Hintergrund-Informationen zum CLOUD-ACT

Microsoft veröffentlicht auf seiner Homepage sechs Empfehlungen für den Umgang mit geheimen Anfragen von US amerikanischen Geheimdienst- und Strafverfolgungsbehörden auf Kundendaten von Cloud Anbietern. Diese geheimen Anfragen erfolgen heute ohne das die jeweilige Geheimdienstbehörde dafür einen richterlichen Durchsuchungsbeschluss vorlegen kann oder gar ein formelles Ermittlungsverfahren eröffnet worden ist. Selbstverständlich darf der Cloud Provider der betroffenen Person keine Kenntnis über die geheimen Anfragen geben. Tut er es doch, drohen drakonische Strafen durch das Department of Justice.

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde am 26. März 2018 durch den US Kongress genehmigt und ratifiziert nachdem das US-Department of Justice die Geduld mit Mircosoft in Irland verloren hatte. Damals wollte das Department of Justice von Mircosoft, dass es Daten eines US Bürgers, welche sich auf Cloud-Servern von Mircosoft in Irland befanden, an das Department of Justice herausgibt. Microsoft verweigerte die Herausgabe und berief sich auf die lokal geltenden Datenschutzgesetze von Irland und der EU und gab die Daten zunächst nicht heraus. Daraufhin verklagte das US-Department of Justice Microsoft in den USA und wollte mit Hilfe des Gerichts nun Microsoft zwingen, die Daten herauszugeben. Das Verfahren zog sich hin, weil die Richter nicht ohne Weiteres die Forderung des US-Department of Justice aus dem Gesetz ableiten konnten. Also adressierte das US-Department of Justice den Kongress ganz einfach mit der Gesetzesvorlage für den heutigen CLOUD Act. welcher dann wie schon erwähnt am 26. März 2018 vom US Kongress (einstimmig von Demokraten und Republikanern) verabschiedet wurde. Die EFF (Electronic Frontier Foundation) unterstützte damals den Vorstoß von Microsoft gegen den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) und forderte andere Konzern-Riesen wie Amazon und Google auf mitzuziehen. Gleichwohl blieben die Bemühungen von Microsoft und der EFF erfolglos und Microsoft musste sich dem neuen Gesetz beugen und die Daten herausgeben.

Die US-Datenschutzorganisation Electronic Frontier Foundation wertete den CLOUD Act als „gefährliches Gesetz“. Das Gesetz sei „nichts geringeres als ein Eingriff in die Privatssphäre und eine Beschneidung der Grundrechte“.

Das Gesetz sieht vor, dass nationale oder supranationale Datenschutzgesetze für US Amerikanische Cloud Anbieter wie Microsoft Azure, Amazon Web Services, Gmail, Hotmail und diese Cloud Anbieter entgegen den lokalen Gesetzgebung Kundendaten von US Bürgern oder US Unternehmen oder auch Unternehmen anderer Nationen, die in den USA einen Sitz haben und die der Cloud Provider hosted, an die US Amerikanischen Verfolgungsbehörden ohne Durchsuchungsbeschluss oder Gerichtsverfahren herausgeben muss. Dabei spielt es auch überhaupt keine Rolle wo der Cloud Provider seine Cloud-Server aufgestellt hat und betreibt. Der CLOUD Act. setzt sämtliche lokalen nationalen Datenschutzgesetze für US Amerikanische Cloud Anbieter ausser Kraft und zwingt sie gegen Strafandrohung, die jeweiligen nationalen Gesetze wie das BDSG bzw. die EU-Datenschutzgrundverordnung oder den § 203 des deutschen Strafgesetzbuches zu brechen.

Die Trennung von Daten eines US Bürgers von den Daten eines Bürgers aus der EU erscheint hier nur theoretisch möglich zu sein, den faktisch wird sich z.B. eine E-Mail eines US Bürgers an einen EU Bürger nicht inhaltlich trennen lassen. Insofern werden durch den CLOUD Act. gegenwärtig und zukünftig immer wieder Daten von EU Bürgern an die US Amerikanischen Verfolgungsbehörden herausgegeben werden, ohne das die Bürger davon irgendeine Kenntnis haben.

Mit dieser Ausgangssituation versucht Microsoft nun Schadensbegrenzung für alle seine Cloud Produkte in der EU zu betreiben, in dem  Brad Smith, der Präsident von Microsoft 6 Prinzipien als mögliche Änderungen CLOUD Act. einfordert, damit die Persönlichkeitsrechte aller Nutzer in der Mircosoft Cloud bewahrt bleiben.

Auch wenn es sich zunächst so liest als wäre das alles schon implementiert, so bleibt es doch eine Wunschliste an Maßnahmen, die eben gerade heute alle nicht sichergestellt sind und die die gesamte Tragweite und das Ausmaß des Datenmissbrauchs nach Europäischen Standards wie der EU-DSGVO durch US Amerikanische Verfolgungsbehörden zum Ausdruck bringen:

6 Punkte Programm von Microsoft

1. Mircosoft fordert das Recht auf Benachrichtigung des Betroffenen muss gegeben sein: Bis auf wenige Ausnahmen (Gefährdung der laufenden Untersuchung oder z.B. Gefährdung der öffentlichen Sicherheit) sollten Nutzer darüber in Kenntnis gesetzt werden, dass ihre Daten gesichtet werden, und Cloud Anbieter sollten genauso die Möglichkeit haben, seine Nutzer zu informieren.
2. Microsoft fordert das der Zugriff auf sensible Nutzerdaten vor der Vollstreckung von einem unabhängigen Gericht geprüft werden muss und darf im Fall der Freigabe durch das Gericht nur minimal und auf den konkreten Fall hin erfolgen.
3. Die Cloud-Anbieter müssen ausreichend Informationen erhalten, um eine gründliche Überprüfung der Anfrage nach Nutzerdaten im Rahmen der Strafverfolgung zu ermöglichen. Es müssen zusätzlich klare Rechtsmittel existieren, um rechtswidrige und unangemessene Forderungen nach Benutzerdaten anzufechten.
4. Microsoft fordert, dass internationale Abkommen mit Drittstaaten abgeschlossen werden müssen um Rechtskollisionen zu vermeiden und Mechanismen zur Beilegung von Konflikten vorzusehen.
5. Microsoft fordert, dass Unternehmen das Recht haben müssen, ihre Daten zu kontrollieren, und sie sollten Anfragen zur Datenfreigabe direkt erhalten.
6. Microsoft fordert, dass die Öffentlichkeit das Recht haben muss zu erfahren, wie und wann US Amerikanische Verfolgungsbehörden Zugang zu digitalen Beweismitteln suchen und welche Schutzmechanismen für die eigenen Daten greifen.

Auch wenn die Marketing Abteilung von Microsoft geschickt den Eindruck versucht zu vermitteln, dass Microsoft die Interessen seiner Kunden versucht zu vertreten, so wird doch durch die Thesen und Forderungen deutlich wie der  CLOUD Act einen rechtsfreien Raum in der Cloud geschaffen hat und Microsoft machtlos ist, die Daten seiner Kunden vor den Eingriffen der US Amerikanischen Verfolgungsbehörden zu schützen.

Es gibt keinen rechtlichen Rahmen, in dem geregelt wird, ob und wie Nutzer benachrichtigt werden müssen oder ob der Datenzugriff rechtmäßig ist. Zudem werden keine Behörden oder andere Drittinstanzen eingesetzt um überhaupt den Datenzugriff zu prüfen.

Insgesamt zeigt Brad Smith in seinem Thesenpapier, dass die US Regierung den amerikanischen Überwachungsbehörden mit dem CLOUD-Act ein supranational rechtswidriges Instrument, faktisch aber ein sehr mächtiges Mittel zur ungehinderten Dateneinsicht an die Hand gegeben hat. Aber auch im Hinblick auf die sechs Punkte, die Microsoft schon fast hilferufend veröffentlicht hat, werfen sich Fragen auf, wie die Rechtssysteme verschiedener Länder mit dieser Rechtslage umgehen werden.

Zur Zeit findet hierzu keine öffentliche Diskussion statt. Die Aufforderung von Microsoft an die anderen großen Cloud Anbieter wie Google, Anazon, Apple, Facebook usw., sich diesen Thesen anzuschließen und Druck auf die US Regierung zu machen, bleiben bisher ohne jegliche Resonanz. Die schiere Aussichtslosigkeit auf Änderungen führte bei vielen schon zur Kapitulation und der Strategie, lieber nichts dem Kunden davon sagen, dann stellt er nicht so viele Fragen. Insofern muss man Microsoft dankbar dafür sein, dass sie die Thesen aufgestellt haben, an dem faktischen Ergebnis, dass Daten mit US Amerikanischen Cloud Anbietern nicht vor dem Zugriff der 17 verschiedenen US Geheimdienstbehörden geschützt werden können, ändern diese auf lange Sicht jedenfalls nichts.

Nach Artikel 83 Absatz 5 der EU-DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 EU-DSGVO besonders hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist. Also hat Microsoft auch allen Grund, sich hier auf die Hinterbeine zu stellen und die Daten der Europäer vor dem Zugriff der US-Administration zu schützen.

Die USA hatten angekündigt, dass sie ein Widerspruchsrecht für alle Länder akzeptieren würden, die mit den USA ein Abkommen unter dem CLOUD ACT abschließen würden. Die Verhandlungen liegen aber seit Präsident Trumps Amtsübernahme auf Eis. Letztlich zwingt dieser Mechanismus Staaten dazu, mit den USA entsprechende Vereinbarungen zu schließen, die das Persönlichkeitsrecht und damit das Recht an personenbezogenen Daten ihrer Bürger oder von in ihrem Staatsgebiet gespeicherten Daten gegenüber US-Behörden wirksam schützen bzw. offenlegen.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung von sog. "Waffenfreiheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich zu Verhandlungen mit der US-Regierung bereit erklärt.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung der sog. "Waffengleichheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich dann zu Verhandlungen mit der US-Regierung bereit erklärt.

Im Endeffekt sieht es so aus, dass unter dem Deckmantel der Strafverfolgung unter Umständen viel mehr Daten abgerufen und gesammelt werden, als dieses nötig oder rechtens wäre.
Dass die USA ein ganz anderes Verständnis von Datenschutz haben zeigt der sogenannte „Patriot Act“, der US Behörden Zugriff auf sämtliche Daten von US Bürgern und Unternehmen in den USA  ebenfalls ganz ohne Gerichtsbeschluss gewährt.. In den USA haben sich die Bürger und Unternehmen an diesen Umstand schon etwas länger gewöhnt, in Europa führt die gleiche Vorgehensweise der US Amerikanischen Regierung mit Hilfe des CLOUD Act zu dem Umstand, dass Europäer so einem Vorgehen nicht zustimmen und damit gezwungen sind, US Amerikanische Cloud Anbieter nicht für einen Großteil Ihre Daten verwenden zu können, wenn sie DSGVO/GDPR compliant sein wollen.

Allerdings sieht der US-CLOUD ACT nur Verhandlungen mit „ausländischen Regierungen“ vor und nicht mit „internationalen Organisationen“, wie etwa der EU. Die US-Administration hat sich bisher geweigert mit der EU-Kommission für ganz Europa zu verhandeln und Deutschland und andere EU-Staaten haben ihrerseits mitgeteilt, dass sie nicht an direkten bilateralen Abkommen mit den USA interessiert sind und auf eine Lösung auf EU-Ebene setzen.