Cloud Act und das EU-Datenschutzrecht -

Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, das im Jahr 2018 verabschiedet wurde. Es ermöglicht US-Behörden den Zugriff auf Daten von US-amerikanischen Unternehmen, auch wenn diese im Ausland gespeichert sind. Dieses Gesetz hat erhebliche Auswirkungen auf internationale Datenschutzbestimmungen und steht insbesondere im Widerspruch zur europäischen Datenschutz-Grundverordnung (DSGVO). In diesem Artikel beleuchten wir, was der Cloud Act bedeutet, wie er sich auf EU-Bürger:innen auswirken könnte und welche Kritik er hervorgerufen hat.

Inhalt und Wirkung des Cloud Act

Der Cloud Act verpflichtet US-amerikanische Technologieunternehmen, Daten herauszugeben, wenn ein rechtmäßiges Ermittlungsverfahren in den USA vorliegt, unabhängig davon, ob die Daten in den USA oder im Ausland gespeichert sind. Dies bedeutet, dass Daten europäischer Bürger:innen, die von US-Unternehmen wie Microsoft, Google oder Amazon gespeichert werden, auf Anforderung an US-Behörden weitergegeben werden könnten.

Kritische Punkte des Cloud Act

Mangel an Transparenz und Kontrollmöglichkeiten: Der Cloud Act erlaubt US-Behörden den Zugriff auf Daten ohne die Notwendigkeit, europäische Behörden oder betroffene Personen zu informieren. Dies widerspricht dem Prinzip der Datensouveränität und der Transparenz der DSGVO, die vorschreibt, dass Betroffene über die Verarbeitung ihrer Daten informiert werden müssen.
Interessenkonflikte und Rechtsunsicherheit: Die DSGVO verlangt, dass personenbezogene Daten nur in Länder übertragen werden dürfen, die ein angemessenes Datenschutzniveau gewährleisten. US-Unternehmen stehen daher vor einem Konflikt: Sie müssen sich entweder an den Cloud Act halten und Daten an US-Behörden übermitteln oder die DSGVO einhalten und den Schutz der Daten garantieren. Dies führt zu einer rechtlichen Unsicherheit und kann für Unternehmen teure Folgen haben.

Widersprüche zum EU-Datenschutzrecht

Die DSGVO wurde geschaffen, um den Schutz persönlicher Daten in der EU zu gewährleisten und diesen Schutz auch bei der Übermittlung von Daten in Drittländer sicherzustellen. Der Cloud Act hingegen legt US-amerikanischen Unternehmen die Pflicht auf, auch in der EU gespeicherte Daten auf Anfrage US-amerikanischer Behörden freizugeben. Die DSGVO fordert jedoch, dass Datenübermittlungen nur in Länder erfolgen dürfen, die ein angemessenes Datenschutzniveau sicherstellen – was die USA nach Ansicht der EU aufgrund der umfassenden Überwachungsbefugnisse der US-Behörden nicht gewährleisten.

Ein weiteres Problem stellt das Privacy Shield dar, das früher als Grundlage für die Datenübermittlung in die USA diente, jedoch 2020 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde. Der Cloud Act verschärft diesen Konflikt noch, da er US-Unternehmen faktisch zwingt, gegen europäisches Datenschutzrecht zu verstoßen.

Aktuelle Entwicklungen und Reaktionen

Die europäische Datenschutzaufsicht und andere Datenschutzorganisationen äußern erhebliche Bedenken hinsichtlich des Cloud Act und fordern striktere Regelungen, um die Rechte der EU-Bürger:innen zu schützen. Darüber hinaus werden alternative Maßnahmen diskutiert, um sicherzustellen, dass Unternehmen und Nutzer nicht den Konflikten zwischen US-amerikanischem und europäischem Recht ausgesetzt sind.

Fazit

Der Cloud Act steht in direktem Widerspruch zur DSGVO und zeigt die Herausforderungen, die durch unterschiedliche Datenschutzgesetze entstehen. Die Widersprüche führen zu rechtlicher Unsicherheit und verstärken das Misstrauen gegenüber US-Unternehmen und ihren Dienstleistungen. Solange keine klaren Lösungen oder Abkommen zwischen den USA und der EU gefunden werden, bleibt der Umgang mit personenbezogenen Daten in internationalen Kontexten ein hochsensibles und kontroverses Thema. Es zeigt aber auch wie frei oder unfrei wir sind.

Weiterführende Quellen