Das US-Datenschutzniveau als Problem beim Cloud Computing

News

Vor Jahren wurde Safe Harbour gekippt und binnen weniger Monate wurde der Ersatz US-Privacy Shield verhandelt. Betrachtet man diesen Vorgang rückwirkend, dann erfolgte auch die Aufhebung des US-Privacy Shield im Sommer 2020 mit Ansage, denn Datenschutz für Nicht-US-Bürger gab es in den USA, auch mit dem Privacy Shield, nur rudimentär. Dieser Beitrag beleuchtet die Hintergründe und gibt Ausblick auf Notwendigkeiten.

Möglichkeiten des Datenzugriffs durch Behörden der USA

Der Datenschutz in den USA ist unter anderem geprägt von einem gesteigerten Sicherheitsbedürfnis aufgrund einer möglichen Bedrohungslage von außen in Kombination mit der Dominanz staatlicher Sicherheitsbehörden. Das Zusammenspiel von Überwachungsprogrammen, wie Echelon, PRISM und den Vorschriften zur inneren Sicherheit (FISA, Patriot, FAA) regeln den Datenzugriff der US-Behörden auch und insbesondere auf Daten von Nicht-US-Bürgern. Die Gefährdungslage für das Recht auf Schutz personenbezogener Daten der EU-Bürger und deren Datenhoheit wird noch gesteigert durch die Möglichkeiten des Cloud Computing. Damit wird der Zugriff der US-Behörden auch auf Daten von Personen ausgeweitet, die sich nicht als Person vor Ort in den USA befinden und deren Daten u.U. nur in einem US-Rechenzentrum verarbeitet werden.

Rechtliche Rahmenbedingungen

Die Ausgangssituation ist in den USA nach dem zweiten Weltkrieg und dem Kalten Krieg eine andere als in der Europäischen Union. Nach den Terroranschlägen am 11.09.2001 wurde der individuelle Datenschutz, insbesondere von Ausländern, durch Maßnahmen im Rahmen der Staatssicherheit wie den Patriot Act im Kampf gegen den Terrorismus eingeschränkt.

Was versteht man unter Reasonable Expectation of Privacy Doctrine?

Im Fall Katz manifestierte sich 1967 die REOP-Doctrine als Analyse des 4. Zusatzartikel zur Verfassung der Vereinigten Staaten. Danach gilt, dass der Einzelne vernünftige, nachvollziehbare Gründe haben muss, um auf die Vertraulichkeit seiner personenbezogenen Daten vertrauen zu können („one that society is prepared to recognize as reasonable“). Ferner muss sich aus dem konkreten Zusammenhang ergeben, dass die Daten vertraulich sind, d.h. „when an individual seeks to preserve something private“, damit wird eine Abwägungsentscheidung zwischen dem staatlichen Ermittlungsinteresse und dem Schutzinteresse des Einzelnen getroffen. Die REOP-Doktrin wird jedoch in ihrem Anwendungsbereich durch die Third Party Doctrine beschränkt.

Was besagt die Third Party Doctrine (TPD)?

Die TPD bildete sich als Rechtsdoktrin in den Fällen Miller 1976 (Bankdaten) und 1979 im Fall Smith (Telefondaten) heraus, die sich ebenfalls um den 4. Zusatzartikel der Verfassung drehten. Beide Fälle beinhalten, dass mit der Weitergabe von personenbezogenen Daten an Dritte (z.B. Telefongesellschaften, Banken) das Recht auf Privatsphäre und Datenschutz „verwirkt“ ist. Dies gilt auch dann, wenn die Daten dem Dritten zur Erbringung einer Dienstleistung anvertraut wurden oder von diesem hierfür angefordert wurden. Nach der Third Party Doctrine darf derjenige, der seine Daten weitergibt, keine berechtigten Erwartungen mehr haben, dass sein Recht auf Wahrung der Privatsphäre noch besteht, denn schließlich gehe die Person mit der freiwilligen Offenbarung der Daten bewusst das Risiko der Weitergabe (assumption of risk) ein. In der Folge sind diese Daten, die sich in den Händen Dritter befinden, dem Anwendungsbereich der REOP-Doctrine entzogen und genießen keinen Datenschutz mehr.

Praktisch bedeutet dies in den USA, dass kein Durchsuchungsbefehl, also keine richterliche Anordnung vorliegen muss, um diese Daten als Behörde von einem Privatunternehmen herausverlangen zu können. Für das Herausgabeverlangen muss auch kein „hinreichender Verdacht“ für eine kriminelle Machenschaft vorliegen, wie dieser für die Beantragung eines Durchsuchungsbefehles vorliegen müsste.

Patriot Act und FISA

Schließlich dürfen Sicherheitsbehörden, laut Abschnitt 215 des Patriot Act, auf konkrete Daten aller Art zugreifen, die sich im Besitz von Privatunternehmen befinden. Nach FISA Abschnitt 702 können Diensteanbieter zudem zur unverzüglichen Bereitstellung aller erforderlichen Informationen, Anlagen oder Hilfen an die Regierung für den Erwerb ausländischer Geheimdienstinformationen herangezogen werden. Dies betrifft auch die Offenlegung der kryptografischen Schlüssel (SSL-Schlüssel) zur Sicherung der Datenübertragung, Webmail-Portale und Cloud-Dienste.

Wie sich aus der Analyse des Abschnitt 702 des FISA Gesetzes ergibt, bestehen zwei Regelungskreise in den US-Vorschriften für die Datenverarbeitung:

  • der Schutz und die Datenverarbeitung von personenbezogenen Daten der Nicht-US-Bürger
  • der Schutz und die Datenverarbeitung von personenbezogenen Daten der US-Bürger

Mit Abschnitt 215 des Patriot Act wird der Zweck verfolgt, ausländische Geheimdienstinformationen zu erlangen, die keine US-Bürger betreffen, aber für die USA hilfreich sind. Gepaart mit 702 FISA eröffnet sich damit die Möglichkeit ohne weitere Genehmigung den Inhalt eines Telefongespräches eines Nicht-Amerikaners abzuhören. Die Erlaubnis hierfür besteht bereits dann, wenn es nur wahrscheinlich ist, dass es sich um keinen US-Bürger handelt. Dies ist immer schon dann der Fall, wenn sich z.B. aus der Rufnummer mit ausländischer Landesvorwahl ergibt, dass der Telefonierende ein Ausländer sein könnte.

Diese Möglichkeit wurde mit dem Electronic Communications Privacy Act ECPA 1986 auf Internet- und Telefonverbindungen bzw. auf die damit ausgetauschten Daten ausgeweitet. In der Folge sind damit auch alle Daten dem Zugriff ausgesetzt, die im Wege des Cloud Computing verarbeitet werden. Der § 1881a des Foreign Intelligence Surveillance Amendment Act (FAA) schafft die Möglichkeit der großflächigen Überwachung von Daten von Nicht-US-Bürgern außerhalb der USA, indem der Überwachungsumfang über die Kommunikation auf die Daten im Cloud Computing erstreckt wurde. Damit können auf Daten eines Nicht-US-Bürgers, die in einer US Cloud zugänglich sind, ohne Einschränkung zugegriffen werden.

Cloud Computing und heimliche Schnüffelsoftware

Die Eingriffsmöglichkeiten auf Daten der EU-Bürger, die von Unternehmen mit Sitz in den USA verarbeitet werden, sind groß und sie werden von den US-Behörden auch genutzt.

Cloud Computing

Insbesondere am Cloud Computing, das gerade von den großen amerikanischen Anbietern forciert wird, sieht man, wie gering das Datenschutzniveau für den unbescholtenen EU-Bürger in den USA ist. Cloud Anbieter sind meist weltweit agierende Unternehmen, die einer Vielzahl an Rechtssystemen und oftmals kollidierender rechtlicher Regelungen ausgesetzt sind. Welches Rechtssystem befolgt wird, hat auch damit zu tun, wo der Druck für die Geschäftsführung bezogen auf den geschäftlichen Erfolg des Unternehmens am größten ist. Will heißen, dass im Ernstfall der Cloud Anbieter in den USA nach amerikanischen Recht agieren wird und die Daten der EU-Bürger auf Verlangen einer US-Behörde sang- und klanglos herausgeben wird. Der Datenexport in die Cloud eines US-Anbieters ist damit risikobehaftet und eigentlich kaum DSGVO-konform möglich. Das Risiko die Datenhoheit zu verlieren, gehen die Unternehmen und Bürger ein.

Schnüffelsoftware Anomaly Six

Wie gefährlich das ist, sieht man an der Schnüffelsoftware „Anomaly Six“ eines US-Anbieters, der bestens mit den US-Sicherheitsbehörden vernetzt ist. Heimlich werden Standortdaten von Mobilfunknutzern über Apps ermittelt, in welche die Software integriert wurde. Es ist mittlerweile üblich, dass App-Herausgeber Drittanbietern gegen eine Gebühr erlauben, per SDKs Software in ihrer App zu installieren. Die hieraus gewonnenen Verbraucherdaten werden von dem Softwarehersteller an weitere Interessenten verkauft. Über die Datenweitergabe und den Datenverkauf wird der Nutzer jedoch meist nicht informiert und eine Einwilligung wird von diesem meist ebensowenig eingehlt, wie am Beispiel Anomaly Six offenkundig wird. Auffallend ist bei diesem amerikanischen Unternehmen die gute Vernetzung zu den US-Sicherheitsbehörden.

Was könnten wir tun?

Man kann den USA nicht ernsthaft vorwerfen, dass sie sich schützen wollen. Dass die Methoden nicht unbedingt dem entsprechen, was sich die Europäer in Sachen Auslandsaufklärung unter Partnern als ethisch vertretbar vorstellen, kann man diskutieren. Handeln sollten die Europäer jedoch auf alle Fälle. Es wäre gut,  wenn die Europäer endlich aktiv dafür sorgen, dass die Datenhoheit über die eigenen Daten nicht von den USA übernommen wird. Konkurrenz belebt das Geschäft heißt es und ein Monopol, wie derzeit beim Cloud Computing fast vorhanden, kommt denjenigen, der auf das Angebot angewiesen ist, immer teuer zu stehen. Für europäische Betroffene bedeutet dies, dass sie mit ihren Grundrechten, wie dem Recht auf Datenschutz und Privatsphäre oder langfristig mit dem wirtschaftlichen Erfolg, Stichwort Wirtschaftsspionage, bezahlen.

Die EU tut gut daran auch in diesem Sektor autark zu werden. Gaia-X als eigene europäische Cloud wäre eine guter erster Schritt und würde zumindest eine Alternative bieten. Das Kippen des Privacy Shield als Feigenblattlösung für Safe Harbour war daher notwendig. Die Art und Weise ohne Auslauffrist ist für Unternehmen eine Zumutung. Bleibt abzuwarten, ob nun nach Wechsel des US-Präsidenten eine passende Nachfolgeregelung, die dem Namen Datenschutz gerecht wird, vereinbart werden kann. Die Verhandlungen hierzu wurden ja schon vor geraumer Zeit aufgenommen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Hallo Dr. Datenschutz, vielen Dank für den Beitrag. Wäre es nicht wünschenswert, auch den CLOUD-Act zu erwähnen? Oder habe ich etwas überlesen. Das macht die Angelegenheit natürlich nicht einfacher. Letztlich ist jedes Datenverarbeitung in den USA, aber auch mit US-Unternehmen oder deren Töchtern, ein sehr aufwändiges Compliance-Thema. Das wird leider bei der Anschaffung zu wenig mitbedacht.
    Herzliche Grüße

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.