Inhalt
Der Cloud Act, kurz für „Clarifying Lawful Overseas Use of Data Act„, ist ein US-amerikanisches Gesetz, das im März 2018 verabschiedet wurde. Dieses Gesetz regelt den Zugriff von US-Behörden auf Daten, die von elektronischen Kommunikationsdiensten gespeichert werden, selbst wenn diese Daten auf Servern außerhalb der USA gespeichert sind.
Der Cloud Act erlaubt es US-amerikanischen Strafverfolgungsbehörden, mittels Gerichtsbeschlüssen oder Vorladungen Daten von Unternehmen zu verlangen, unabhängig davon, wo auf der Welt diese Daten gespeichert sind. Das Gesetz soll den Prozess für die Behörden vereinfachen, auf Daten zuzugreifen, die für Ermittlungen notwendig sind, auch wenn sich diese Daten in einem anderen Rechtsraum befinden.
Was genau besagt der Cloud Act?
Der Cloud Act erlaubt es US-amerikanischen Strafverfolgungsbehörden, von in den USA ansässigen Technologieunternehmen die Herausgabe von Daten zu verlangen, unabhängig davon, ob die Daten in den USA oder im Ausland gespeichert sind.
US-Behörden können Durchsetzungsanordnungen wie Vorladungen, Durchsuchungsbefehle oder andere gerichtliche Anordnungen verwenden, um Zugang zu Daten zu erzwingen. Unternehmen sind verpflichtet, den Behörden die geforderten Daten zur Verfügung zu stellen, es sei denn, es besteht ein fundamentaler Rechtskonflikt mit den Datenschutzgesetzen des Speicherlandes.
Wenn Unternehmen aufgrund eines signifikanten Konflikts mit ausländischen Datenschutzgesetzen nicht in der Lage sind, Daten herauszugeben, können sie dies vor einem US-Gericht geltend machen. Das Gericht prüft dann den Konflikt und kann entscheiden, ob die Datenfreigabe erforderlich ist oder ob die Anforderung abgelehnt oder eingeschränkt wird.
Der Cloud Act schafft die rechtliche Basis für die USA, bilaterale Abkommen mit anderen Ländern einzugehen. Diese Abkommen ermöglichen es den Behörden der beteiligten Länder, direkte Anfragen zur Herausgabe von Daten an Unternehmen im jeweils anderen Land zu stellen, ohne den üblichen Prozess der rechtlichen Amtshilfe durchlaufen zu müssen.
Solche bilateralen Abkommen setzen voraus, dass die beteiligten Länder angemessene Schutzmaßnahmen für den Datenschutz und die Bürgerrechte einhalten. Die Abkommen sollen den Schutz der Privatsphäre sicherstellen und gleichzeitig den internationalen Zugang zu Daten für Strafverfolgungszwecke erleichtern.
Der Cloud Act verlangt von der US-Regierung, dem Kongress regelmäßig über die Nutzung des Gesetzes und die bestehenden bilateralen Abkommen zu berichten, um eine gewisse Transparenz des Verfahrens zu gewährleisten.
Der Cloud Act wurde in Reaktion auf technologische und juristische Herausforderungen durch die Globalisierung der Datenspeicherung und das Wachstum von Cloud-Diensten entwickelt. Trotzdem bleibt er in Datenschutzkreisen umstritten, insbesondere wegen Bedenken hinsichtlich des Schutzes der Privatsphäre und der Autonomie internationaler Datenschutzstandards.
Wer ist davon betroffen?
Der Cloud Act betrifft eine Vielzahl von Gruppen und Organisationen, die direkt oder indirekt in die Speicherung und Verarbeitung elektronischer Daten involviert sind. Zu diesen zählen insbesondere:
- Technologie- und Cloud-Anbieter: Sowohl große als auch kleine Unternehmen, die Cloud-Speicher- und E-Mail-Dienste anbieten, sind unmittelbar von diesem Gesetz betroffen. US-Behörden können von ihnen verlangen, Daten zur Verfügung zu stellen, unabhängig davon, wo diese gespeichert sind.
- Internationale Unternehmen: Firmen, die in mehreren Ländern tätig sind, insbesondere solche mit Hauptsitz in den USA, stehen vor der Herausforderung, ihre globale Datenverarbeitung und -speicherung so zu gestalten, dass sie den Anforderungen des Cloud Acts gerecht wird. Oft steht dies in Konflikt mit lokalen Datenschutzgesetzen.
- Regierungen und rechtliche Behörden: Der Cloud Act definiert auch für internationale Regierungen und Strafverfolgungsbehörden den rechtlichen Rahmen für den Zugriff auf Daten über nationale Grenzen hinweg.
- Verbraucher und die Öffentlichkeit: Schließlich kann der Cloud Act auch Auswirkungen auf die Privatsphäre und die Sicherheit der persönlichen Informationen von normalen Nutzern von Cloud-Diensten haben, insbesondere wenn ihre Daten international gespeichert werden.
Kritik am Cloud Act
Der Cloud Act steht aufgrund verschiedener Aspekte in der Kritik, die vor allem die Themen Datenschutz und internationale Rechtsprechung betreffen. Kritiker argumentieren, dass das Gesetz die Privatsphäre gefährdet, indem es US-Behörden weitreichenden Zugang zu Daten ermöglicht, die weltweit gespeichert sind, ohne dass dafür immer eine klare rechtliche Grundlage oder ausreichende Schutzmaßnahmen bestehen. Insbesondere besteht die Sorge, dass der Cloud Act die Datenschutzrechte von Nicht-US-Bürgern untergräbt, da er es ermöglicht, deren Daten ohne deren Wissen oder Zustimmung zu erfassen und zu nutzen.
Zudem wird bemängelt, dass der Cloud Act internationale Datenschutzgesetze, wie die DSGVO in der EU, missachten könnte. Dies könnte zu rechtlichen Konflikten führen, wenn Unternehmen gezwungen sind, zwischen der Einhaltung des Cloud Acts und der Einhaltung lokaler Datenschutzgesetze zu wählen. Dies stellt nicht nur eine rechtliche, sondern auch eine ethische Herausforderung für global agierende Unternehmen dar.
Ein weiterer Kritikpunkt ist der Mangel an Transparenz und parlamentarischer Aufsicht bei der Umsetzung des Gesetzes. Die Entscheidungsprozesse, die hinter den Kulissen ablaufen, wenn Datenanfragen gestellt und bearbeitet werden, bleiben oft unklar, was die Rechenschaftspflicht der beteiligten Behörden in Frage stellt. Datenschutzaktivisten und Bürgerrechtsorganisationen fordern daher strengere Kontrollen und transparentere Verfahren, um sicherzustellen, dass der Cloud Act nicht zu einer übermäßigen Überwachung und Datenmissbrauch führt.
Erfahren Sie mehr über eine datenschutzkonforme Web DDoS Protection um Ihr Unternehmen verlässlich zu schützen.
Cloud Act vs. DSGVO
Obwohl sowohl der Cloud Act als auch die DSGVO den Umgang mit Daten regeln, haben sie unterschiedliche Schwerpunkte und Zielsetzungen, was häufig zu Spannungen und Herausforderungen für international tätige Unternehmen führt.
Zielsetzung und Fokus
Der Cloud Act wurde hauptsächlich eingeführt, um US-Strafverfolgungsbehörden den Zugriff auf im Ausland gespeicherte Daten zu ermöglichen, um effektiver gegen Kriminalität und Terrorismus vorgehen zu können. Der Fokus liegt auf der Erleichterung grenzüberschreitender Strafverfolgung und der Sicherstellung, dass geografische Grenzen keine Hindernisse für die Durchsetzung von US-Recht darstellen.
Im Gegensatz dazu wurde die DSGVO mit dem Ziel entwickelt, die Datenprivatsphäre und den Schutz personenbezogener Daten innerhalb der Europäischen Union zu stärken. Sie legt strenge Anforderungen an die Datensammlung, -verarbeitung und -speicherung fest und gewährt den Bürgern umfassende Rechte bezüglich ihrer Daten, einschließlich des Rechts auf Zugriff, Berichtigung und Löschung ihrer persönlichen Informationen.
Rechtliche Konflikte
Konflikte zwischen dem Cloud Act und der DSGVO ergeben sich vor allem aus den unterschiedlichen Ansätzen zum Datenschutz. Während der Cloud Act es ermöglicht, dass US-Behörden Zugriff auf Daten fordern können, die von US-Unternehmen auch außerhalb der USA gespeichert werden, schränkt die DSGVO solche Zugriffe stark ein und erfordert, dass sie den europäischen Datenschutznormen entsprechen.
Dies stellt insbesondere für Unternehmen, die in beiden Rechtsräumen tätig sind, eine Herausforderung dar, da sie oft zwischen der Einhaltung des US-Gesetzes und der Wahrung der Datenschutzrechte ihrer europäischen Nutzer wählen müssen.
Rechtsmechanismen und Schutzmaßnahmen
Der Cloud Act erlaubt es Unternehmen, rechtliche Einwände zu erheben, wenn die Erfüllung einer US-Datenanforderung einen „ernsthaften Konflikt“ mit ausländischem Recht verursachen würde. Jedoch bleibt unklar, wie oft solche Einwände erfolgreich sind und inwieweit sie tatsächlich einen Schutz gegen die Anforderungen der US-Behörden bieten.
Die DSGVO auf der anderen Seite setzt hohe Strafen für Unternehmen an, die gegen ihre Bestimmungen verstoßen, was den Druck auf diese Unternehmen erhöht, die EU-Datenschutzstandards strikt einzuhalten. Zusätzlich fördert die DSGVO die Idee der Datensparsamkeit und Minimierung, was grundsätzlich dem weitreichenden Zugriffsanspruch des Cloud Acts entgegensteht.
Insgesamt erfordert die Koexistenz des Cloud Acts und der DSGVO von multinationalen Unternehmen eine sorgfältige Navigation und oft komplexe rechtliche Abwägungen, um sicherzustellen, dass sie in Einklang mit beiden Gesetzgebungen handeln.
Share this post
