Sicherheit

Der CLOUD-Act in den USA kurz und knackig erklärt

Durch die Schrems-Urteile des EuGHs ist die Diskussion um das Datenschutzniveau der USA einer breiteren Öffentlichkeit bekannt geworden. Hintergrund waren zwischen EU und den USA getroffene Abkommen, die Unternehmen beim Export von Daten in die USA ein dem EU-Recht gleichwertiges Datenschutzniveau zusichern sollten. Alle bisher getroffenen Regelungen wurden vom EuGH mit Verweis auf die fehlende Gleichwertigkeit einkassiert. Immer wieder geht es hierbei um die Zugriffsrechte von Behörden, die angeblich ohne ernsthafte Hürden und ohne, dass Betroffene informiert wurden, auf persönliche Daten zugreifen können. Aber gibt es diese Regelungen wirklich?

Im Jahr 2018 wurde der sogenannte ‚CLOUD-Act‘ erlassen. CLOUD steht nicht wie üblich für Dienstleistungsangebote im Internet, sondern für “Clarifying Lawful Overseas Use of Data”. Das Gesetz verpflichtet amerikanische Firmen, Strafverfolgungsbehörden auch dann Zugriff auf Daten zu gewähren, wenn diese im Ausland gespeichert werden. Zuvor hatte es immer wieder Auseinandersetzungen gegeben, unter anderem mit Microsoft, die sich weigerten, Daten herauszugeben, die auf Servern in Irland gespeichert waren. Nun ist es den US-Behörden möglich, neben den gespeicherten Daten auch auf Aufzeichnungen zur Kommunikation zuzugreifen, egal ob diese in den USA oder anderen Ländern gespeichert wurden.

Das Gesetz ist nicht nur auf Unternehmen mit Sitz in den USA anwendbar, sondern auch, wenn Firmen der US-Gerichtsbarkeit unterliegen. Das ist nicht nur der Fall, wenn sich eine Zweigstelle oder Tochtergesellschaft in den USA befindet, auch eine „anderweitige geschäftliche Tätigkeit“, beispielsweise das Angebot von Dienstleistungen, Immobilienbesitz oder ein Bankkonto, führt zur Zuständigkeit der USA. Konkret sind also auch Europäische Unternehmen unter Umständen dazu verpflichtet, ihre weltweit gespeicherten Daten den amerikanischen Behörden zur Verfügung zu stellen.

Während der CLOUD-Act im Bereich der Strafverfolgung gilt, gibt es mit dem „Foreign Intelligence Surveillance Act (FISA)“ auch präventive Regelungen für die Terrorismusbekämpfung. Hierdurch wird das Einholen von Geheimdienstinformationen nicht US-amerikanischer Personen im Ausland ermöglicht. Anbieter elektronischer Kommunikationsdienste müssen der Regierung nach Aufforderung umfassende Informationen über ausländische Personen zur Verfügung stellen. Diese Anforderungen müssen geheim gehalten und die betroffenen Benutzer dürfen nicht benachrichtigt werden. Formal ist zur Anforderung noch nicht einmal eine gerichtliche Entscheidung erforderlich.

Unternehmen sind auch dann zur Herausgabe verpflichtet, wenn sie dadurch andere lokale Gesetze am Ort der Datenspeicherung missachten würden. Ein Verstoß gegen die DSGVO ist damit aus Sicht der USA kein Hindernis für eine entsprechende Auskunft.

„Die USA haben ein ganz anderes Datenschutzverständnis als wir in Europa. Unternehmen betreten hier schnell Glatteis,“ sagt der langjährige Datenschutzexperte der UIMC, Dr. Jörn Voßbein. Es sei nicht unmöglich, mit US-amerikanischen Unternehmen zusammenzuarbeiten oder Daten in die USA zu übertragen. „Man muss aber schon sehr genau hinschauen und prüfen. Ohne externe Beratung ist das mittlerweile rechtssicher kaum möglich.“

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.

Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel