Gutachten: US-Beh\u00f6rden haben weitreichenden Zugriff auf europ\u00e4ische Cloud-Daten<\/p>\n
close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Die Debatte um die digitale Souver\u00e4nit\u00e4t Europas und den strategischen Einsatz US-amerikanischer Cloud-Infrastrukturen in sensiblen Bereichen erh\u00e4lt neuen Z\u00fcndstoff. Ein bisher unver\u00f6ffentlichtes Gutachten, das Rechtswissenschaftler der Uni K\u00f6ln im Auftrag des Bundesinnenministeriums erstellten, ist nun im Zuge einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) \u00f6ffentlich zug\u00e4nglich geworden. Es kommt zu dem Schluss, dass US-Beh\u00f6rden weitreichenden Zugriff auch auf Daten haben, die in europ\u00e4ischen Rechenzentren gespeichert sind.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Zugriff durch Geheimdienste<\/p>\n Die Gutachter sollten kl\u00e4ren, ob und in welchem Umfang US-Geheimdienste und andere staatliche Stellen ein rechtliches Zugriffsrecht auf Daten in der Cloud besitzen, selbst wenn die Infrastrukturen au\u00dferhalb der Vereinigten Staaten betrieben werden. Laut dem Gutachten<\/a> erlauben insbesondere der Stored Communications Act (SCA), der durch den Cloud Act<\/a> erweitert wurde, sowie Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA)<\/a> US-Beh\u00f6rden, Cloud-Anbieter zur Herausgabe von Daten zu verpflichten.<\/p>\n Ein brisanter Punkt ist die Feststellung zur Reichweite der US-Jurisdiktion. Unternehmen sind demnach angehalten, Daten auch dann herauszugeben, wenn diese au\u00dferhalb der USA gespeichert sind. Entscheidend ist demnach nicht der physikalische Speicherort der Informationen, sondern die Kontrolle dar\u00fcber durch die betroffene Firma. Das impliziert, dass selbst Daten, die in Rechenzentren auf europ\u00e4ischem Boden liegen und \u00fcber deutsche Tochtergesellschaften verwaltet werden, dem Zugriff unterliegen. Voraussetzung ist, dass die US-Muttergesellschaft die letztliche Kontrolle aus\u00fcbt.<\/p>\n Reichweite der US-Jurisdiktion<\/p>\n Die Reichweite der US-Gesetze endet hier jedoch nicht. Die Jurisdiktion der Vereinigten Staaten kann laut dem Gutachten nicht nur europ\u00e4ische Tochtergesellschaften US-amerikanischer Unternehmen erfassen. Sie hat auch das Potenzial, rein europ\u00e4ische Unternehmen zu treffen, sofern diese relevante gesch\u00e4ftliche Verbindungen in die USA unterhalten. Damit wird die Gefahr eines indirekten oder direkten Datenzugriffs auf einen weiten Kreis von Unternehmen ausgedehnt, die im europ\u00e4ischen Binnenmarkt operieren.<\/p>\n Obwohl ein Cloud-Anbieter technisch etwa durch Verschl\u00fcsselung verhindern k\u00f6nnte, selbst auf die Daten zuzugreifen, vermeidet dies die Herausgabepflicht nicht zwingend. Das US-Prozessrecht verlangt von Parteien, verfahrensrelevante Informationen schon vor Beginn eines Rechtsstreits zu speichern. Ein Cloud-Dienstleister, der regelm\u00e4\u00dfig mit Herausgabeverlangen konfrontiert ist, k\u00f6nnte daher zur Aufbewahrung von Daten verpflichtet sein. Schlie\u00dft er sich durch technische Ma\u00dfnahmen vom Zugang aus, riskiert er erhebliche Bu\u00dfgelder oder strafrechtliche Konsequenzen.<\/p>\n In Europa d\u00fcrfen Aufsichtsbeh\u00f6rden auf Basis der Datenschutz-Grundverordnung (DSGVO<\/a>) Offenlegungen von Informationen an Beh\u00f6rden in Drittstaaten untersagen. Daten\u00fcbermittlungen in die USA k\u00f6nnen derzeit auf den wackeligen Angemessenheitsbeschluss der EU-Kommission \u2013 das EU-US Data Privacy Framework<\/a> \u2013 gest\u00fctzt werden. Das Gutachten verdeutlicht aber die rechtlichen Spannungsfelder, die durch die globale Reichweite der US-Gesetze entstehen. Es verweist auf die Notwendigkeit, europ\u00e4ische Alternativen zur St\u00e4rkung der digitalen Souver\u00e4nit\u00e4t zu entwickeln.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Was hei\u00dft das f\u00fcr MS 365 & Co.?<\/p>\n Die Rechtsanw\u00e4lte Stefan Hessel, Christina Ziegler-Kiefer und Moritz Schneider kommen in einer aktuellen Analyse<\/a> trotzdem zum Schluss, dass ein datenschutzkonformer Einsatz der cloudbasierten L\u00f6sung Microsoft 365 grunds\u00e4tzlich weiterhin m\u00f6glich sei. Das abstrakte Risiko, das sich aus den extraterritorialen US-Befugnissen speise, begr\u00fcnde allein keine automatische Unzuverl\u00e4ssigkeit des Auftragsverarbeiters, solange keine systematischen Verst\u00f6\u00dfe gegen europ\u00e4isches Recht belegt seien. Verantwortliche m\u00fcssten sich auf ihre Compliance-Pflichten konzentrieren und bei hohem Risiko eine Datenschutz-Folgenabsch\u00e4tzung durchf\u00fchren. Andere Experten sehen das nicht so<\/a>.<\/p>\n
\n English<\/a>.<\/p>\n