Der aspectra-Blog seit 2012

CLOUD Act gegen DSGVO

Der US Supreme Court hat das Verfahren gegen Microsoft über die Herausgabe von Daten eingestellt. Damit hat Microsoft gewonnen... oder? 

US-Behörden können Daten herausfordern

Microsoft hat sich seit 2013 und bis vor das oberste US-Gericht geweigert, Daten herauszugeben, die in Irland gespeichert sind. Jetzt wurde das Verfahren vom Supreme Court eingestellt, weil ein neues Gesetz in Kraft trat, der CLOUD Act (Clarifying Lawful Overseas Use of Data). Darin erhalten die US-Behörden das Recht, von US-Cloudanbietern Daten auch dann herauszufordern, wenn diese ausserhalb der USA liegen.

Einspruch möglich, aber nicht erfolgversprechend

Der Cloudbetreiber kann zwar Einspruch erheben, aber nur wenn die Herausgabe gegen das lokale Gesetz verstösst und wenn die Daten nicht von einem US-Bürger, einem Einwohner der USA oder einer US-Firma stammen. Ausserdem müssen die zuständigen US-Gerichte so viele Faktoren berücksichtigen, dass sie dem Einspruch kaum je stattgeben können. Zudem sollen bilaterale Vereinbarungen ausgehandelt werden, die auch diese Möglichkeiten zur Einsprache aushebeln.

De facto Zugriff auf alle Cloud-Daten

Man muss also davon ausgehen, dass die US-Behörden auf sämtliche Daten der US-Cloudanbieter Zugriff haben, egal wo diese gespeichert sind. Personen, die von einer solchen Forderung betroffen sind, haben keine Möglichkeit sich zu wehren und erfahren in der Regel nicht einmal davon.

Verstossen Kunden von US Clouds gegen die DSGVO?

Was hat das nun für Folgen für Firmen, die Daten von europäischen Kunden in der Cloud von Amazon, Microsoft, Google etc. bearbeiten bzw. speichern? Verstossen sie automatisch gegen die DSGVO und müssen sie mit Bussen von bis zu 20 Mio. Euro bzw. 4% das Jahresumsatzes rechnen? Wenn die Daten an die US-Behörden herausgegeben werden, ja. Art. 48 der DSGVO verbietet nämlich die Herausgabe von Daten an Drittländer, sofern kein entsprechendes Abkommen besteht – was auf absehbare Zeit der Fall ist. Wer also auf der sicheren Seite sein will, überlegt sich besser gut, wo er die Daten seiner Kunden speichert.