Die rechtliche Unsicherheit besteht also bis auf Weiteres fort.
Der CLOUD Act gilt nicht nur für Unternehmen mit Hauptsitz in den USA
Gesetzliche Vorgabe in der Europäischen Union bei der Verarbeitung personenbezogener Daten in der Cloud ist, dass das vorgegebene Datenschutzlevel zwingend sicherzustellen ist. Europäische Unternehmen entscheiden sich daher in der Regel für Cloud-Anbieter, deren Rechenzentren sich innerhalb der EU befinden. Doch ist eine Einhaltung der geforderten EU-Standards seit Einführung des CLOUD Act keineswegs mehr gewährleistet, weil dieser auch Auswirkungen für europäische Unternehmen mit sich bringen kann, die die Cloud nutzen. Der CLOUD Act betrifft nämlich neben den Firmen mit Hauptsitz in den USA beispielsweise auch Unternehmen, die dort lediglich mit einer Niederlassung vertreten sind oder anderweitig geschäftlich aktiv sind: Zum Beispiel, wenn Nicht-US-Unternehmen Verträge über die Bereitstellung von Dienstleistungen oder Waren vergeben oder Geschäfte in den Vereinigten Staaten ausüben. Selbst Immobilienbesitz, die Führung eines Bankkontos oder der Vertrieb eines Services oder Produktes innerhalb eines US-Bundesstaates fallen darunter.
Um der Sorgfaltspflicht im Rahmen der DSGVO nachzukommen, ist es daher nicht mehr damit getan, den Fokus auf den Hauptsitz des Unternehmens oder seine Produktionsstätten zu richten. Vielmehr wird es gerade für den Umgang mit personenbezogenen Daten immer wichtiger, eine noch größere Gewissenhaftigkeit bei der Wahl der Cloud-Dienste an den Tag zu legen. Dies könnte im Einzelnen bedeuten, bereits bestehende Verträge zu modifizieren, so dass z. B. Cloud-Anbieter vertraglich verpflichtet werden, die angeschlossenen Unternehmen über geplante Aktivitäten in den USA und den damit automatisch einhergehenden Wechsel in den Gültigkeitsbereich des CLOUD Act zu informieren.
Persönlichkeitsrechte werden nicht ausreichend geschützt
Zudem besteht die Befürchtung, dass personenbezogene Daten, die in den bei Usern besonders verbreiteten Cloud-Anwendungen gespeichert sind, wegen der weitreichenden Zugriffsmöglichkeiten, die der CLOUD Act gestattet, möglicherweise nicht mehr ausreichend geschützt sind. Dies könnte zutreffen, wenn beispielsweise bei einem großen Cloud-Anbieter Anfragen von US-Behörden zu ausgewählten Personendaten eintreffen, und zu diesen Daten auch die mit der Person verbundenen und von einem beliebigen Unternehmen verarbeiteten Daten, die mit in dieser Cloud-Anwendung gespeichert sind, ebenfalls weitergegeben werden.
Datenschutz und Persönlichkeitsrechte im Sinne der DSGVO könnten hier, wenn es zu einem Zugriff durch die US-Administrationen käme, nicht gewahrt werden. Wer sich also für Cloud-Anwendungen eines US-Anbieters entscheidet, kann sich gezwungen sehen, den Zugriff Dritter auf die zu schützenden Daten zu tolerieren. Somit erfüllt er seine Verpflichtung zu einer Datenschutz-Folgenabschätzung nicht in ausreichendem Maße, was ein klarer Verstoß gegen die DSGVO wäre.
Ebenfalls können die US-Behörden die Firmen zur Geheimhaltung verpflichten. So kann ihnen explizit untersagt werden, ihre Benutzer und Kunden darüber zu informieren, dass die US-Behörden auf Daten zugegriffen haben. Hier besteht ebenfalls ein Verstoß gegen die Regelungen der DSGVO.
Diese Punkte können dazu führen, dass Firmen Daten gemäß des CLOUD Acts weiterleiten müssen, aber so gleichzeitig gegen die europäische Datenschutzgrundverordnung verstoßen, was mit drakonischen Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Konzernumsatzes geahndet werden kann.
Unternehmen sollten die Kontrolle über ihre Daten behalten
Die Unsicherheit der europäischen Unternehmen über den Gültigkeitskonflikt zwischen DSGVO und CLOUD Act ist groß. Die DSGVO fordert, dass Unternehmen während der kompletten Verarbeitungskette die vollumfängliche Kontrolle über die von ihnen erhobenen Daten behalten, wohingegen der CLOUD Act eben diese Kontrolle ignoriert und umgeht.
Und es bleiben noch weitere Unsicherheiten bestehen: Sollten tatsächlich Unternehmensdaten an amerikanische Behörden übergeben werden, müssten die betroffenen Unternehmen, wie weiter oben schon erwähnt, nicht informiert werden. Aber selbst bei Kenntnis der Weitergabe bliebe unbekannt, welche Stellen diese Daten erhalten und auswerten, ob sie noch an andere Institutionen weitergegeben werden und ob und wie lange sie archiviert werden.
Nach dem Wortlaut des CLOUD Acts geht es um sämtliche Informationen, die ein Unternehmen speichert. Folglich also um personenbezogene und auch nicht-personenbezogene Daten, wie es etwa auch Geschäfts- und Betriebsgeheimnisse sein können.
Sicherheitskontrolle bereits auf Datenebene installieren
Die geschilderten Szenarien verdeutlichen, dass der Verantwortungsbereich der Unternehmen die Sicherheit der Daten und auch deren Kontrolle umfassen muss. Bei der Nutzung von Cloud-Anwendungen müssen entsprechende Mechanismen zwingend bereits auf der Datenebene greifen.
Es ist dabei sicherzustellen, dass Unternehmensdaten nicht nur bei der Übertragung, sondern auch bei der Cloud-Speicherung verschlüsselt und verlässlich gesichert sind. Um diesen Sicherheitsstandard zu erreichen, ist es notwendig, adäquate Verschlüsselung einzusetzen. Es geht hier im Wesentlichen darum, Daten bei Verlust für Unbefugte nutzlos zu machen. Dies erfüllt dann zuverlässig alle Vorgaben der DSGVO, denn das Unternehmen kann jederzeit die Kontrolle über die Daten behalten.