Text

Ein Beitrag von Rechtsanwalt Matthias Walker, BvM Berlin

 

Im Datenschutzrecht ist derzeit viel in Bewegung. Am 25.05.2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft und etabliert ein europaweit einheitliches Datenschutzrecht. Zugleich wurde etwa zwei Wochen in den USA ein Gesetz verabschiedet, das ein erhebliches Potential für Datenschutzverstöße birgt: Der CLOUD Act.

Title
Hintergrund des CLOUD Acts

Text

Es ist keine Neuigkeit, dass weltweit höchst unterschiedliche Datenschutzstandards herrschen. Von Land zu Land kann das Schutzniveau personenbezogener Daten höchst unterschiedlich ausfallen. Zugleich agieren Unternehmen, die datenbasierte Dienste anbieten, zumeist international über Landesgrenzen hinweg. Dies gilt natürlich für die „Big Five“ – Amazon, Microsoft, Apple, Facebook und Alphabet, mit seinem Tochterunternehmen Google  – aber auch für kleinere Unternehmen. Datenschutzrechtliche Konflikte sind hierdurch vor-programmiert. Ein Konflikt, der weltweit hohe mediale Wellen schlug, betraf Microsoft. Das Unternehmen wurde 2013 von einem New Yorker Gericht dazu verpflichtet, E-Mails eines Kunden herauszugeben, gegen den strafrechtlich ermittelt wurde. Die auf US-Servern ge-speicherten Mails gab Microsoft heraus, verweigerte aber die Herausgabe von Mails des Kunden, die auf einem Server in Irland gespeichert waren. Hierfür seien ausschließlich irische Gerichte zuständig. Das Verfahren befindet sich mittlerweile beim Supreme Court und soll im Sommer dieses Jahres entschieden werden.

Title
Inhalt des CLOUD Acts

Text

Die Entscheidung des Supreme Court könnte nunmehr aber von keiner wirklichen Relevanz mehr sein. Denn Ende März unterzeichnete US-Präsident Trump den Clarifying Overseas Use of Data (kurz: CLOUD) Act, ein Änderungsgesetz, das US-Behörden neue Zugriffsmög-lichkeiten auf im Ausland gespeicherte Daten gewährt. Ihnen wird gestattet auf Daten von Personen und Unternehmen zuzugreifen, unabhängig von deren Aufenthaltsort bzw. Sitz oder dem Speicherort der Daten.

Während die DSGVO Daten, die von europäischen Unternehmen verarbeitet werden, unabhängig von deren Speicherort oder der Staatsangehörigkeit einer Person schützt, sieht der CLOUD Act Beschränkungen des Zugriffs auf Daten nur vor, wenn ein Staat mit den USA ein entsprechendes Abkommen unterzeichnet hat. Dass ohne Abkommen fremdes Datenschutzrecht durch US-Behörden verletzt werden kann, ist im CLOUD Act also dem Grunde nach angelegt. Das Prinzip kann zusammengefasst werden als Datenschutz gegen Datenaustausch. Aber selbst bei Bestehen eines entsprechende Abkommens, bestehen im Hinblick auf die unterschiedlichen Schutzniveaus weiterhin Zweifel an einer rechtskonformen Durchsetzung.

Title
Reaktionen

Text

Die Reaktionen auf das neue Gesetz sind gespalten. Von Behörden und auch vielen Unter-nehmen wird der CLOUD Act positiv aufgenommen. So bezeichnete es Microsoft in einer Pressemitteilung als einen modernen rechtlichen Rahmen und guten Kompromiss, der Strafverfolgungsbehörden helfe, zugleich aber Datenschutzrecht berücksichtige.

Der CLOUD Act erfährt aber auch Kritik, etwa von der Electronic Frontier Foundation, einer Non-Profit-Organisation. Neben datenschutzrechtlichen Bedenken, ist ein weiterer Kritikpunkt die Art der Entstehung des Gesetzes, das selbst nicht ausführlicher Diskussionsgegenstand im US-Kongress gewesen, sondern als lediglich innerhalb eines umfangreichen anderen Geset-zespakets nebenbei verabschiedet worden sei.

Auswirkungen

Die Auswirkungen des CLOUD Acts sind noch schwer abzuschätzen. Insbesondere wird es spannend zu sehen sein, wie international agierende Unternehmen mit dem Gesetz umgehen werden. Aus deren positiver Haltung gegenüber dem CLOUD Act könnte man ablesen, dass diese wohl darauf spekulieren, dass entsprechende bilaterale Abkommen zum Datenaustausch und Datenschutz zwischen den USA und anderen Ländern geschlossen werden. Käme ein solches Abkommen zwischen der EU und den USA nicht zustande, drohen den Unternehmen jedoch auch erhebliche Sanktionen. Die DSGVO sieht allein Geldbußen von bis zu 20 000 000 EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Jahres vor.

Mehr Artikel zu: Medien-IT-Recht DSGVO