US-Amerikanische Cloud-Anbieter haben es auf dem europäischen Markt schwer, sobald der Fokus auf das Thema Datenschutz gerichtet wird. Grund hierfür ist vor allem der sog. USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001), ein amerikanisches Bundesgesetz, dass vom Kongress als Reaktion auf die Terroranschläge vom 11. September verabschiedet worden ist.
Der Inhalt im Überblick
Weitreichende Ermittlungsbefugnisse
Der Patriot Act räumt den Ermittlungsbehörden gegenüber US-Amerikanischen Unternehmen und ihren auch im Ausland befindlichen Tochterunternehmen weitreichende Befugnisse ein.
Ermittlungsbehörden können z.B. im Rahmen von Ermittlungen zur Terrorabwehr und Spionagebekämpfung Gerichtsbeschlüsse beantragen, mit denen sie Internet-Provider und Cloud-Anbieter zur Herausgabe der bei ihnen gespeicherten Daten verpflichten können.
Unter gewissen Voraussetzungen können sie auch ganz auf die Inanspruchnahme der Gerichte verzichten und selbst sog. National Security Letter (NSL) erlassen, mit denen sie Unternehmen zur Datenherausgabe verpflichten, ohne dass Betroffene hierüber informiert werden dürfen.
Europäische Cloud-Anbieter profitieren von der Angst vor dem Patriot Act
Aus datenschutzrechtlicher Sicht sind derartige Befugnisse natürlich äußerst problematisch, da eine Weitergabe personenbezogener Daten stattfindet, die für die verantwortliche Stelle (das Unternehmen, das die Daten in die Cloud auslagert) unbeherrschbar ist. Die Datenweitergabe an amerikanische Ermittlungsbehörden dürfte nach den nationalen Rechtsordnungen, denen Unternehmen im Ausland unterworfen sind, auch nicht legitimiert sein.
Diese Risiken des Patriot Act werden häufig als Argument angeführt, um Kunden davor zu warnen, ihre Daten amerikanischen Clouds anzuvertrauen. Europäische Cloud-Anbieter profitieren naturgemäß von dieser Besorgnis.
Falsche Wahrnehmung des Patriot Act?
Doch gerade was den Aspekt des staatlichen Zugriffs auf Daten in der Cloud angeht, lohnt sich eine differenzierte Betrachtung:
Haben Ermittlungsbehörden in den USA wirklich weitergehende Zugriffsrechte auf Daten als dies in europäischen Rechtsordnungen der Fall ist? Nein!
Zu diesem Ergebnis kommt jedenfalls eine rechtsvergleichende Analyse der internationalen Kanzlei Hogan Lovells, die in diesem Jahr veröffentlicht wurde und dessen Lektüre empfohlen werden kann.
Unter anderem wird darin festgestellt, dass Ermittlungsbehörden auch in einer Reihe europäischer Staaten unter ähnlichen bzw. teils niedrigeren Voraussetzungen als in den USA mittels entsprechender Beschlüsse von Cloud-Anbietern die Datenherausgabe verlangen können. In einigen Staaten wie z.B. in Dänemark dürfen Cloud-Anbieter sogar freiwillig die auf ihren Servern gespeicherten Daten zu Strafverfolgungszwecken zur Verfügung stellen.
Der Artikel ist richtig schlecht. Er übersieht das „kleine“ Detail, dass alle US-Datenriesen (MS, Google, Apple u.s.w.) ALLE Kundendaten bei der NSA abgeben müssen. Auch ihre Daten, die auf deutschen Servern (Cloud Act). Wenn man bedenkt, dass Wirtschaftsspionage die Hauptaufgabe der NSA ist (und immer war), dürfte das Problem mit dem Patriot Act wohl etwas klarer werden.
Dieser Artikel ist von 2012, also vor den Snowden-Enthüllungen.
1. Bevor man diesen Link neu veröffentlicht, sollte die Informationen im Dokuemnt aktualisieren (lassen)….
2. Der Artikel stammt aus einer Zeit lange vor der DSGVO.
3. Wie Klaus schon schrieb: es geht hier auch um den Zugang von Diensten zur Industriespionage. Zur Stafverfolgung ist der „Standard-Datenschutz“ (DSGVO) eh nicht der richtige Maßstab, denn dann sind wir nicht mehr in der DSGVO (2016/679 EU) sondern in der Richtlinie 2016/680/EU…. (also: Thema verfehlt, oder nicht?)