Folge 23: CLOUD Act -- und was er für den EU-Datenschutz bedeutet

Nachdem in den USA schon im März 2018 der so genannte "CLOUD Act" (mit vollem Namen: "Clarifying Lawful Overseas Use of Data Act") verabschiedet worden war, war es Zeit, endlich darüber zu sprechen, was er regelt und was er für Datenschutz unter der DSGVO in der EU und für Unternehmen bedeutet, die US-amerikanische IT-Provider einsetzen wollen. Das tun wir in dieser Ausgabe.

01:45: Wie kam es zum CLOUD Act?

Wir sprechen über zwischen Ende 2013 und Anfang 2018 tobenden Rechtsstreit zwischen Microsoft und US-Behörden über die Herausgabe von Daten eines irischen Bürgers auf einem Microsoft-Rechenzentrum in Dublin, die für eine strafrechtliche Ermittlung wegen Betäubungsmitteln angefordert worden waren.

07:12: Was ist der CLOUD Act?

Im Kern ändert primär ein paar Dinge im US Code title 18 Chapter 121 (das Kapitel hat die Überschrift “Stored Wire and Electronic Communications and Transactional Records Access”) und ist Teil des Consolidated Appropriations Act, 2018, dessen PDF-Version 878 Seiten hat.

Der neu eingefügte § 2713 in Chapter 121 des USC lautet:

"A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States."

Auf Deutsch von uns übersetzt:
"Ein Anbieter elektronischer Kommunikationsdienste oder von Cloud-Computing muss die Pflichten in diesem Kapitel erfüllen und Inhalte von “wire communication” oder elektronischer Kommunikation und alle Protokolle oder anderen Informationen bzgl. eines Kunden oder Abonnenten in der Sphäre des Anbieters speichern, sichern oder übermitteln (“disclose”), unabhängig davon, ob sich diese Kommunikation, das Protokoll, die Sphäre oder andere Information in den oder außerhalb der USA befinden."

Wir sprechen über die Details und Konsequenzen dieser neuen Vorschrift und außerdem darüber, ob bzw. wann sich ein betroffener Provider gegen ein solches Herausgabeersuchen wehren darf, nämlich nach § 2713 Abs. (2) nur dann, wenn er “vernünftigerweise” (“reasonably”) glaubt, dass

"(i) der Kunde/Abonnent kein US-Bürger ist und nicht in den USA wohnt, und
(ii) die geforderte Herausgabe ein “erhebliches Risiko” (“material risk”) verursachen würde, dass der Provider die Gesetze eines “qualifizierenden ausländischen Regierung” (“qualifying foreign government”) verletzen würde."

13:45: 1. Voraussetzung: executive agreement

Wir sprechen darüber, was ein solches agreement ist und welche Voraussetzungen es dafür gibt, dass es abgeschlossen wird.

Die Voraussetzungen stehen in 18 USC 2423 Abs. (b) und sind ziemlich kompliziert. Wir fassen die Voraussetzungen deshalb im Podcast zusammen.

17:45: 2. Voraussetzung: Abs. 2 und 5 müssen gelten.

Wir sprechen über protective orders und was die eigentliche Voraussetzung für die Qualifikation einer ausländischen Regierung ist.

Im Kern geht es bei der protective order darum, Stillschweigen über das jeweilige Datenersuchen zu bewahren, um -- ähnlich den Voraussetzungen eines deutschen Haftbefehls nach § 112 StPO -- ein Ermittlungsverfahren nicht zu erschweren oder zu vereiteln. Im Kern geht es bei den Voraussetzungen des Abs. 5 darum, dass es in der ausländischen Rechtsordnung keinen Verstoß gegen geltendes Recht darstellen darf, der anfragenden US-Regierungsbehörde mitzuteilen, dass es einen Rechtsstreit über die Herausgabe der Daten gibt. Die US-Behörde muss also auf jeden Fall eine Information bekommen können, egal, ob es ansonsten eine "Stillschweigenverfügung" des ausländischen nationalen Gerichts gibt.

23:55: Was bedeutet der CLOUD Act für den EU-Datenschutz?

Grob gesagt: Wenn der CLOUD Act anzuwenden ist, hat man grundsätzlich einen Verstoß gegen die DSGVO, weil deren Datenschutzniveau ziemlich sicher nicht mehr eingehalten wird, wenn Daten in die USA übermittelt werden. Das gilt streng genommen wohl nicht einmal seit Existenz des CLOUD Act, sondern eigentlich wegen der Fragwürdigkeit des EU-US Privacy Shield schon länger. Seit dem CLOUD Act dürfte es aber im Ergebnis kaum noch Diskussionsbedarf geben.

Wir sprechen darüber, wie Frank in der Praxis mit diesem Konflikt umgeht, und gehen auch darauf ein, wie der CLOUD Act z. B. deutsche Unternehmen trifft, die auch in den USA Tochterunternehmen haben.

34:10: Praxisfrage: IT-Administration aus den USA

Hier subsumieren wir, ob IT-Administration unter den CLOUD Act fällt, differenzieren hier danach, ob Administratoren entsprechende Provider sind, also entweder für electronic communication services oder "processing services by means of an electronic communications system", und verneinen die Frage am Ende. Das Ergebnis dürfte auch der vermuteten Intention des US-Gesetzgebers entsprechen, der vor allem an den Kommunikationsdaten der großen Anbieter interessiert sein dürfte.

38:35: Ausblick: "DSGVO der USA"

Die Washington Post hat am 27. Juli 2018 von einem entsprechenden Gesetzgebungsverfahren berichtet, wir haben aber bei der Vorbereitung keinen Entwurfstext finden können.

40:35: Tschüß

Für Feedback twitter bitte an @legal_bits, @neuernick oder @ra_stiegler oder schickt eine E-Mail! Wir haben die Kommentare zwischenzeitlich abgeschaltet, weil der Blog in der Vergangenheit trotz Google ReCAPTCHA hart zugespammt wurde.