Datenschutz in der Cloud

Zwischen US-Justiz und DSGVO

21.06.2018
Von   IDG ExpertenNetzwerk
Peter Lahmann arbeitet seit 2002 in der IT-Sicherheit als Auditor und Berater und betreut heute das Sicherheitsmanagement von Kunden eines namhaften Cloud-Betreibers. Als Autor widmet er sich der Schnittstelle von unternehmerischen Anforderungen, Industriestandards und rechtlichen Rahmenwerken.
Weitere Artikel des Autors
Was müssen Cloud-Anbieter tun bei Post von US-Behörden und Justiz?
Die amerikanische Justiz ist auch in der Cloud nicht zimperlich.
Die amerikanische Justiz ist auch in der Cloud nicht zimperlich.
Foto: Sehenswerk - shutterstock.com

Cloud-Anbieter können aufgrund mehrerer Rechtsgrundlagen Post von US-Behörden oder vom amerikanischen Justizapparats erhalten. Im Blick haben die Ermittler aus Übersee elektronische Daten für ihre Beweisführung. Meist sind davon in irgendeiner Weise auch Personendaten betroffen. Unweigerlich kommen dann auch Datenschutzbestimmungen ins Spiel.

Strafermittlungen

Grundlage für Cloud-Zugriffe bei strafrechtlichen Ermittlungen in den Staaten ist der"Electronic Communications Privacy Act of 1986" (ECPA) und sein Anhang, der "Stored Communications Act" (SCA). Vergleichbar mit dem Telekommunikationsgesetz (TKG), betrifft der ECPA die elektronische Kommunikation. Im SCA geht es um ruhende Daten, also auch die Speicher- und Rechenkapazitäten in der Cloud. Beide Gesetze sehen verschiedene Messlatten für Inhalts- und Metadaten, sowie zur Benachrichtigung der Betroffenen vor. Im EPCA findet sich zudem eine Art Rechtfertigung für einen vorauseilenden Gehorsam bei Anfragen aus Regierungskreisen.

Das Stichwort ist die "Voluntary Disclosure of customer communcations and records" nach 18 U.S.C. §2702 (ECPA). Die Offenlegung von Kundendaten aller Art ist zwar grundsätzlich verboten, Ausnahmen bestehen allerdings. Sie gelten für Daten, die allem Anschein nach einem Verbrechen zugeordnet werden können oder wenn bei einem nicht-erfolgten Wink an die Behörden Gefahr im Verzug besteht.

Terrorbekämpfung

Bereits wenige Wochen nach den Terroranschlägen vom 11. September 2001 wurde der US PATRIOT Act erlassen, mit dem die vorbeugende Terrorismusbekämpfung verschärft wurde. Schon seit 1978 ist der "Foreign Intelligence Surveillance Act" (FISA Act) die Rechtsgrundlage für die Überwachung ausländischer Geheimdienste. Anfangs noch auf Spione ausgerichtet, unterliegen nach dem PATRIOT Act Ausländer grundsätzlich dem FISA Act. Unter dem FISA Act können die Ermittler alle Arten von elektronischen Daten anfordern. Der Richtervorbehalt wird von einem geheimen Sondergericht wahrgenommen (50 U.S.C. §1803).

Daneben ist der "National Security Letter" (NSL) eine von einem Richter genehmigte Anordnung an eine Organisation zur Herausgabe von Informationen, wobei Cloud-Anbieter gut denkbare Adressaten sind.

E-Discovery

Die "Electronic Discovery" (E-Discovery) ist die elektronische Variante der "Pre-Trial-Discovery" im US Zivil- und Verwaltungsverfahrensgesetz. Im kontinentaleuropäischen Recht gibt es dazu kein Pendent. Die Anwälte beider Prozessparteien versuchen dabei, vorgerichtlich eine Aufhellung des Sachverhalts mithilfe einer eigenen Beweisbeschaffung und -sichtung vorzunehmen.

Das Rechtssystem gesteht ihnen dabei weitreichende Privilegien zu. Die Messlatte für die Sachdienlichkeit der angeforderten Dateien, etwa in Form von E-Mail, PDF oder TIFF, ist niedrig. Mit einer gerichtlichen Verfügung können auch Cloud-Betreiber als eigentlich unbeteiligte Dritte in die Pflicht genommen werden. Eine Weigerung der Datenlieferung kann schwerwiegende Folgen nach sich ziehen, beispielsweise die sofortige Niederlage im zugrundeliegenden Rechtsstreit.

CLOUD Act

Für die ECPA- und SCA-Gesetze war lange strittig, wie mit Business Records außerhalb der US-Territoriums umgegangen werden muss. Mit dem CLOUD Act hat der US-Kongress im März 2018 Fakten dazu geschaffen, jedenfalls aus Sicht der USA. Am 22. März 2018 hieß es "Sign here, Mr. President" und der ECPA Act von 1986 wurde somit an die heutige Cloud-Technologie angepasst.

Ausgangspunkt der Gesetzesinitiative war der Streitfall Microsoft Corp. v. United States. 2013 forderten US-Ermittler den Softwarekonzern auf, den Inhalt einer E-Mail aufzudecken, die von Microsoft auf einem Cloud-Server in Irland gespeichert war. Nachdem Microsoft sich weigerte, zog sich der Fall durch alle Instanzen bis zum Obersten Gerichtshof der USA. Zwischenzeitlich hatten auch die irische Regierung und EU-Vertreter ihre Ansicht kundgetan, dass die Herausgabe gegen die Datenschutzrichtlinien in Good Old Europe verstößt. Wohnort und Staatsbürgerschaft des mutmaßlichen Straftäters sind dabei nie an die Öffentlichkeit gelangt.

Noch bevor der Fall vom Obersten Gerichtshof entschieden wurde, führte der US Kongress das "Gesetz zur Klärung der rechtmäßigen Verwendung von Daten in Übersee" (CLOUD Act) ein. Mit dem Gesetz wurde der SCA für amerikanische Cloud-Anbieter verpflichtend, auch wenn die Cloud-Daten auf Servern in Übersee liegen. Diese neue Rechtssicherheit wurde dann selbst von Microsoft begrüßt, obwohl das neue Gesetz der eigenen Auffassung beim ursprünglichen Gang zum Gericht widersprach. Die fragliche E-Mail wurde dann aufgrund der neuen Rechtsgrundlage schnurstracks nachgefordert.

USA vs EU

In der USA wird die Privatsphäre hoch bewertet. Die Bürger haben aber auch die Freiheit, auf den Schutz ihrer Personendaten zu verzichten. Etwa wenn sie sich entscheiden, ihre Daten für eine Gegenleistung einzutauschen. Auch der neue Besitzer kann sein "neues Öl" weiter zu Markte tragen, sofern keine Branchenregeln dagegensprechen. Hier entsteht ein offensichtlicher Konflikt mit der europäischen Vorstellung vom grundsätzlichen Schutz von Personendaten. Zudem verfolgen US-Ermittlungsbehörden und Justiz ihre ganz eigenen Methoden und Schwerpunkte bei Strafermittlung und Überwachung. Diese Klippen mit einem legalen Datentransfer zu überwinden bedarf einen formidablen Spagat.

Mit dem neuen CLOUD Act werden für europäischen Kunden selbst die in der EU gehosteten ServerServer der US-Cloud-Konzerne zu einem unsicheren Terrain, wenn es um den Schutz ihrer Daten vor dem Zugriff von Onkel Sam geht. Dabei spielt es keine Rolle, ob der Cloud-Anbieter die Daten als verantwortliche Stelle oder als Auftragsverarbeiter verwaltet. Alles zu Server auf CIO.de

DSGVO-Prinzipien

Cloud-Anbieter in Europa müssen die Bestimmungen über die Übermittlung von personenbezogenen Daten ins Ausland einhalten, ganz unabhängig vom Sitz ihrer Konzernzentrale. Die dementsprechenden Regelungen sind in Art. 44 DSGVO vergleichsweise stringent dargelegt.

Die europäischen Bestimmungen zum Datentransfer nach Übersee beruhen auf der Grundidee, dass das für die EU angemessene Datenschutzniveau auch im jeweiligen Ausland erreicht werden soll. Art. 44 Satz 1 DSGVO sieht eine Zwei-Schritt-Prüfung vor dem Transfer in Drittstaaten wie die USA vor. In Stufe 1 der Prüfung bedarf der Datentransfer zunächst einer allgemeinen Rechtfertigung, wie sie auch für die Übertragung innerhalb der EU-Mitgliedstaaten notwendig ist.

In Stufe 2 erfolgt die Prüfung von zusätzlichen Anforderungen an den Transfer in Drittländer, z.B. nach Art. 49 DSGVO. Der wohl eindeutigste Fall eines erlaubten Transfers dürfte mit der Einwilligung des Betroffenen vorliegen. Auch wenn der ursprüngliche Vertragszweck nicht ohne Datentransfer erfüllt werden kann, ist der Transfer statthaft.

Angemessenheitsbeschlüsse

Wie schon in der Vergangenheit kann die EU-Kommission Drittländern die Angemessenheit des Datenschutzniveaus in einem Drittland attestieren. Dieser Persilschein gilt generell oder für bestimmte Sektoren. Die konkreten Kriterien dafür sind in der DSGVO normiert. Die Beschlüsse werden im Amtsblatt der Europäischen Union und auf der Webseite der Kommission veröffentlicht.

Geeignete Garantien

Konzerne bekommen mit "Binding Corporate Rules" ein wirksames Europa-Werkzeug in ihre Hände. Mit einem solchen, genehmigten Regelwerk und entsprechenden internen Datenschutzvorschriften steht der Datenübermittlung zur Auslandsfiliale kaum etwas im Weg. Hinreichende Vorgaben für das notwendige Regelwerk sind in der DSGVO dargelegt.

Die Genehmigungen durch die jeweiligen nationalen Aufsichtsbehörden der Mitgliedsländer sollen nach dem Kohärenzverfahren EU-weit angeglichen werden. Mit dem O.K. einer nationalen Agentur besteht damit ein hohes Maß an europaweiter Rechtssicherheit für ein Firmenregelwerk. Auch Standardvertragsklausen zwischen Auftraggeber und Auftragsverarbeiter sind in der DSGVO weiterhin vorgesehen. Ebenso wie Zertifizierungsmechanismen.

Privacy Shield (vormals Safe Harbor)

Am 2. Februar 2016 wurde von der EU Kommission der Abschluss des "Privacy Shield" Übereinkommens bekanntgegeben. Ob das Abkommen in Zukunft eine zentrale Rolle für die interkontinentalen Datenströme spielt, ist allerdings fraglich. Nicht zuletzt wegen des Schicksals seines Vorgängers ("Safe Harbor), der 2015 vom EuGH Knall-auf-Fall als Rechtsgrundlage ausgehebelt wurde (Urteil vom 6.10.2015, Az. C-362/14).

Das "Privacy Shield" besteht aus mehreren Regelungen, die allerdings noch den EU Gesetz-gebungsprozess durchlaufen müssen. Erneut fällt darunter Grundsätzliches zum DatenschutzDatenschutz, das von den sich verpflichtenden US-Unternehmen einzuhalten ist. Verglichen mit US-Bestimmungen stimmen die Unternehmen strengeren Vorgaben bezüglich der Weitergabe von Daten an dritte zu. Alles zu Datenschutz auf CIO.de

Daneben gibt es Zusicherungen der US-Regierung bezüglich Beschränkungen des behördlichen Datenzugriffs zur nationalen Sicherheit. Die US-Regierung übernimmt eine Aufsichtsfunktion und kann schwarze Schafe sanktionieren, bis hin zur Streichung von der Teilnehmerliste. Im amerikanischen Außenministerium steht ein Ombudsmann bereit, bei dem EU-Bürger Ansprüche gegenüber amerikanischen Firmen geltend machen können.

"Bien fait, Monsieur Juncker?" Viele EU-Parlamentarier haben diese Frage mit der Verabschiedung einer kritischen Resolution im Europäischen Parlament beantwortet.

Ausblick

Eine Blanko-Vollmacht zur Datenlieferung in die USA ist in der europäischen Datenrechtsystematik nicht vorgesehen. Selbst Rechtshilfeabkommen ändern daran wenig. Auch die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht (Art. 9 (2) (f) DSGVO) ist zur Herausgabe von Daten durch Cloud-Auftragsverbeiter nur selten eine Rechtfertigung. Es kann in den meisten Fällen den eigentlichen Streitparteien überlassen bleiben, dies auch ohne Mitwirkung des Cloud-Anbieters zu gewährleisten.

Die Rechtsunsicherheit für Cloud-AnbieterCloud-Anbieter und -Nutzer bleibt also. Kaum praktikabel ist es, dass Cloud-Anbieter eine nach allen Seiten hin rechtskonforme Datenlieferung bewerkstelligen, etwa mit einer Selektion oder Anonymisierung von Datensätzen. Die Löschung von Daten nach deren gesetzlicher Aufbewahrungsfrist und gemäß nachvollziehbarer interner Richtlinien kann Dateninhaber vor so manchem Dilemma schützen. Zumindest dies kann universell und wohl auch ohne vollständige Rechtsberatung empfohlen werden. Natürlich nur, soweit die archivierten Daten nicht in einem schwebenden oder absehbaren Verfahren eine Rolle spielen. Mit dem Vorwurf der Dokumentvernichtung und Beweisvereitelung ist gerade in den USA nicht zu spaßen. Alles zu Cloud Computing auf CIO.de

Nach dem US-Recht kann die europäische Datenschutzgesetzgebung ein "Blocking Statute" darstellen. Ein weiterführendes rechtliches Vorgehen endet an solchen Schranken. Die Stellung von europäischen Datenschutzbestimmungen wird von amerikanischen Gerichten allerdings unterschiedlich bewertet. Selbst eine solche Regelung schützt allerdings nicht im Fall eines vorauseilenden Gehorsams bei der Kooperation mit Behörden.

Zur Startseite