Digitale Souveränität für Unternehmen in Zeiten des US CLOUD Act

Patriot Act, Safe Harbor, Privacy Shield und nun seit gut 16 Monaten der US CLOUD Act: die USA sorgen in ihrem Kampf gegen Terror und Verbrechen immer wieder für neuen Zündstoff in der Debatte um Datenschutz und digitale Souveränität einer Industrienation wie Deutschland.

Der CLOUD Act (kurz für Clarifying Lawful Overseas Use of Data Act) regelt den Umgang mit Daten von US-Bürgern und -Unternehmen, die sich physisch außerhalb der USA befinden: Dem Gesetz zufolge sind in Zeiten von "America First" diese Daten so zu behandeln, als befänden sie sich auf Servern in den Vereinigten Staaten. Auf diese Weise eröffnet der CLOUD Act den US-Behörden Zugriff auf alle Arten von Daten – gleich, ob personenbezogen oder nicht. Einzige Bedingung: Ein US-amerikanisches Unternehmen besitzt, verarbeitet oder kontrolliert diese Daten direkt oder indirekt beispielsweise durch Tochterunternehmen.

Zu solchen Unternehmen zählen in erster Linie Internet-Provider, IT-Dienstleister und Cloud-Anbieter mit Sitz in den USA oder deren europäische Ableger. Damit nicht genug: Die Wirkung des CLOUD Act erstreckt auch auf europäische Kunden von US-Unternehmen, die Daten der Kontrolle und Verarbeitung in einem US-Unternehmen aussetzen.

Ein vollumfänglicher richterlicher Beschluss, der die Herausgabe der Daten an US-Behörden legitimiert, ist nicht mehr erforderlich, das Ersuchen einer ermächtigten US-Exekutivbehörde - ein sog. Warrant - allein reicht aus. Damit stellt der CLOUD Act einen klaren Widerspruch zur EU-Datenschutzgrundverordnung (DSGVO) und den europäischen Vorstellungen von Datenschutz und Datensicherheit dar. Und einmal mehr wird deutlich, dass Europa und die USA in Sachen Datenschutz verschiedene Sprachen sprechen.

Das betroffene europäische Unternehmen hat nämlich die Behörden seines Heimatlandes auf deren Verlangen hin bei ihrer Arbeit, zum Beispiel im Falle einer Strafermittlung, zu unterstützen. Dass sie dabei personenbezogene Daten ebenso einfach offenlegen müssen wie andere sensible Unternehmensdaten, zum Beispiel Geschäftsgeheimnisse, scheint zumindest für die Vereinigten Staaten unproblematisch. Datenschützer und Politiker in Europa und Deutschland hingegen schlagen Alarm.

In den Vereinigten Staaten herrscht ein völlig anderer Umgang mit Daten als in Europa. IONOS hat die Auswirkungen des CLOUD Act in einem umfangreichen Whitepaper von juristischen Experten analysieren lassen:

Experten sind sich einig: Die deutsche Wirtschaft muss sich zügig digitalisieren, um wettbewerbsfähig zu bleiben. Digitalisierung braucht aber zugleich leistungsstarke IT-Plattformen in der Cloud. Mittlerweile gibt es Cloud-Lösungen für nahezu jede Fragestellung in Sachen digitaler Fortentwicklung. Viele Anbieter dieser Lösungen befinden sich im Ausland, vor allem in den USA.

Der CLOUD Act jedoch erlaubt berechtigten US-Behörden den nahezu unbeschränkten Zugriff eben auch auf Unternehmensdaten bis hin zu Geschäftsgeheimnissen. Verlangen US-Behörden den Zugriff, müssen US-Anbieter dabei mitwirken und auch geschäftliche Daten eines Unternehmens oder wiederum von dessen Endkunde herausgeben. Dies aber widerspricht der zunehmend auch von verantwortlichen deutschen Politikern geforderten Digitalen Souveränität. Nur  IT-Dienstleister und Cloud-Anbieter mit Sitz und Rechenzentren in Europa bieten europäischen und deutschen Unternehmen maximal mehr Sicherheit. Wichtig ist, dass der rechtliche Sitz des Cloud-Anbieters bspw. sich in der EU befindet und Cloud nutzende Kunden gezielt deutsche oder europäische Rechenzentren auswählen können, um im Zuge der Digitalisierung IT-Workloads in die Cloud zu transferieren.

Klar: Die USA sind ein Rechtsstaat und der Klageweg gegen Maßnahmen, die sich aus diesem Gesetz heraus ableiten, ist vor ordentlichen Gerichten möglich. Nur geschieht dies dann in den USA. Zudem ist das Gesetz sehr allgemein gehalten. Da es noch keine Leitentscheidungen eines US-Gerichtes zu seiner Auslegung gibt, besteht ein erhebliches Maß an Rechtsunsicherheit. Der Umgang mit dem chinesischen Netzwerk- und IT-Ausrüster Huawei zeigte unlängst, wie schnell eine Rechtsordnung in den USA teilweise ausgehebelt werden kann. Natürlich sollten sich Unternehmer nicht von möglichen Worst Case-Szenarien leiten lassen. Andererseits sollten erkennbare Risiken sorgfältig gegen weniger riskante Alternativen abgewogen werden.

Was genau abgewogen werden sollte, erklärt Ihnen ein Fachjurist im Interview:

Der US CLOUD Act steht im klaren Widerspruch zur DSGVO. Auch gegenüber dem im April erlassenen Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) muss sich der CLOUD Acts erst einmal rechtskonform abgrenzen lassen. In jedem Fall wird deutlich: Ein Speicher- und Verarbeitungsstandort für Daten in Europa allein genügt nicht für effektiven Rechtsschutz. Die Herkunft des Dienstleisters, der speichert und verarbeitet, ist ausschlaggebend. Er sollte der gleichen Rechtsordnung unterliegen wie der Unternehmenskunde, dessen Daten betroffen sind.

In einer globalisierten Welt hat das Recht immer öfter einen langen Arm. Deshalb muss aber kein Unternehmen auf die Vorteile der Digitalisierung verzichten. Es gibt deutsche und europäische Anbieter wie IONOS, die ihre Cloud-Lösungen im Einklang mit deutschen und europäischen Datenschutzbestimmungen betreiben. Ein IT- oder Cloud-Dienstleister aus Deutschland, aus Europa, ist stets greifbar. Vertrauen in den Geschäftspartner plus effektiv durchsetzbare Rechtsansprüche sichern digitale Souveränität - auch für mittelständische Unternehmen, die nicht über eine große Rechtsabteilung verfügen.