15.10.2018 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Darin geht es um die Zusammenarbeit zwischen US-Behörden und ausländischen Strafverfolgern. Es verpflichtet amerikanische Firmen bzw. Firmen mit Sitz in den USA und Behörden, den US-Verfolgungsbehörden Zugriff auf gespeicherte Daten zu gewährleisten. Diese Gewährleistung muss auch dann realisiert werden, wenn die Daten nicht in den USA gespeichert werden, also etwa in der Europäischen Union. Auch ausländische Behörden können bei Bestehen entsprechender bilateraler Abkommen mit den USA Zugriff auf Daten von US-Firmen erhalten. Unternehmen können sich nur im Rahmen der sog. Comity Analysis unter Hinweis auf den Auslandsbezug wehren und auch nur dann, wenn eben bilaterale Abkommen bestehen.
Letztlich hatte Microsoft dieses Gesetzesvorhaben ausgelöst, als sich der Software-Riese 2013 weigerte, Daten, soweit diese auf einem Server in Irland gespeichert waren, an US-Behörden herauszugeben. Nach der Argumentation von Microsoft waren US-Gerichte hier nicht zuständig. Am 17. April 2018 erklärte das höchste US-amerikanische Gericht, der US Supreme Court den Rechtsstreit für erledigt, da der Cloud Act jetzt sogar rückwirkend US-Behörden die Zugriffsmöglichkeit eröffnet.
Nach dem Coud Act ist nun eine Firma, die ihren Sitz (auch) in den USA hat und jedenfalls die Daten kontrollieren kann, verpflichtet, Daten, die etwa in Deutschland auf Servern gespeichert sind, herauszugeben. Die Regelung ergänzt praktisch den Patriot Act von 2001, wonach Daten, die in den USA gespeichert sind, herauszugeben sind. Den Gesetzgebern in den USA war es dabei egal, ob etwa Rechtshilfeabkommen bestehen oder aber entgegenstehende Gesetze, wie etwa die DSGVO.
Nach Artikel 48 DSGVO gilt: „Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen […] nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“ Nach Artikel 83 Absatz 5 DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens – je nachdem - welcher Betrag höher ist.
Art. 13 der Datenschutzrichtlinie Elektronische Kommunikation (EK) macht deutlich, dass die Verwendung von elektronischer Post für die Zwecke der Direktwerbung nur bei vorheriger Einwilligung der Nutzer zulässig ist. Ein Verstoß gegen Art. 13 der Datenschutzrichtlinie EK stellt grundsätzlich einen Eingriff in das allgemeine Persönlichkeitsrecht dar. Sowohl die Vorinstanzen wie auch jetzt der BGH stuften die Zufriedenheitsnachfrage als Werbung ein, da das Unternehmen ja zeigt, dass man sich weiter um den Kunden kümmert.
Microsoft hatte sich dem erfreulicherweise bislang durch ein spezielles Datentreuhand-Modell entzogen. Im Service „Office 365 Deutschland“ war T-Systems als Betreiber eingeschaltet und die Datenspeicherung so geregelt, dass Microsoft keinen Zugriff hat. Gerade dieses Modell will Microsoft aber bald nicht mehr anbieten. Statt dessen versucht man die Debatte mit Forderungen an eine Einschränkung der Anwendbarkeit des Cloud-Act zu führen (https://blogs.microsoft.com/uploads/prod/sites/5/2018/09/SIX-PRINCIPLES-for-Law-enforcement-access-to-data.pdf ). Gefordert wird etwa eine vorab durch einen Richter erteilte Genehmigung und bessere Detailinformationen zum Herausgabeansinnen sowie die Information der betroffenen Nutzer. Solche Anforderungen könnten in die bilateralen Verträge aufgenommen werden.
Mit dem Cloud-Act haben die USA die Spielregeln verändert. Ausländische Staaten müssen sich um ein Abkommen mit den USA bemühen. Sonst können sich Firmen mit Sitz in den USA, die Daten auch außerhalb kontrollieren, nicht mehr auf entgegenstehendes Recht, wie etwa die DSGVO berufen. Cloud-Anbieter, wie Microsoft, kommen in die Zwickmühle, denn ihnen drohen Sanktionen nach US-Recht und riesige Strafen nach der DSGVO.
Aber auch Nutzer von Cloud-Produkten und anderen Dienstleistungen, bei denen Daten von US-Firmen kontrolliert werden, stehen bei dieser Sachlage im Regen. Auch ihnen drohen Bußgelder, weil sie die Daten nicht zugriffssicher unterbringen. In dieser unbefriedigenden Situation setzt die EU auf Verhandlungen, obwohl der Cloud-Act nicht einmal Abkommen mit Organisationen vorsieht, sondern nur mit einzelnen Ländern.
Einmal mehr stehen Auslagerungen von Geschäftsprozessen in die Cloud auf wackligen Füssen. Kaum verständlich, dass Microsoft vor einer Klärung ihr Treuhand-Modell ab 2019 nicht weiterführen will. Der mangelnde Zuspruch zu diesem Angebot könnte sich schnell ändern, wenn Datenschutzbehörden plötzlich aktiv werden. Unternehmen, die den Service bereits einsetzen, können ihn zwar auch weiterhin mit Sicherheitsupdates nutzen. Erweiterungen soll es jedoch nicht mehr geben. Damit befindet sich der Kunde zwischen Baum und Borke. Ob Lösungen technischer Art hier weiterhelfen, wie etwa die komplette Verschlüsselung der Daten in der Cloud, ist fraglich.
Klar ist momentan nur, dass die Versicherung von Microsoft, sich auch in Zukunft an die DSGVO zu halten, angesichts des Cloud Act mit Vorsicht zu genießen ist.
X
