Der CLOUD Act der USA
Der US-CLOUD Act ist noch immer viel zu wenigen europäischen Unternehmen bekannt. Dabei betrifft dieses Gesetz fast jeden von uns – sobald man als Privatperson oder Unternehmen Dateien in einem Cloud-Speicher abgelegt hat, der von einem US-Unternehmen angeboten wird: Google Drive, Microsoft OneDrive, Dropbox und so weiter.
In diesem Artikel erfahren Sie alles, was Sie über den CLOUD Act wissen müssen. Und: Wie Sie Ihre Daten vor dem Zugriff durch US-Behörden wirkungsvoll schützen können.
Was ist der CLOUD Act?
Die USA haben nun also ein Gesetz verabschiedet, das amerikanische Cloud-Provider dazu zwingt, die gespeicherten Daten auf Anfrage der US-Behörden zugänglich zu machen. Dass mit so einem Gesetz die Regularien der DSGVO außer Kraft gesetzt werden, interessiert den amerikanischen Gesetzgeber herzlich wenig. Ganz bewusst – und wenig überraschend – setzt man sich über das geltende Recht anderer Staaten hinweg. Darauf lässt auch schon der Titel “Clarifying Lawful Overseas Use of Data Act“ schließen.
Auch bisher hatten US-amerikanische Behörden schon die Möglichkeit, sich Zugang zu Dateien von Verdächtigen zu verschaffen. Doch war dafür bislang der (Um-)Weg über ein Gericht notwendig. Dieser Umstand führte zu dem großen und vielbeachteten Rechtsstreit, der unter dem Namen „Microsoft Irland“ bekannt wurde. Das Unternehmen weigerte sich, Daten herauszugeben, die in Irland gespeichert sind. Der CLOUD Act gilt auch als Reaktion der US-Regierung auf dieses Gerichtsverfahren.
Derzeit ist das Gesetz unter dem Kurznamen CLOUD Act zur Lesung im Senat. Uns liegen keine Informationen darüber vor, wann mit einer Verabschiedung durch den Senat zu rechnen ist. Den aktuellen Status des Gesetzgebungsverfahrens kann man hier verfolgen. Jedoch sind das Gesetzgebungsverfahren und die Praxis der Rechtsauslegung in den USA anders als in Deutschland. US-Gerichte orientieren sich am sog. common law, dem Gewohnheitsrecht. Sie können mit ihrer Rechtsprechung auch die Gesetzgebung beeinflussen. Das führt dazu, dass der CLOUD Act bereits Wirkung zeigt, obwohl das Gesetz noch nicht verabschiedet wurde.
Die Auswirkungen des Cloud Act auf Cloud-Provider
US-amerikanische Firmen, die Cloud-Dienste anbieten, kommen durch den Cloud Act in die Situation, sich rechtswidrig verhalten zu müssen. Denn es ist nicht möglich, sich als Unternehmen gleichzeitig an den CLOUD Act und an die DSGVO zu halten, da diese sich widersprechen.
Das Magazin com! Professional fasst die missliche Situation treffend zusammen:
Ein US-Unternehmen mit Server-Standort in der EU ist also verpflichtet, US-Behörden Zugriff auf diese Server zu gewähren, obwohl ihm dies laut DSGVO untersagt ist.
Die Auswirkungen des Cloud Act auf Nutzerinnen und Nutzer von Cloud-Services
Einmal mehr steht zu befürchten, dass Daten, die in der Cloud gespeichert sind, abgerufen oder durchsucht werden könnten. Neu ist diesmal aber, dass wir uns nicht vor Hackern oder menschlichem Versagen fürchten müssen, sondern vor amerikanischen Strafverfolgungsbehörden.
Besonders perfide am CLOUD Act ist, dass es den Cloud-Anbietern ausdrücklich untersagt ist, ihre Nutzerinnen und Nutzer zu informieren, sollte es zu einer Abfrage durch die Behörden kommen.
„Europäische Unternehmen zwingt der CLOUD Act in Kombination mit der DSGVO dazu, eine Geldstrafe in Höhe von 20 Millionen Euro oder 4% des weltweiten Umsatzes (je nachdem welcher Betrag höher ist) zu riskieren. Es ist jetzt eindeutig illegal, einen US-amerikanischen Dienst zu verwenden, um jegliche Art von persönlichen Daten (d.h. drei E-Mail-Adressen in einer Datei reichen bereits aus) zu speichern, ohne dass Ihre Daten zuvor auf dem Client verschlüsselt wurden. Denn Sie als Unternehmen können nicht garantieren, dass Ihr US-amerikanischer Serviceanbieter keine Offenlegung vornimmt und die Informationen an Dritte weitergibt, da er gesetzlich dazu verpflichtet ist. Es ist nicht von Bedeutung, was Ihr Cloud-Anbieter in seinen allgemeinen Geschäftsbedingungen verspricht, da das Bundesgesetz eine Geschäftsvereinbarung übertrumpft. Boxcryptor wird somit zu einer der wichtigsten Versicherungen, die ein Unternehmen haben kann.“ (Daniel Arthursson, CEO von CloudMe. Zitat aus dem Englischen übersetzt)
CloudMe ist ein Cloud-Speicheranbieter, der seinen Sitz in Europa hat. Boxcryptor unterstützt CloudMe als einen von mehr als 30 Cloud Providern nativ.
Vor allem das Verbot der Information Betroffener stört zum Beispiel das Unternehmen Microsoft sehr. In einem Grundsatzpapier mit Ideen für ein internationales Abkommen zur Datensicherheit wird das Recht auf Benachrichtigung gleich an erster Stelle genannt.
Wie kann man sich vor dem CLOUD Act schützen?
Derzeit ist der CLOUD Act noch nicht Gesetz, aber bereits wirksam. Die Befürchtung, das Gesetz könnte genauso verabschiedet werden, wie es derzeit diskutiert wird, ist berechtigt. So oder so hilft gegen den Zugriff durch die amerikanischen Behörden einzig eine starke Verschlüsselung. Dadurch mag der Inhalt eines Cloud-Speichers zwar immer noch einsehbar sein, aber die Dateien enthalten eben nur unverständliche Zeichenketten – ein unberechtigter Zugriff, oder eine Auswertung der Dateien ist dadurch nicht möglich.
Wir empfehlen dringend den Einsatz von Ende-zu-Ende-Verschlüsselung mit Boxcryptor. Zusätzlich ist es sinnvoll, ausschließlich europäische Cloud-Speicheranbieter zu nutzen. Dabei spielt nicht nur der Standort des Servers eine Rolle, auf dem die Daten gespeichert werden, sondern auch der Hauptsitz des Unternehmens, das den Server betreibt. CloudMe ist ein Anbieter, der diesen Kriterien entspricht.