Aktuelles

Urteile, Vorfälle, Kommentierungen...
90/18 Cloud Act der USA: Datentransfer wird kritisch(er)?

90/18 Cloud Act der USA: Datentransfer wird kritisch(er)?

10. April 2018

Wie ich schon berichtet habe (siehe hier), läuft in den USA derzeit ein Verfahren vor dem Supreme Court zu der Frage, ob die US-Regierung von einem Unternehmen Daten herausverlangen darf, auch wenn diese Daten nicht in den USA liegen. Dieses Verfahren dürfte nun ohne ein Urteil beendet werden: Die USA haben den CLOUD Act verabschiedet. Demnach dürfen nun US-Behörden gesetzlich legitimiert weitgehend unbehindert durch ausländisches Datenschutzrecht auf die weltweiten Daten von Personen und Unternehmen zugreifen, solange diese Daten im Besitz eines US-Unternehmens sind.

Der CLOUD Act verpflichtet Telekommunikationsanbieter oder bspw. auch Cloudanbieter Daten zu sichern und die Inhalte auf Anfrage einer US-Behörde an diese herauszugeben. Diese Pflicht besteht unabhängig davon, wo sich diese Informationen befinden. 

Die bei uns ab 25. Mai 2018 geltende DSGVO will durch verschiedene Instrumente sicherstellen, dass das Schutzniveau für natürliche Personen nicht untergraben wird (siehe Art. 44 Satz 2 DSGVO). So ist eine Voraussetzung für die Übermittlung von Daten in ein Nicht-EU-Land, dass z.B. das angemessene Schutzniveau im Zielland durch die EU-Kommission bestätigt wurde (Art. 45 Absatz 1 DSGVO). Die EU-Kommission prüft dabei u.a., ob:

  • ein Land und seine Rechtsprechung Rechtsstaat, Menschenrechte und Grundfreiheiten beachten (Art. 45 Absatz 2a),
  • wirksame unabhängige Aufsichtsbehörden die Einhaltung von Datenschutzregeln überwachen (Art. 45 Absatz 2b) und
  • Verpflichtungen aus internationalen Übereinkommen bestehen (Art. 45 Absatz 2c).

Der CLOUD Act hingegen baut Druck auf die EU auf: Denn nur, wenn die EU einen Vertrag mit den USA über den Datenaustausch schließt, sieht der CLOUD Act Abwehrmöglichkeiten vor, die Daten der EU-Bürger vor dem Zugriff der US-Behörden zu schützen. Fehlt eine solche Vereinbarung, kann die US-Behörde nahezu unbeschränkt auf Daten deutscher Betroffener zugreifen. Es bleibt abzuwarten, ob aber eine solche Vereinbarung auch den hohen Anforderungen der DSGVO standhalten kann (das frühere Abkommen „Safe Habor“ hatte der Europäische Gerichtshof ja für rechtswidrig erklärt, siehe meinen Beitrag hier).

Achtung: Der Datentransfer aus der EU in ein Drittland (z.B. die USA) führt zu bestimmten Pflichten des verarbeitenden Unternehmens, u.a. muss das Unternehmen den Betroffenen über den Transfer informieren (siehe Art. 13 Absatz 1f DSGVO).

 

Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und der Herausgeber und Autor hier auf eventfaq.de

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Gelbes zerbrochenes Vorhängeschloss: © valerybrozhinsky - Fotolia.com