Gratis
24. April 2018 - Cloud Computing

Cloud Act: Supreme Court stellt Microsoft-Verfahren ein

Seit fünf Jahren streiten Microsoft und die US-Regierung über den Zugriff auf E-Mail-Daten, die der Konzern in Irland gespeichert hat. Dieser Rechtsstreit ist in der vergangenen Woche vom Obersten Gerichtshof der Vereinigten Staaten eingestellt worden. Was nach einem Sieg von Microsoft und für den Datenschutz klingt, wirft allerdings viele Fragen auf.

US-Behörden dürften per Cloud Act auch auf Daten von US-Unternehmen zugreifen, die auf ausländischen Servern liegen US-Behörden dürften per Cloud Act auch auf Daten von US-Unternehmen zugreifen, die auf ausländischen Servern liegen (Bild: iStock.com / NicolasMcComber)

Denn das Gericht gab nicht ausdrücklich Microsoft Recht, das sich geweigert hatte, die Daten herauszugeben.

Die Richter vertraten vielmehr die Ansicht, dass es keinen Konflikt mehr gebe. Dahinter steht ein neues Gesetz, das ohne viel Aufhebens den Kongress passiert hat.

Cloud Act regelt Datenzugriff neu

Im Rahmen der Haushaltsgesetzgebung passierte ohne Debatte auch der „Cloud Act“ den Kongress. Und dieses neue Gesetz regelt den Zugriff auf die Daten neu. Demnach müssen Dienstebetreiber Kundendaten herausgeben, egal wo die Daten physisch gespeichert sind.

Microsoft hatte sich im besagten Fall geweigert, die Daten herauszugeben, weil diese auf irischen Servern lagerten. Und nach Ansicht des Konzerns seien für die Anordnung der Herausgabe irische Gerichte zuständig. Der „Cloud Act“ legitimiert amerikanische Behörden jetzt dazu, sich die Daten frei Haus liefern zu lassen.

Interessanterweise wurde das neue Gesetz öffentlich von Herstellern wie Microsoft und Apple begrüßt. Dabei hatten die Unternehmen in der Vergangenheit stets öffentlichkeitswirksam betont, wie wichtig ihnen das Thema Datenschutz sei.

Aufweichung der regionalen Datensouveränität

Im Zuge des neuen „Cloud Acts“ müssen US-Anbieter in Zukunft Daten auf Servern in anderen Ländern herausgeben. Bisher galt das Prinzip, dass die Gesetzgebung des Landes, in dem sich die Daten bzw. die Server befanden, den Ausschlag gibt.

Hintergrund des „Cloud Act“ ist ein völlig anderes Verständnis von IT-Sicherheit und Datenschutz, das in den USA herrscht. So erlaubt bereits der „Patriot Act“ den Zugriff auf Daten in den USA auch ohne einen Gerichtsbeschluss.

Der Betreiber kann gegen die Herausgabe der Daten Widerspruch einlegen, sofern die Herausgabe der Daten gegen das Recht jenes Landes widerspricht, in dem die Daten gespeichert sind. Das gilt aber nur, wenn der betroffene Kunde weder US-Bürger noch Einwohner der USA noch ein dort registriertes Unternehmen ist.

Und selbst wenn ein Widerspruch eingelegt wird, hätten US-Gerichte dermaßen viele Aspekte zu berücksichtigen, dass eine Einschränkung der Herausgabe eine Ausnahme bleiben dürfte.

Damit zwingt das Gesetz US-Unternehmen im Zweifel dazu, ausländische Vorschriften zu brechen.

Konsequenzen auf deutsche Unternehmen

Was auf der amerikanischen Seite für mehr Klarheit sorgt, schafft in Europa rechtliche Probleme. Denn potenziell müssen Daten, die mit amerikanischen Anbietern ausgetauscht werden, als gefährdet angesehen werden. Das gilt nicht nur für Dokumente auf Datei-Servern, sondern auch für E-Mails.

Juristisch wäre im Einzelfall sogar zu überprüfen, ob ein datenschutzkonformer Einsatz einer Office-Cloud-Anwendung nach dieser Änderung überhaupt noch möglich ist. Denn schließlich handelt es sich dabei um eine klare Auftragsverarbeitung.

Diese Fragen werden Behörden und Datenschutzexperten ohne Zweifel in den kommenden Monaten intensiver beschäftigen.

Stephan Lamprecht