Schriftgrösse ändern

Illustration E-Newsletter

CLOUD ACT

(Sophie Schneider, AGNITAS AG)
(Reinhard Egli, click-solutions gmbh)

US-Regierung untergräbt Europäischen und Schweizer Datenschutz

Von den Europäischen und Schweizer Unternehmen fast unbemerkt, unterzeichnete am 23. März 2018 der US-Präsident Donald Trump den CLOUD Act. Dieses Gesetz ergänzt den bereits bestehenden Stored Communications Act (SCA) und steht für Clarifying Lawful Overseas Use of Data Act. Für EU- und Schweizer-Bürger und Unternehmen birgt dieses in den Medien vernachlässigte Gesetz weitreichende Konsequenzen.

Was ist der CLOUD Act?

Der CLOUD Act verpflichtet in den USA ansässige Internetunternehmen wie Microsoft, US-Sicherheitsbehörden den Zugriff auf die Daten der Nutzer zu gewähren. Dies gilt auch, wenn die Daten nicht in den USA gespeichert sind und eigentlich die Datenschutzregeln von anderen Staaten gelten, wie bei der EU-DSGVO.
Umgekehrt soll der CLOUD Act aber auch ausländischen Sicherheitsbehörden ermöglichen, über ein bilaterales Abkommen auf die Nutzerdaten von in den USA ansässigen Personen zuzugreifen.

Hintergrund

Schon seit 2013 streitet sich die US-Regierung mit dem Softwaregiganten Microsoft vor Gericht um die Herausgabe von Daten von Nicht-US-Bürgern. Also zum Beispiel von uns EU-Bürgern.

Der Anlass für diesen Streitfall war die Anordnung eines US-Richters zur Herausgabe von E-Mail-Daten von Microsoft. Prinzipiell ist das Unternehmen nach dem PATRIOT Act auch dazu verpflichtet. Allerdings handelte es sich in diesem Fall um Daten, die in einem Irischen Rechenzentrum lagen. Microsoft verweigerte den Zugriff und verwies auf die Zuständigkeit des Gerichtes vor Ort.

Infolgedessen gelangte der Fall zum Supreme Court, dem höchsten US-Gericht. Dessen endgültige Entscheidung wurde ursprünglich für diesen Sommer erwartet. Aufgrund des CLOUD Act hat das Gericht den Microsoft-Fall jetzt jedoch zu den Akten gelegt, weil es – so die Richter – keinen Konflikt mehr gäbe, da sich der CLOUD Act auf den Streitfall anwenden ließe.

Was bedeutet das für EU-Bürger und die Schweizer Unternehmen?

Bisher galten Daten, die insbesondere in Deutschen Rechenzentren gespeichert sind, als sicher aufgrund der strengen Datenschutzrichtlinien. Jetzt müssen EU- und Schweizer-Bürger aber damit rechnen, dass ihre Daten, bei der Nutzung durch Dienste von US-Unternehmen, selbst wenn diese ein Datencenter in der EU nutzen, nicht mehr allein in der EU, Deutschland oder der Schweiz verbleiben.

Wichtig ist zu beachten, dass es in diesem Fall eine Unterscheidung bei der Behandlung von US-Bürgern und Personen, die in den USA wohnhaft sind, zu Personen, die nicht zu diesem Personenkreis gehören, wie EU- oder Schweizer-Bürgern, gibt. So verlangt die neue Rechtslage die Herausgabe der personenbezogenen Daten von US-Bürgern und Personen, die in den USA wohnhaft sind, ohne Widerspruchsmöglichkeit. Bei EU-Bürgern und Personen außerhalb des genannten Personenkreises, können die US-amerikanischen Service Provider Einspruch erheben und die Daten nicht herausgeben. Allerdings können die Behörden dagegen klagen, und die US-Gerichte haben explizit die Möglichkeit, die Provider zur Herausgabe der Daten zu zwingen, wenn dies „im Interesse der USA“ ist.

Jeder sollte sich also die Frage stellen „Wo sitzt das Unternehmen und sind meine Daten sicher?“ bevor er einen Onlinedienst nutzt. Eventuell gibt es ja auch eine Alternative zu dem gewünschten US-Service.

Welche Auswirkungen hat das Gesetz auf EU- und Schweizer Unternehmen?

Insbesondere für Unternehmen hat dieses US-Gesetz ernsthafte Konsequenzen. US-Service Provider sind zudem auch nicht verpflichtet, betroffene Personen oder Unternehmen über herausgegebene Daten zu informieren.

Der CLOUD Act kollidiert stark mit der DSGVO, dem EU-Recht (und dem für 2019 angekündigten Schweizer Datenschutz-Gesetz). Wenn EU DSGOVO ab dem 25. Mai 2018 verbindlich wird, werden auch Nicht-EU-Unternehmen, also auch die Schweizer Unternehmen, in die Pflicht genommen, die Daten von EU-Bürgern verarbeiten. Die Strafen bei Verletzungen der DSGVO sind empfindlich. Unternehmen, die US-Dienste nutzen, geraten dadurch in ernsthafte Bedrängnis. Schon allein aus diesem Grund ist die Nutzung von US-Diensten ab der Gültigkeit der DSGVO sehr problematisch.

Auch bezüglich der Verantwortung gegenüber den eigenen Kunden und der bei Deutschen und Schweizer Unternehmen oft beworbenen hohen Datenschutzbestimmungen, ergibt sich die Konsequenz, dass onlinebasierte US-Services nicht mehr sicher und datenschutzkonform sind. Unternehmen, die weiterhin auf US-Dienste setzten, müssen neben der rechtlichen Konsequenz also auch um das Vertrauen ihrer eigenen Kunden fürchten.

Gespannt darf man auch noch auf die Reaktion der EU sein. Bisher liegt diese nach unserer Erkenntnis nicht vor.

Welche Absicherungsmöglichkeiten und Pflichten haben die Schweizer Unternehmen?

Für die Schweiz ist für Anfang 2019 eine Schweizer DSGVO zu erwarten. Ohne diese Anpassungen würden die Schweizer Unternehmen von Marktaktivitäten im EU-Raum weitgehend ausgeschlossen werden. Bereits mit dem Inkrafttreten der EU DSGVO am 25. Mai 2018 sind die Schweizer Unternehmen verpflichtet, die gesetzlichen EU-Grundlagen einzuhalten, sobald sie Daten von EU-Bürgern erfassen und verarbeiten wollen. Dies dürfte bei über 80% der Firmen der Fall sein. Welches CH-Unternehmen kann mit Sicherheit sagen, dass sie ihre Newsletter-Verteiler keine Daten von EU-Bürgern beinhalten? Alleine auf Grund der Länder-Domain lässt sich dies längst nicht mehr bestimmen.
Von der Nutzung von Diensten der US-Firmen muss, da aktuell nicht mehr EU-Datenschutzkonform, dringend abgeraten werden. Als Alternative können nur Dienste von EU- und Schweizer Firmen in Betracht gezogen werden. Bei der Evaluation von Anbietern ist die Überprüfung und der Nachweis der fertig umgesetzten EU DSGVO zwingend. Ansonsten drohen auch den Schweizer Unternehmen hohe Strafbeträge und ein Vertrauensverlust bei Kunden und Interessenten.

HINWEIS:

Das von Threeway eingesetzte Tool bietet bereits seit 2017 die vollständige Umsetzung der EU DSGVO und ist als eines der wenigen Systeme bezüglich Daten- und Prozess-Sicherheit ISO 27001 und TÜV zertifiziert.

Der Datenschutz und die IT-Sicherheit ist ein integraler Bestandteil der Geschäftspolitik und somit der IT-Strategie. Die Produkte-Entwicklung ist seit Jahren von weitsichtigen Investitionen in Datenschutz und IT-Sicherheit geprägt. So erhielt der Hersteller als weltweit erste eMail-Marketing, Marketing Automation und Lead-Management Lösung das Zertifikat der TÜV und später auch die ISO 27001 Zertifizierung.