Der US Cloud Act – Aus für US-Unternehmen in Europa?
Am 23. März 2018 hat das US-amerikanische Parlament ein neues Gesetz erlassen: den US Cloud Act. Dieses Gesetz verpflichtet die in den USA ansässigen Unternehmen dazu, personenbezogene Daten, egal ob diese im In- oder Ausland erhoben und gespeichert werden, auf Verlangen der amerikanischen Behörden herauszugeben. Es könnte jedoch im Widerspruch zurDS-GVODS-GVO stehen und damit betroffene Unternehmen in eine schwierige Lage bringen.
Ursprüngliche Lage
Wie aus dem Artikel von iX Heise hervorgeht, hatten US-Behörden schon bevor der US Cloud Act erlassen wurde die Möglichkeit, personenbezogene Daten, die zur Aufklärung strafrechtlicher Fälle benötigt wurden, von in den USA ansässigen Unternehmen einzufordern. Dass allerdings nun auch Daten, die außerhalb der USA verarbeitet und gespeichert werden, herauszugeben sind, ist neu.
Interessenkonflikt zwischen europäischem und amerikanischem Recht
Handelt es sich um Daten, die in der EU verarbeitet werden, könnten sich daraus Probleme ergeben. Diese Datenverarbeitung unterliegt dem Recht der Europäischen Union und damit der DS-GVO. Nach Art. 48 DS-GVO ist für die Weitergabe von personenbezogenen Daten in ein Drittland aufgrund eines gerichtlichen Urteils oder einer Entscheidung einer Verwaltung „eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedsstaat“ notwendig. Ein solches Abkommen besteht allerdings zwischen der EU und den USA nicht. Die USA verweigern zudem Verhandlungen mit internationalen Organisationen wie der EU, denn der Cloud Act bezieht sich lediglich auf die Kooperation mit ausländischen Regierungen. Es wird aber kaum der Fall eintreten, dass einzelne EU-Mitgliedsstaaten selbstständig Abkommen mit den USA schließen. Aufgrund dieser Rechtslage ist eine Weitergabe der Daten, die in der EU gespeichert und verarbeitet werden, ein Verstoß gegen die DSGVO, der mit Bußgeld bestraft wird. Für US-Unternehmen, die im europäischen Raum mit der Datenverarbeitung tätig werden bedeutet dies, dass sie sich letztendlich entscheiden müssen, gegen welches Recht sie verstoßen wollen: gegen die DS-GVO oder gegen den US Cloud Act.
Praxistipp
Eine Lösungsmöglichkeit bietet das Modell der Datentreuhand. Dieses verwendet Microsoft, um den USA den Datenzugriff verweigern zu können. Personenbezogene Daten werden dann in der EU von einem Dienstleister verarbeitet und Microsoft als Unternehmen hat selbst keinen Zugriff auf die Daten. So können US-Behörden von dem Unternehmen nicht verlangen, diese Daten herauszugeben. Es wird sich in Zukunft zeigen, wie die USA auf dieses Modell reagieren und ob sie ihre Gesetze verschärfen, um auch solche Vorgehen zu verbieten.
Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber