renaschild - Fotolia

Datenzugriff: USA bringen Rechtsunsicherheit ins Internet

Hat die US-Regierung einen Rechtsanspruch auf Daten eines US-amerikanischen Unternehmens zuzugreifen, selbst wenn diese Daten in einem Rechenzentrum in der EU gespeichert sind?

Über diese Frage des Datenzugriffs wird der Supreme Court, also der Oberste Gerichtshof der Vereinigten Staaten von Amerika, bis zum Sommer 2018 entscheiden. Hintergrund für das Urteil ist ein seit Jahren laufender Rechtsstreit, in dem die US-Regierung den Cloud-Anbieter Microsoft dazu zwingen will, Daten herauszugeben, die in einem Rechenzentrum in Irland gespeichert sind.

Sollte der Supreme Court den Zugriff erlauben, hätte das dramatische Auswirkungen. Eine davon: Europäische Unternehmen könnten keine amerikanischen Cloud-Dienste mehr nutzen, da diese im direkten Konflikt zu europäischem Recht stünden.

Das Urteil wird im Juni 2018 erwartet – zur Unzeit, schließlich erlangt im Mai die Datenschutz-Grundverordnung (DSGVO) der EU Gesetzeskraft. Neben dem unlösbaren Konflikt zwischen US- und EU-Recht würde der Anspruch der USA, auf Daten überall auf der Welt zugreifen zu dürfen, vermutlich zu einem ähnlichen Anspruch auch anderer Staaten wie etwa China oder der Türkei führen.

Der Respekt vor nationalem Recht würde in der digitalen Welt möglicherweise schwinden. Das hätte gravierende Konsequenzen für die weltweite Digitalwirtschaft – und für deren Kunden. Millionen von Unternehmen wären unmittelbar betroffen.

Wirtschaft wehrt sich auf breiter Front

Vor diesem Hintergrund ist es verständlich, dass sich praktisch alle namhaften Digital- und Industrieverbände in Europa gegen die Bemühungen der US-Regierung, den Behörden auch Zugriff auf im Ausland gespeicherte Daten zu ermöglichen, wehren. Indes darf bezweifelt werden, dass dies für den Obersten Gerichtshof der USA von Belang ist.

Dem zugrunde liegt ein seit 2013 laufender Rechtsstreit, in dem die US-Regierung Microsoft zur Herausgabe von Daten in einem Outlook-Postfach in Irland zwingen will, das zu einem Nutzer gehört, der in den USA bei einer Ermittlung wegen Drogendelikten ins Visier der Behörden gelangt ist.

Microsoft widersetzte sich einer von einem Gericht in erster Instanz erlassenen Anordnung und die Berufungsinstanz hatte Microsoft Recht gegeben. Die Begründung: US-Unternehmen könnten mit einem in den USA ausgestellten Durchsuchungsbefehl nicht gezwungen werden, Daten herauszugeben, die in anderen Ländern gespeichert seien. Genau dies ist die Frage, die nun der Supreme Court zu beantworten hat.

EU- und US-Recht prallen aufeinander

Klar ist: Ein direkter Zugriff von US-Behörden auf Personendaten aus Europa ist unvereinbar mit europäischem Datenschutzrecht – schon nach bisheriger Rechtsauffassung, aber erst recht nach Inkrafttreten der neuen EU-Datenschutz-Grundverordnung ab Mai dieses Jahres.

Schließlich gibt es Rechtshilfeabkommen, in denen geregelt ist, wie, unter welchen Voraussetzungen und in welchem Umfang europäische Behörden die US-Behörden unterstützen.

Der unmittelbare Zugriff von US-Stellen auf Daten in Europa kommt dem Aushebeln dieser Rechtshilfeabkommen zumindest in der digitalen Welt gleich.

“Die Anbieter von Hosting- und Cloud-Diensten werden sich zügig auf die Rechtslage einstellen, je nachdem, wie die Gerichtsentscheidung in den USA ausfällt.”

Benjamin Schönfeld, Leaseweb

 

Schon jetzt ist eine enorme Rechtsunsicherheit eingetreten. Immer mehr Unternehmen wie Privatpersonen verlagern einen größeren Teil ihrer Daten in die Cloud. Im vorliegenden Rechtsstreit geht es um ein E-Mail-Postfach, aber auf der Agenda steht letztlich jede Form der digitalen Kommunikation und der Ablage digitaler Dokumente, Fotos, Videos, Kontakte und so weiter. Der US Supreme Court könnte US-Ermittlern künftig Zugriff auf eben diese Daten erlauben – egal in welchem Land sie gespeichert sind, egal, welche Gesetze dort herrschen. Es genügt, wenn das Unternehmen, welches die Daten verwaltet, in den USA tätig ist.

Hosting- und Cloud-Anbieter werden sich anpassen

Die Anbieter von Hosting- und Cloud-Diensten werden sich zügig auf die Rechtslage einstellen, je nachdem, wie die Gerichtsentscheidung in den USA ausfällt. Oberstes Ziel wird es dabei sein, Unternehmen und Privatpersonen außerhalb der USA vor dem direkten Zugriff durch US-Behörden zu schützen. Für Europa steht die strikte Einhaltung der neuen Datenschutz-Grundverordnung an erster Stelle. Dabei hilft es, wenn die Anbieter von ihrer Struktur her international aufgestellt sind, um sich einer gegebenenfalls veränderten Rechtslage zügig anzupassen. Schwierige Zeiten stehen hingegen möglicherweise US-Anbietern bevor, weil sich Kunden außerhalb der USA von ihnen abwenden könnten, um der durch die US-Regierung verursachten Rechtsunsicherheit zu entgehen.

Über den Autor:
Benjamin Schönfeld ist Geschäftsführer der Leaseweb Deutschland GmbH.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen

Was sind personenbezogene Daten?

DSGVO: Das Verzeichnis von Verarbeitungstätigkeiten

Erfahren Sie mehr über Cloud-Sicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close