Daten

Wie der US CLOUD Act die DSGVO aushebelt

Veröffentlicht am 16 November 2018 | von Thomas Köbrich

0

Eines der Ziele der Datenschutzgrundverordnung (DSGVO) war die Schaffung von Rechtssicherheit für Unternehmen. In jedem EU-Staat gelten nun die gleichen Datenschutzstandards und auch US-Unternehmen, die Geschäfte in EU-Staaten betreiben, müssen sich an die Vorgaben der DSGVO halten. Speichert z.B. ein deutsches Unternehmen Daten auf den irischen Servern eines US Cloud-Anbieters, unterliegen diese Daten der DSGVO und nicht US-amerikanischem Recht. Doch diese Rechtssicherheit wurde möglicherweise ausgehebelt.

Während in den letzten Wochen vor Inkrafttreten der DSGVO noch umfassend und oft kontrovers über selbige diskutiert wurde, hat der US-Kongress, weitgehend unbeachtet von der europäischen Öffentlichkeit, mit dem CLOUD Act ein Gesetz verabschiedet, das US-Unternehmen verpflichtet gegen die DSGVO zu verstoßen.

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, das im März 2018 vom US-Kongress beschlossen wurde. Das Gesetz verpflichtet US-amerikanische Cloud-Anbieter dazu, US-Behörden Zugriff auf gespeicherte Daten zu ermöglichen, auch wenn diese Daten außerhalb der USA gespeichert sind. Dabei wird  deutlich gemacht, dass geltendes nationales Recht nicht als Hinderungsgrund für die Herausgabe der Daten gilt. Ein US-Unternehmen mit einem Serverstandort in der Europäischen Union ist also verpflichtet, US-Behörden Zugriff auf diese Server zu gewähren, obwohl ihm dies laut DSGVO untersagt ist. Danach darf die Übermittlung oder die Offenlegung der vorgehaltenen personenbezogenen Daten nur dann erfolgen, wenn dies auf eine in Kraft befindliche internationale Übereinkunft (z.B. ein Rechtshilfeabkommen) fußt. Zwar existieren entsprechende Rechtshilfeabkommen zwischen der USA und der EU. Diese sind jedoch aufgrund ihrer langen Verfahrensdauer sehr unbeliebt, weswegen zu erwarten ist, dass künftig von US-amerikanischen Gerichten vermehrt auf den CLOUD Act zurückgegriffen wird.

Der Anbieter sitzt in diesen Fällen in der Zwickmühle. Entweder er verstößt mit der Herausgabe der Daten gegen die DSGVO, wenn er dem Anliegen der US-amerikanischen Gerichte nachkommt oder gegen US-Recht, wenn er es nicht tut. Er kann nicht rechtssicher handeln und muss im Zweifel die eigenen Konsequenzen abwägen. Angesichts der nach der DSGVO in Aussicht stehenden Bußgeldern von bis zu 4% des weltweiten Konzernjahresumsatzes wird diese Abwägung sich nicht sehr einfach gestalten. Besonders kritisch: Als US-Anbieter gilt dabei potenziell jedes Unternehmen, das einen Sitz in den USA hat, auch wenn dies nicht der Hauptsitz ist. Ausschlaggebend ist hier, dass der US-Anbieter die Daten kontrolliert.

Auslöser für den CLOUD Act war, dass US-Behörden Probleme hatten an die auf einem irischen Server gespeicherten Daten des E-Mail Dienstes eines großen US-amerikanischen IT-Konzerns zu gelangen. Ein Durchsuchungsbeschluss einer US-Behörde galt vor Inkrafttreten des CLOUD Acts nur auf US-amerikanischem Boden. Nutzern und Kunden der Angebote von US-Dienstleistern erfahren von einer Datenabfrage nach dem CLOUD Act ggf. nichts, da die Behörden den Unternehmen zudem verbieten können, die betroffenen Kunden/Nutzer zu informieren.

Damit stellt sich der CLOUD Act ganz klar gegen die Prinzipien der DSGVO und schafft erneut eine große Unsicherheit bei der Nutzung von US Cloud-Diensten.

Die DSGVO sollte Rechtssicherheit schaffen. Ob ihr das insgesamt gelungen ist, darüber lässt sich streiten. Bei vielen Passagen herrscht noch immer Uneinigkeit über deren Interpretation unter Juristen, Datenschutzbehörden, ja selbst unter den Politikern, welche die DSGVO mit erarbeitet haben. Diese Unsicherheit für Unternehmen wird sich noch weiter verschärfen, wenn man sich nicht mal darauf verlassen kann, dass manche von der DSGVO betroffenen Dienste und Anbieter sich nicht an die Verordnung halten, ja nach US-Recht noch nicht einmal halten dürfen. Und sie als Kunden dieser Unternehmen darüber hinaus noch nicht einmal über (nach der DSGVO) unberechtigte Zugriffe informiert werden.

Überdies sind nach dem Ende von Safe Harbour vermutlich auch die Tage des Privacy Shield Abkommens gezählt, welches zuletzt eine Regelung für die Datenspeicherung auf US Servern regeln sollte.

Download: Whitepaper zum Thema Privacy by Design & by Default

Thumb Whitepaper: DSGVO - Privacy by Design & by Default

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Hinweis: Ihre Daten werden nicht an Dritte weitergegeben. Die Einwilligung können Sie jederzeit durch Klick am Ende jeder E-Mail widerrufen.
* Pflichtfeld

 

Übersicht

Artikel Name
Wie der US CLOUD Act die DSGVO aushebelt
Beschreibung
Eines der Ziele der Datenschutzgrundverordnung (DSGVO) war die Schaffung von Rechtssicherheit für Unternehmen. In jedem EU-Staat gelten nun die gleichen Datenschutzstandards und auch US-Unternehmen, die Geschäfte in EU-Staaten betreiben, müssen sich an die Vorgaben der DSGVO halten. Speichert z.B. ein deutsches Unternehmen Daten auf den irischen Servern eines US Cloud-Anbieters, unterliegen diese Daten der DSGVO und nicht US-amerikanischem Recht. Doch diese Rechtssicherheit wurde möglicherweise ausgehebelt.
Autor
artegic AG


Autor:


Die artegic AG unterstützt Unternehmen beim Aufbau von kundenzentriertem, digitalen, Best-In-Class Dialogmarketing. artegic hat über 10 Jahre Erfahrung im Bereich Marketing Engineering. Das Leistungsportfolio umfasst Beratung, IT-Integration und Technologie für Realtime Marketing Automation und Online CRM. artegic ist der führende deutsche Spezialanbieter von Standardsoftware für Realtime Marketing Automation mit E-Mail und Mobile sowie Betreiber einer der größten Software-as-a-Service Plattformen für digitales Marketing in Europa. Mit 65 Mitarbeitern an den deutschen Standorten Bonn und München sowie internationalen Repräsentanzen steht artegic für nachhaltig erfolgreiches Dialogmarketing mit signifikant besseren Ergebnissen und weniger operativem Aufwand. Kern der Lösungen von artegic ist die vielfach prämierte ELAINE Online Dialog CRM Suite für beeindruckendes digitales Cross-Channel Dialogmarketing in Echtzeit. 2015 wurde die Lösung von der Fachpresse zur besten europäischen Marketing Suite für kundenzentriertes Marketing gekürt. Über artegic Technologie stehen rund 82 Prozent der Deutschen Internetnutzer mit Unternehmen in Kontakt. Jeder dritte DAX Konzern sowie internationale Key-Player wie BMW, PAYBACK, RTL, BURDA, REWE, Web.de, und maxdome zählen zu den Kunden von artegic. Weltweit werden jeden Monat über artegic Technologie rund 2,7 Mrd. E-Mails, SMS und Social Media Messages in 141 Länder versandt. artegic ist vom TÜV Rheinland unternehmensweit nach dem internationalen Standard für IT- und Datensicherheit ISO/IEC 27001 zertifiziert. Das 2005 gegründete Fraunhofer Spin-Off wurde vielfach ausgezeichnet für Innovation und die richtungweisende Umsetzung datenschutzrechtlicher Anforderungen u.a. mit dem eco Internet Award, dem Cased Security Award und dem International Business Award (Stevie).

Tags: , ,



Nach Oben ↑