Artikel drucken
02.05.2018

Dicke Wolken: Datenschutz zwischen Cloud Act und Grundverordnung

Der jahrelange Streit zwischen US-Ermittlern und Microsoft vor dem Supreme Court ist beendet, denn der US-Kongress entzog dem Verfahren die Grundlage. Mit dem ‚Cloud Act‘ schrieb er fest, dass Unternehmen US-Ermittlern Daten auf ihren Großrechnern im Ausland zugänglich machen müssen.

Rainer Knyrim

Rainer Knyrim

Wie das US-Justizministerium beantragte daraufhin auch Microsoft im April, das Verfahren (Az. 17-2) zu beenden. Die Zwickmühle für die Unternehmen verlagerte sich so flugs von einem gerichtlichen Grundsatzstreit zum faktischen Problem. In der unterliegenden Auseinandersetzung um E-Mails, die auf Großrechnern in Dublin gespeichert sind, ließen die Ermittler nämlich keine Zeit verstreichen: Innerhalb einer Woche beschafften sie sich einen  Beschluss auf der Basis des neuen Gesetzes, wonach Microsoft die Daten herausrücken soll.

Damit hat die alte Auseinandersetzung um den transatlantischen Datenaustausch eine neue Grundlage bekommen. Denn die aktuellen Vorgaben aus dem ‚Clarifying Lawful Overseas Use of Data‘ oder Cloud Act stehen in direktem Gegensatz zur Datenschutzgrundverordnung (DSGVO) der Europäischen Union, die ab 25. Mai gilt. Dr. Rainer Knyrim, Namenspartner bei der Wiener Kanzlei Knyrim Trieb und Spezialist für Datenschutzrecht, erkennt im Cloud Act mehrere Punkte, die mit den Regeln der DSGVO unvereinbar sind. Zuvorderst lasse das US-Gesetz überhaupt nur Ausnahmen zum Durchsuchungsbeschluss zu, etwa Beschwerdeverfahren vor einem Richter, wenn der ausländische Staat ein entsprechendes Abkommen mit den USA geschlossen hat. Doch solche Regierungsvereinbarungen gibt es noch nicht. 

Gesetzliche Grundlage fehlt

Paragraf 48 der DSGVO sieht außerdem vor, dass Gerichte und Behörden von Drittstaaten internationale Abkommen nutzen müssen, um den Datenaustausch anzustoßen; in Strafsachen wären das Rechtshilfeabkommen oder ‚Mutual Legal Assistance Treaties‘ (MLATs). Schlichte Regierungsabreden ohne gesetzliche Grundlage, wie im Cloud Act vorgesehen, dürften diesem Grundsatz nicht gerecht werden, so der 46-Jährige. Knyrim verweist zudem auf die Artikel-29-Datenschutzgruppe, das Beratungsgremium der EU-Kommission, die den Standpunkt vertrete: Ausländische Stellen dürften Anfragen zum Datenzugriff nicht an Unternehmen selbst stellen, sondern müssten staatliche Stellen einbeziehen.

Knyrim befürchtet deswegen: „Betroffene Unternehmen haben die Qual der Wahl, ob sie einer US-gerichtlichen Anordnung Folge leisten und damit gegen EU-Recht verstoßen oder stattdessen ihren Pflichten nach US-Recht nicht nachkommen.“ Bereits während des laufenden Verfahrens am Supreme Court in Washington wies der Europa-Parlamentarier und designierte Umweltminister von Schleswig-Holstein, Jan-Philipp Albrecht (Die Grünen) darauf hin: „Werden Daten transferiert, nach EU-Recht illegal, hätte das in Europa harte Strafen zur Folge.“

Microsoft betonte in dem Verfahren stets, dass der US-Kongress gefordert sei, die entsprechenden Gesetze aus den 1980er-Jahren zu aktualisieren und heutigen technischen Standards anzupassen. In einer Stellungnahme an das Gericht bezeichnen die Anwälte des IT-Konzerns den Cloud Act nun unter anderem als ein „nuanciertes“ Gesetz und einen „modernen rechtlichen Rahmen für Ermittler, um sich Daten grenzüberschreitend zu beschaffen“. Zudem rege das Gesetz Verhandlungen über neue internationale Abkommen an, in denen die Rechte von Ermittlern, Datenschutz und die Souveränität von Staaten neu auszutarieren seien.

Nikolaus Forgó

Nikolaus Forgó

Goldstandard in Zweifel gezogen

Die EU-Kommission hatte sich in ihrer Stellungnahme zu dem beendeten Verfahren zwischen der US-Regierung und Microsoft neutral gegeben. Zu neutral, findet Prof. Dr. Nikolaus Forgó (50), Professor am Institut für Innovation und Digitalisierung im Recht der Universität Wien;er hatte zusammen mit anderen Wissenschaftlern in dem Washingtoner Verfahren eine eigenständige Einschätzung abgegeben und darin die Position von Microsoft unterstützt. Forgó kritisiert: „In ihrer Stellungnahme zieht die Kommission den Goldstandard der Datenschutzgrundverordnung selbst in Zweifel, dass die Daten europäischer Firmen und Bürger vor dem Zugriff aus Drittstaaten sicher sind.“ Das mache nur Sinn vor dem Hintergrund, dass sie selbst neue Regeln zu elektronischen Beweismitteln erarbeitet.

Zuletzt standen auch bei der EU Ideen im Raum, die eigene Handhabe auf Drittstaaten auszuweiten. Forgó erkennt darin die Gefahr, dass jeder Staat die Herausgabe von Daten aus anderen Ländern verlangen wird – nach seinen Regeln. Er ist überzeugt: „Das ist datenschutzrechtlich, wirtschaftlich und politisch nicht wünschenswert.“ (Raphael Arnold)

  • Teilen