Der US Cloud Act – Aus für US-Unternehmen in Europa?

US-Unternehmen sind verpflichtet, auf Antrag von US-Behörden, personenbezogene Daten herauszugeben. Dies gilt nun auch für im Ausland datenverarbeitende Niederlassungen.

Am 23. März 2018 hat das US-amerikanische Parlament ein neues Gesetz erlassen: den US Cloud Act. Dieses Gesetz verpflichtet die in den USA ansässigen Unternehmen dazu, personenbezogene Daten, egal ob diese im In- oder Ausland erhoben und gespeichert werden, auf Verlangen der amerikanischen Behörden herauszugeben. Es könnte jedoch im Widerspruch zurDS-GVODS-GVO stehen und damit betroffene Unternehmen in eine schwierige Lage bringen.

Ursprüngliche Lage

Wie aus dem Artikel von iX Heise hervorgeht, hatten US-Behörden schon bevor der US Cloud Act erlassen wurde die Möglichkeit, personenbezogene Daten, die zur Aufklärung strafrechtlicher Fälle benötigt wurden, von in den USA ansässigen Unternehmen einzufordern. Dass allerdings nun auch Daten, die außerhalb der USA verarbeitet und gespeichert werden, herauszugeben sind, ist neu.

Interessenkonflikt zwischen europäischem und amerikanischem Recht

Handelt es sich um Daten, die in der EU verarbeitet werden, könnten sich daraus Probleme ergeben. Diese Datenverarbeitung unterliegt dem Recht der Europäischen Union und damit der DS-GVO. Nach Art. 48 DS-GVO ist für die Weitergabe von personenbezogenen Daten in ein Drittland aufgrund eines gerichtlichen Urteils oder einer Entscheidung einer Verwaltung „eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedsstaat“ notwendig. Ein solches Abkommen besteht allerdings zwischen der EU und den USA nicht. Die USA verweigern zudem Verhandlungen mit internationalen Organisationen wie der EU, denn der Cloud Act bezieht sich lediglich auf die Kooperation mit ausländischen Regierungen. Es wird aber kaum der Fall eintreten, dass einzelne EU-Mitgliedsstaaten selbstständig Abkommen mit den USA schließen. Aufgrund dieser Rechtslage ist eine Weitergabe der Daten, die in der EU gespeichert und verarbeitet werden, ein Verstoß gegen die DSGVO, der mit Bußgeld bestraft wird. Für US-Unternehmen, die im europäischen Raum mit der Datenverarbeitung tätig werden bedeutet dies, dass sie sich letztendlich entscheiden müssen, gegen welches Recht sie verstoßen wollen: gegen die DS-GVO oder gegen den US Cloud Act.

Praxistipp

Eine Lösungsmöglichkeit bietet das Modell der Datentreuhand. Dieses verwendet Microsoft, um den USA den Datenzugriff verweigern zu können. Personenbezogene Daten werden dann in der EU von einem Dienstleister verarbeitet und Microsoft als Unternehmen hat selbst keinen Zugriff auf die Daten. So können US-Behörden von dem Unternehmen nicht verlangen, diese Daten herauszugeben. Es wird sich in Zukunft zeigen, wie die USA auf dieses Modell reagieren und ob sie ihre Gesetze verschärfen, um auch solche Vorgehen zu verbieten.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für diese Beiträge

Die neue Auftragsverarbeitungsvereinbarung (AVV) mit Google
Viele Webseitenbetreiber nutzen verschiedene Tools von Google. Auch hier kann eine Verarbeitung von personenbezogenen Daten vorliegen, so dass eine Auftragsverarbeitungsvereinbarung mit Google erforderlich ist. Aber wie?
Tracking-Tools wie Google Analytics nur mit Einwilligung zulässig?
Wer Google Analytics einsetzt, muss auf absehbare Zeit mit Rechtsunsicherheit leben. Die DSGVO-konforme Zulässigkeit der Nutzung sogenannter Tracking-Tools ohne "informierte Einwilligung" der User ist umstritten. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat hierzu eine eindeutige Position bezogen.
Facebook verstößt gegen Datenschutz
Facebooks Voreinstellungen sowie Teile der Nutzungs- und Datenschutzbestimmungen sind rechtswidrig. Dies entschied das Landgericht Berlin mit seinem Urteil vom 16. Januar 2018 (Az. 16 O 341/15). Verbraucherschützer hatten gegen den Internetgiganten geklagt.