Wem die eigene Privatsphäre etwas bedeutet, der hat wahrscheinlich bereits intensiver darüber nachgedacht, wo, unter welchen Bedingungen und auf welchen Servern persönliche Daten gespeichert sind. Angesichts eines schon 2018 mit dem US-Haushalt quasi nebenbei verabschiedeten Gesetzes sollten wir alle über den Schutz unserer Daten nochmals verstärkt nachdenken.
Der CLOUD Act bohrt bestehende Gesetze auf
Notwendig wird dies durch die Ende März 2018 erfolgte Verabschiedung eines Gesetzes der US-Regierung. Dies Gesetzt beschränkt den Datenschutz von vielen Millionen Menschen weltweit nochmals. Gemeint ist der sogenannte US CLOUD Act. Wobei der Name weniger für klassische Cloud-Dienste steht, sondern eine Abkürzung für „Clarifying Lawful Overseas Use of Data Act“ ist (was alle Cloud-Dienste aber sicher mitmeint).
CLOUD Act: Microsofts Verweigerung als Auslöser
Den US „Patriot Act“ von 2001 kennt jeder vermutlich zumindest vom Hörensagen, wenn er sich für Datenschutz interessiert. Der „Patriot Act“ regelt, dass US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben müssen, wenn diese Daten in den USA liegen.
Der CLOUD Act der Trump-Regierung deutlich geht weiter. Auslöser für dieses Gesetz war die Weigerung von Microsoft, Daten herauszugeben, die auf Firmenservern in Irland gespeichert waren.
Warum ist dieses Gesetz im Hinblick auf unsere Daten so wichtig?
Die Brisanz des US CLOUD Acts
Es gibt zwei Punkte, auf die ich besonders hinweisen möchte:
- Mit dem CLOUD Act wird der Stored Communications Act (SCA) von 1986 geändert. Dieses Gesetz ermöglicht es den US-Strafverfolgungsbehörden, in den USA ansässige Technologieunternehmen durch einen Haftbefehl oder eine Vorladung zu zwingen, angeforderte Daten herauszugeben. Das neuere CLOUD Act Gesetz sichert sich nun zusätzlich den Zugriff auch auf Daten, die außerhalb der USA gespeichert werden. Und das Gesetz geht sogar noch einen Schritt weiter: es verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers diese Herausgabe verbieten. [Quelle]
- CLOUD Act § 2523. Diese Regelung enthält brisante Durchführungsvereinbarungen über den Zugang ausländischer Regierungen zu diesen Daten US-amerikanischer Tech-Firmen – auch ohne Rückgriff auf internationale Rechtshilfeabkommen.
Bisher wurden Datenanfragen ausländischer Regierungen durch Rechtshilfeersuchen (engl.: mutual legal-assistance treaties – kurz MLATs) geregelt. Diese dauern oft Monate.
Hier gibt es beispielsweise einsehbare Informationen zu MLAT-Anfragen an Kanada und Informationen zu MLAT-Anfragen von Kanada an US-Behörden.
Auch Drittländer greifen Daten ab
Nach den Bestimmungen des US CLOUD Acts kann nun jedes Land wie Kanada eine separate Vereinbarung mit dem US-Präsidenten, dem Außenministerium oder dem.US-Generalstaatsanwalt treffen. Dadurch erhält es Zugang zu persönlichen Informationen von und aus jedem amerikanischen Technologieunternehmen. Das schließt beliebte Dienste ein, also Amazon, Google, Microsoft oder Facebook, um nur einige zu nennen.
Das heißt: Das Gesetz ermöglicht es, dass eine Regierung z.B. in China oder in Russland mit einer entsprechenden Vereinbarung jedes US-amerikanische Technologieunternehmen gesetzlich dazu zwingen könnte, der anfragenden Regierung in diesem Land persönliche Daten ihrer Nutzer oder Kunden zur Verfügung zu stellen. Was das gerade für Menschen in Ländern mit unsicherer Menschenrechtslage bedeutet, kann man sich leicht ausmalen.
Kein Vertrauen mehr in US-Datendienste
Da dieses Gesetz so umfassend die Rechte an den eigenen Daten aushöhlt, halte ich es spätestens seit Inkrafttreten des US CLOUD Acts für ein unkalkulierbares Risiko, persönliche oder geschäftliche Daten, wie zum Beispiel geistiges Eigentum (sensible Firmendaten, Code, Texte usw.), von einem amerikanischen Technologieunternehmen verwalten und speichern zu lassen.
Europäische Konsequenzen – bisher leider Fehlanzeige
Und irgendwie verstehe nicht, dass so wenige private Nutzer und Organisationen von diesem Gesetz überhaupt wissen.
Vor allem sollten wir vor diesem ernsten Hintergrund unseren eigenen Politikern die Frage stellen: Was unternimmt eigentlich meine Regierung, um meine persönlichen Daten oder das geistige Eigentum meines Unternehmens davor zu schützen? Was tut die Politik dagegen, damit meine und unsere sensiblen Daten nicht den Begehrlichkeiten ausländischer Regierungen auf der Basis des US CLOUD Acts zum Opfer fallen?
Seit letztem Jahr gilt in Europa die DSGVO. Personenbezogene Daten dürfen eben ohne Rechtshilfeabkommen nicht an US-Behörden übergeben. Das macht die Sache nicht einfacher. Denn betroffene (z.B. international tätige) Unternehmen müssen sich dann entscheiden, welches Recht sie jetzt verletzen. Die DSGVO oder den CLOUD Act? Eine auf Dauer inakzeptable Situation, wie das iX-Magazin befindet.
Es ist darum Zeit, sich persönlich zu fragen, ob Skype, Facebook, Google Mail, Cloudflare, WhatsApp überhaupt noch nutzbar sind.
Gerade Europa wäre hier gut beraten, eigene Dienste – am besten auf Basis quelloffener Software – zu forcieren und sich aus der digitalen Umklammerung der US-Dienste zu lösen.
Als Erster einen Kommentar schreiben