Da­ten­sou­ve­rä­ni­tät für Un­ter­neh­men in Zeiten des US CLOUD Act

Patriot Act, Safe Harbor, Privacy Shield und nun seit gut 16 Monaten der US CLOUD Act: die USA sorgen in ihrem Kampf gegen Terror und Ver­bre­chen immer wieder für neuen Zündstoff in der Debatte um Da­ten­schutz und digitale Sou­ve­rä­ni­tät einer In­dus­trie­na­ti­on wie Deutsch­land.

Der CLOUD Act (kurz für Cla­ri­fy­ing Lawful Overseas Use of Data Act) regelt den Umgang mit Daten von US-Bürgern und -Un­ter­neh­men, die sich physisch außerhalb der USA befinden: Dem Gesetz zufolge sind in Zeiten von "America First" diese Daten so zu behandeln, als befänden sie sich auf Servern in den Ver­ei­nig­ten Staaten. Auf diese Weise eröffnet der CLOUD Act den US-Behörden Zugriff auf alle Arten von Daten – gleich, ob per­so­nen­be­zo­gen oder nicht. Einzige Bedingung: Ein US-ame­ri­ka­ni­sches Un­ter­neh­men besitzt, ver­ar­bei­tet oder kon­trol­liert diese Daten direkt oder indirekt bei­spiels­wei­se durch Toch­ter­un­ter­neh­men.

Zu solchen Un­ter­neh­men zählen in erster Linie Internet-Provider, IT-Dienst­leis­ter und Cloud-Anbieter mit Sitz in den USA oder deren eu­ro­päi­sche Ableger. Damit nicht genug: Die Wirkung des CLOUD Act erstreckt auch auf eu­ro­päi­sche Kunden von US-Un­ter­neh­men, die Daten der Kontrolle und Ver­ar­bei­tung in einem US-Un­ter­neh­men aussetzen.

Ein voll­um­fäng­li­cher rich­ter­li­cher Beschluss, der die Her­aus­ga­be der Daten an US-Behörden le­gi­ti­miert, ist nicht mehr er­for­der­lich, das Ersuchen einer er­mäch­tig­ten US-Exe­ku­tiv­be­hör­de - ein sog. Warrant - allein reicht aus. Damit stellt der CLOUD Act einen klaren Wi­der­spruch zur EU-Da­ten­schutz­grund­ver­ord­nung (DSGVO) und den eu­ro­päi­schen Vor­stel­lun­gen von Da­ten­schutz und Da­ten­si­cher­heit dar. Und einmal mehr wird deutlich, dass Europa und die USA in Sachen Da­ten­schutz ver­schie­de­ne Sprachen sprechen.

Das be­trof­fe­ne eu­ro­päi­sche Un­ter­neh­men hat nämlich die Behörden seines Hei­mat­lan­des auf deren Verlangen hin bei ihrer Arbeit, zum Beispiel im Falle einer Straf­er­mitt­lung, zu un­ter­stüt­zen. Dass sie dabei per­so­nen­be­zo­ge­ne Daten ebenso einfach of­fen­le­gen müssen wie andere sensible Un­ter­neh­mens­da­ten, zum Beispiel Ge­schäfts­ge­heim­nis­se, scheint zumindest für die Ver­ei­nig­ten Staaten un­pro­ble­ma­tisch. Da­ten­schüt­zer und Politiker in Europa und Deutsch­land hingegen schlagen Alarm.

In den Ver­ei­nig­ten Staaten herrscht ein völlig anderer Umgang mit Daten als in Europa. IONOS hat die Aus­wir­kun­gen des CLOUD Act in einem um­fang­rei­chen White­pa­per von ju­ris­ti­schen Experten ana­ly­sie­ren lassen:

Experten sind sich einig: Die deutsche Wirt­schaft muss sich zügig di­gi­ta­li­sie­ren, um wett­be­werbs­fä­hig zu bleiben. Di­gi­ta­li­sie­rung braucht aber zugleich leis­tungs­star­ke IT-Platt­for­men in der Cloud. Mitt­ler­wei­le gibt es Cloud-Lösungen für nahezu jede Fra­ge­stel­lung in Sachen digitaler Fort­ent­wick­lung. Viele Anbieter dieser Lösungen befinden sich im Ausland, vor allem in den USA.

Der CLOUD Act jedoch erlaubt be­rech­tig­ten US-Behörden den nahezu un­be­schränk­ten Zugriff eben auch auf Un­ter­neh­mens­da­ten bis hin zu Ge­schäfts­ge­heim­nis­sen. Verlangen US-Behörden den Zugriff, müssen US-Anbieter dabei mitwirken und auch ge­schäft­li­che Daten eines Un­ter­neh­mens oder wiederum von dessen Endkunde her­aus­ge­ben. Dies aber wi­der­spricht der zunehmend auch von ver­ant­wort­li­chen deutschen Po­li­ti­kern ge­for­der­ten Digitalen Sou­ve­rä­ni­tät. Nur  IT-Dienst­leis­ter und Cloud-Anbieter mit Sitz und Re­chen­zen­tren in Europa bieten eu­ro­päi­schen und deutschen Un­ter­neh­men maximal mehr Si­cher­heit. Wichtig ist, dass der recht­li­che Sitz des Cloud-Anbieters bspw. sich in der EU befindet und Cloud nutzende Kunden gezielt deutsche oder eu­ro­päi­sche Re­chen­zen­tren auswählen können, um im Zuge der Di­gi­ta­li­sie­rung IT-Workloads in die Cloud zu trans­fe­rie­ren.

Klar: Die USA sind ein Rechts­staat und der Klageweg gegen Maßnahmen, die sich aus diesem Gesetz heraus ableiten, ist vor or­dent­li­chen Gerichten möglich. Nur geschieht dies dann in den USA. Zudem ist das Gesetz sehr allgemein gehalten. Da es noch keine Leit­ent­schei­dun­gen eines US-Gerichtes zu seiner Auslegung gibt, besteht ein er­heb­li­ches Maß an Rechts­un­si­cher­heit. Der Umgang mit dem chi­ne­si­schen Netzwerk- und IT-Ausrüster Huawei zeigte unlängst, wie schnell eine Rechts­ord­nung in den USA teilweise aus­ge­he­belt werden kann. Natürlich sollten sich Un­ter­neh­mer nicht von möglichen Worst Case-Szenarien leiten lassen. An­de­rer­seits sollten er­kenn­ba­re Risiken sorg­fäl­tig gegen weniger riskante Al­ter­na­ti­ven abgewogen werden.

Was genau abgewogen werden sollte, erklärt Ihnen ein Fach­ju­rist im Interview:

Der US CLOUD Act steht im klaren Wi­der­spruch zur DSGVO. Auch gegenüber dem im April er­las­se­nen Gesetz zum Schutz von Ge­schäfts­ge­heim­nis­sen (GeschGehG) muss sich der CLOUD Acts erst einmal rechts­kon­form abgrenzen lassen. In jedem Fall wird deutlich: Ein Speicher- und Ver­ar­bei­tungs­stand­ort für Daten in Europa allein genügt nicht für ef­fek­ti­ven Rechts­schutz. Die Herkunft des Dienst­leis­ters, der speichert und ver­ar­bei­tet, ist aus­schlag­ge­bend. Er sollte der gleichen Rechts­ord­nung un­ter­lie­gen wie der Un­ter­neh­mens­kun­de, dessen Daten betroffen sind.

In einer glo­ba­li­sier­ten Welt hat das Recht immer öfter einen langen Arm. Deshalb muss aber kein Un­ter­neh­men auf die Vorteile der Di­gi­ta­li­sie­rung ver­zich­ten. Es gibt deutsche und eu­ro­päi­sche Anbieter wie IONOS, die ihre Cloud-Lösungen im Einklang mit deutschen und eu­ro­päi­schen Da­ten­schutz­be­stim­mun­gen betreiben. Ein IT- oder Cloud-Dienst­leis­ter aus Deutsch­land, aus Europa, ist stets greifbar. Vertrauen in den Ge­schäfts­part­ner plus effektiv durch­setz­ba­re Rechts­an­sprü­che sichern digitale Sou­ve­rä­ni­tät - auch für mit­tel­stän­di­sche Un­ter­neh­men, die nicht über eine große Rechts­ab­tei­lung verfügen.