Zwischen der Datenschutzgrundverordnung (DSGVO) und dem neuen amerikanischen CLOUD Act gibt es ein erhebliches Spannungsfeld. Die Frage ist, ob US-Behörden die Gesetze anderer Länder respektieren. Wir zeigen Ihnen, was das für Sie als Systemhaus bedeutet.

Amerikanische Sicherheitsbehörden haben laut Medienberichten teilweise wenig Respekt vor Landesgrenzen. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act), der seit März 2018 in Kraft ist, ist in dieser Hinsicht bereits ein Kompromiss. Vorher beriefen sich FBI & Co. auf den Stored Communications Act (SCA) von 1986, als es noch keine IT-Cloud gab. Gegen die geforderte Datenherausgabe laut SCA wehrte sich vor allem Microsoft und ging vor den Supreme Court mit der Begründung, das SCA gelte nicht für im Ausland vorgehaltene Daten.

Zwei Versuche, SCA zu erweitern, scheiterten im amerikanischen Kongress, bevor der CLOUD Act dann 2018 angenommen wurde. Grundsätzlich legt er fest, dass alle US-Unternehmen bei Vorlage eines Strafbefehls die Daten aus den USA vorlegen müssen, dass aber bei Daten in anderen Ländern die dort geltenden Datenschutzrichtlinien respektiert werden müssen, allerdings nur unter bestimmten Voraussetzungen. Die großen IT-Unternehmen wie Microsoft, Google oder Apple begrüßten den CLOUD Act, während sich Bürgerrechtler unzufrieden zeigten.

Die gerichtliche Auseinandersetzung vor dem Supreme Court zwischen FBI und Microsoft wurde daraufhin vom Obersten Gericht an ein Gericht in New York zurückverwiesen und dadurch erledigt, dass die Strafverfolger ihren Haftbefehl zurückzogen.

DSGVO oder CLOUD Act – wer ist stärker

Die Frage, wie sich Datenschutzgrundverordnung (DSGVO) und CLOUD Act miteinander vertragen, ist schwer zu beantworten. Die DSGVO regelt in Artikel 48 den Fall eines Herausgabeverlangens durch Behörden und andere staatliche Stellen eines Drittlandes. Danach dürfen solche Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen (Mutual Legal Assistance Treaty – MLAT) oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat besteht.

Rechtsanwälte sehen Zwickmühle

Ein Konflikt scheint unausweichlich, urteilen verschiedene Rechtsanwälte: „Letztlich zwingt der CLOUD Act Unternehmen also sich zu entscheiden, ob gegen US-Recht oder das Recht desjenigen Staates verstoßen werden soll, innerhalb dessen die Daten gespeichert sind oder dessen Staatsangehöriger der Bürger ist, dessen Daten in den USA untersucht werden sollen“, sagt Simone Rosenthal, Partnerin bei Schürmann Rosenthal Dreyer. Dr. Nils Lölfing, Rechtsanwalt Bird & Bird, betont: „Aufgrund der aktuellen Rechtslage befinden sich Unternehmen in der EU in einer Zwickmühle. So müssten sie bei einer Anfrage von US-Behörden gegen Artikel 48 der EU-DSGVO verstoßen.“ Ebenso sieht es Johanna M. Hofmann, Rechtsanwältin für IT- und Datenschutzrecht in der Wirtschaftskanzlei CMS: „Wird nun ein US-Unternehmen auf Grundlage des CLOUD-Acts aufgefordert, in der EU gespeicherte Daten offenzulegen, kann sich der Anbieter in einer Zwickmühle befinden: Der CLOUD-Act zwingt ihn zur Herausgabe. Das fehlende Durchführungsabkommen hindert ihn daran.“

Eine gute Nachricht ist es, dass ein Weg aus der Zwickmühle möglich erscheint. Die EU und die USA arbeiten derzeit an einer gemeinsamen Lösung, um für mehr Rechtssicherheit zu sorgen.

Systemhäuser sollten vorsichtig sein

Für Systemhäuser ist deshalb große Sorgfalt anzuraten. Wenn Sie Ihre Daten einem amerikanischen Provider anvertrauen, unterliegt dieser selbstverständlich dem CLOUD Act. Aber auch die großen deutschen Provider wie die Telekom und 1&1 sind in großem Maßstab in den USA tätig und gelten deshalb für das Gesetz als amerikanische Unternehmen. Deshalb wurde wohl das von Microsoft und der Telekom entwickelte Modell einer Datentreuhänderschaft mittlerweile eingestellt.

Und das gleiche gilt ebenso für einen kleineren Provider, wenn dieser auch nur eine winzige Geschäftsstelle in den USA unterhält, denn laut CLOUD Act reicht dafür eine signifikante Präsenz aus.

Unser Rat: Verlassen Sie sich auf einen rein deutschen Provider ohne jede Präsenz in den USA mit datenschutzkonformen und hochsicheren Rechenzentren in Deutschland. Das legt dem CLOUD Act jedenfalls eine hohe Hürde in den Weg.

Und die DSGVO führt das schärfere Schwert als der CLOUD Act. Im Juli 2019 wurden in Großbritannien der Hotelkette Marriott und der Fluglinie British Airways Strafzahlungen von insgesamt mehr als 300 Millionen Pfund wegen Verstößen gegen die Datenschutzrichtlinien auferlegt.

Über dogado.partners

BUSYMOUSE ist der führende Anbieter für das Reselling von Cloud Lösungen im IT Channel in Deutschland. Als Cloud Service Provider bietet BUSYMOUSE Lösungen in den Bereichen Microsoft Cloud Services, SaaS, Security und Backup-Services sowie Virtual Datacenter an. Durch die Übernahme in die Dogado Gruppe agiert BUSYMOUSE ohne Direktvertrieb als reine Channel Marke.

Weitere Informationen finden Sie unter http://www.busymouse.de

Firmenkontakt und Herausgeber der Meldung:

dogado.partners
Antonio-Segni-Straße 11
44263 Dortmund
Telefon: +49 (511) 899 555 0
http://www.dogado.partners/

Ansprechpartner:
Jan Schmidt
Marketing Director
Telefon: +49 (511) 899555-537
E-Mail: jan.schmidt@busymouse.de
Tobias Lilienthal
Communication Manager / Tech & Digitalization
Telefon: +49 (0) 89 939 0990-09
E-Mail: t.lilienthal@evernine.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel