Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work KI Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 06/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work KI Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
03. September 2019

Der U.S. CLOUD Act

Der U.S. CLOUD Act
Bild: iStock.com / krblokhin
5,00 (1)
drucken
Eine unterschätzte Regelung
Den CLOUD Act kennen viele Datenschutzpraktiker bisher nicht, obwohl er den Zugriff von US-Behörden auf Daten außerhalb der USA regelt. Der Beitrag stellt die wesentlichen Bestimmungen vor und ordnet das Gesetz in einen größeren rechtlichen Zusammenhang ein.

Den Namen „CLOUD Act“ interpretieren unbefangene Beobachter oft zunächst so, dass es um spezielle US-Datenschutzregelungen für Cloud-Dienste gehen könnte.

Dieser Eindruck täuscht jedoch. Bei dem Begriff CLOUD handelt es sich um ein Akronym, also um ein Kurzwort, das aus den Anfangsbuchstaben mehrerer Wörter gebildet ist.

„CLOUD Act“ steht für „Clarifying Lawful Overseas Use of Data Act“.

Es geht also um ein Gesetz (Act), das die rechtmäßige (Lawful) Verwendung (Use) von Daten (Data) im Ausland außerhalb der USA (Overseas) klären soll (Clarifying).

Zugriff auf Beweismaterial für Strafverfahren

Die Bezeichnung des Gesetzes scheint auf einen umfassenden Regelungsansatz hinzuweisen, der viele Lebensbereiche erfasst. Auch das trifft nicht zu.

Das Gesetz befasst sich vielmehr mit dem Zugriff staatlicher Stellen auf elektronisches Beweismaterial, um Strafverfahren durchzuführen.

Es regelt dagegen nicht die Rechtsbeziehungen von Privatunternehmen untereinander und auch nicht Vertragsverhältnisse zwischen Unternehmen und Privatpersonen. Indirekte Auswirkungen auf solche Rechtsbeziehungen hat es aber durchaus.

Wer damit rechnen muss, dass bestimmte Rechtsgestaltungen einen Zugriff staatlicher Stellen ausschließen, andere dagegen nicht, wird sich bei der Vertragsgestaltung darauf einstellen.

Politische Aussage der Überschrift

Die Gesetzesbezeichnung ist in erster Linie als politische Aussage zu verstehen, nicht als neutrale rechtliche Inhaltsbeschreibung.

Dies gilt besonders für die Formulierung, dass der CLOUD Act etwas im Sinne einer Klarstellung regeln solle (Clarifying).

Sie weist darauf hin, dass es bei bestimmten Punkten vor dem neuen Gesetz ernsthafte rechtliche Zweifel gab.

Das betrifft in erster Linie den Zugriff durch US-Behörden auf Daten amerikanischer Unternehmen, wenn sie diese Daten außerhalb der USA speichern. Dazu weiter unten mehr.

Aufbau des Cloud Act

Beim CLOUD Act handelt es sich formal gesehen um ein eigenständiges Gesetz, das aus sechs Abschnitten (sections, abgekürzt sec.) besteht.

Die sechs Abschnitte behandeln folgende Aspekte:

  1. Kurztitel des Gesetzes (Short title)
  2. Gesetzgeberische Motive des Kongresses (Congressional findings)
  3. Ergänzung von Regelungen zur Herausgabe gespeicherter Daten und einschlägige Verfahrensregelungen (Preservation of records; comity analysis of legal process)
  4. Ergänzungen verschiedener US-Bundesgesetze auf dem Gebiet des Kommunikationsrechts (Additional amendments to current communications laws)
  5. Ermächtigung zu Verwaltungsvereinbarungen mit anderen Staaten über den Zugriff auf Daten (Executive agreements on access to data by foreign government)
  6. Abschließende Auslegungsregel (Rule of construction)

Ergänzung schon vorhandener Gesetze

Inhaltlich betrachtet bilden die Abschnitte 3 bis 5 den Kern des CLOUD Act. Sie enthalten neue Regelungen, die vorhandene Gesetze ändern oder ergänzen.

Der Sache nach handelt es sich beim CLOUD Act also in etwa um das, was die deutsche Rechtssprache als „Omnibusgesetz“ bezeichnet, also um ein Gesetz, das andere Gesetze ergänzt oder ändert.

Allerdings stehen diese Ergänzungen und Änderungen bei ihm alle in einem inhaltlichen Zusammenhang. Das ist bei deutschen „Omnibusgesetzen“ oft nicht der Fall.

Zwei Regelungsblöcke

Vom Regelungsinhalt her lassen sich die Abschnitte 3 bis 5 des Gesetzes in zwei große Blöcke unterteilen:

  1. Regelungen, die der US-Verwaltung Vereinbarungen mit anderen Staaten über den Zugriff auf Daten ermöglichen (Abschnitt 5 des Gesetzes)
  2. Regelungen, die Provider verpflichten, gespeicherte Daten herauszugeben (Abschnitte 3 und 4 des Gesetzes)

Block 1: Vereinbarungen über Datenzugriffe

Aus US-Sicht sind beide Regelungskomplexe gleichermaßen bedeutsam.

Aus europäischer Sicht stehen dagegen eindeutig die Regelungen zur Herausgabepflicht für Provider im Vordergrund.

Dies liegt daran, dass weder die Europäische Union noch einzelne ihrer Mitgliedstaaten auf absehbare Zeit dazu bereit sein dürften, Vereinbarungen über den Zugriff auf Daten zuzustimmen.

Um die US-Denkweise zumindest ansatzweise zu verstehen, erscheint es jedoch notwendig, auch diesen Regelungskomplex zu skizzieren.

Die Absicht, Vereinbarungen über den gegenseitigen Zugriff auf Daten zu schließen, geht von folgender Problemlage aus:

  • Elektronische Daten spielen als Beweismaterial bei Strafermittlungen aller Art eine immer größere Rolle. Beispiele hierfür: Textmitteilungen zwischen Mitgliedern einer terroristischen Gruppe, Ortung eines Mordverdächtigen mithilfe der Standortdaten seines Handys, Chat-Verläufe als Beweis für den sexuellen Missbrauch eines Kindes.
  • Diese elektronischen Daten sind immer häufiger außerhalb des Landes gespeichert, in dem sich die Tat ereignet hat.
  • Beim Versuch, auf solche Daten zuzugreifen, arbeitet die Zeit gegen die Ermittlungsbehörden. Der Zugriff im Rahmen von Rechtshilfeverfahren auf der Basis von Rechtshilfeabkommen (Mutual Legal Assistance Treaty – MLAT) ist zwar denkbar. Die in solchen Abkommen festgelegten Verfahrensabläufe dauern jedoch oft so lange, dass der Zugriff im Ergebnis scheitert.
  • Aus diesem Grund möchte die US-Seite Zugriffsvereinbarungen treffen, die eine Art Bypass zu den vorhandenen Rechtshilfeverfahren darstellen und die den Besonderheiten v.a. des Internets gerecht werden.
  • Abschnitt 5 des CLOUD Act enthält umfassende Vorgaben dafür, unter welchen Voraussetzungen solche Vereinbarungen möglich sein sollen. Inhaltlich handelt es sich dabei keineswegs um einen Freibrief für die US-Administration. Vielmehr gehen die Vorgaben z.T. sehr ins Detail.
  • Voraussetzung ist insbesondere, dass die anderen Staaten, mit denen die USA Vereinbarungen über Datenzugriffe schließt, umfassende Rechtsstandards einhalten.
  • Die Vereinbarungen sollen so ausgestaltet sein, dass beide Staaten Zugriff auf elektronische Daten im rechtlichen Herrschaftsbereich des jeweils anderen Vertragspartners haben sollen.

Attraktivität solcher Vereinbarungen: US-Sicht

Aus US-Sicht müssten solche Vereinbarungen für andere Staaten noch wesentlich attraktiver sein als für die US-Seite.

Der Fall, dass Behörden eines anderen Staats auf elektronische Daten in den USA zugreifen wollen, ist nämlich wesentlich häufiger als der umgekehrte Fall.

Das liegt schlicht daran, dass die wichtigsten Service-Provider ihren Sitz in den USA haben und / oder die Daten ihrer Kunden dort speichern.

Attraktivität solcher Vereinbarungen: EU-Sicht

Jedenfalls aus der Sicht von Strafverfolgern, die elektronisches Beweismaterial aus den USA beschaffen müssen, dürften diese Argumente nicht völlig von der Hand zu weisen sein.

Nicht Gegenstand der amerikanischen Argumentation ist die Frage, inwieweit solche Vereinbarungen insbesondere mit der Datenschutz-Grundverordnung zu vereinbaren wären.

Solange es nicht zu ernsthaften Verhandlungen über derartige Vereinbarungen kommt, kann das für Praktiker jedoch dahinstehen.

Block 2: Pflicht zur Herausgabe von Daten

Von hoher praktischer Bedeutung ist dagegen der zweite Regelungskomplex des CLOUD Act, also die Verpflichtung von Providern, gespeicherte Daten herauszugeben.

Zentrale Bedeutung hat dabei die Regelung des Abschnitts 2713 (sec. 2713), die neu in Kapitel 121 von Titel 18 (Chapter 121 of title 18) des „United States Code“ eingefügt wurde.

Exkurs: Sec., Sector oder §?

Ob Sec., Sector oder § – im Ergebnis bedeutet all dies dasselbe. Sec. ist die Abkürzung für Sector, was eine Übersetzung mit „Abschnitt“ nahelegt. Im CLOUD Act selbst ist teils die Rede von Sec. 2713, teils von Sector 2713. Der U.S. Code bezeichnet die Vorschrift dagegen als § 2713.

Für einen deutschen Praktiker können diese feinen Unterschiede allerdings dahinstehen.

Der United States Code ist vereinfacht gesagt so etwas wie ein umfassendes Gesetzbuch des US-Bundesrechts. Er besteht aus insgesamt 53 Titeln.

Titel 18 befasst sich mit dem Strafrecht und dem Strafverfahrensrecht. Dessen Kapitel 121 befasst sich mit Fragen des Zugriffs auf elektronisch gespeicherte Daten. Damit ist ihr Zusammenhang deutlich.

Die Regelung des Abschnitts 2713 lautet im Original: „A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter [= Chapter 121] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.“

Kernaussagen der Neuregelung

Im Kern besagt die zitierte Regelung Folgendes:

  • Soweit Kapitel 121 einem Provider Herausgabepflichten auferlegt, kommt es nicht darauf an, ob die Daten bei ihm oder bei einer anderen Stelle gespeichert sind.
  • Es genügt, dass er in irgendeiner Art und Weise eine legale Zugriffsmöglichkeit auf die Daten hat.
  • Es spielt insbesondere keine Rolle, ob die Daten innerhalb oder außerhalb der Vereinigten Staaten lokalisiert sind.

Regelungslücken vermeiden

Die Regelung verwendet den Begriff „Daten“ als solchen überhaupt nicht. Vielmehr spricht sie im letzten Halbsatz von „communication, record, or other information“.

Das wirkt aus deutscher Sicht ungewöhnlich, weil nach deutschem Sprachverständnis die Begriffe „Kommunikation, Aufzeichnung oder andere Information“ so nicht zusammenzupassen scheinen.

Diese Kombination erklärt sich jedoch aus dem Bemühen, keinerlei begriffliche Lücken offen zu lassen.

Brisanz der Regelung

Betrachtet man die Regelung isoliert für sich, so erlegt sie Providern formal gesehen keine neuen Pflichten auf.

Sie knüpft vielmehr an die Pflichten an, die Kapitel 121 von Titel 18 des United States Code bereits enthält.

Genau darin liegt aber ihre Brisanz. Sie bewirkt nämlich, dass sich diese Pflichten jedenfalls künftig eindeutig auch auf Datenbestände erstrecken, die sich räumlich außerhalb der USA befinden.

Es genügt, dass der Provider eine wie auch immer geartete Zugriffsmöglichkeit auf diese Daten hat. Das beschreiben die Begriffe „possession, custody, or control“ (Besitz, Gewahrsam oder Kontrolle).

Für Datenbestände innerhalb der USA bringt die Regelung nichts Neues.

Dass US-Ermittlungsbehörden vom Grundsatz her auf solche Datenbestände zugreifen können, wurde nie ernsthaft bestritten. Anders sieht es mit Datenbeständen außerhalb der USA aus.

Hintergrund: Urteil im Rechtsstreit mit Microsoft

Hintergrund der Neuregelung ist eine Entscheidung eines US-Bundesgerichts aus dem Jahr 2016. Dabei ging es um elektronische Daten, die als Beweismittel bei einem Drogendelikt in Betracht kamen.

Das Bundesgericht hatte entschieden, dass Microsoft diese Daten nicht herausgeben muss, obwohl das Unternehmen auf sie rein technisch gesehen leicht Zugriff gehabt hätte. Begründung: Die Daten waren auf einem Server in Irland gespeichert, also außerhalb der USA.

Aus der Sicht der US-Strafverfolgungsbehörden bedeutete dies einen Bruch mit einer seit 30 Jahren geübten Praxis.

Sie bestand darin, dass die Behörden stets auch auf solche Daten zugreifen konnten.

Daraus erklärt sich nun auch die Formulierung im CLOUD Act, dass er klarstellende Bedeutung habe.

WICHTIG: Leicht überspitzt lässt sich sagen: Der CLOUD Act soll klarstellen, dass die erwähnte Entscheidung des US-Bundesgerichts künftig ignoriert werden kann.

Dank des CLOUD Act können die US-Behörden die vor dieser Entscheidung übliche Verfahrensweise fortführen. Ein Zugriff auch auf Daten außerhalb der USA bleibt möglich.

Quellen und weiterführende Hinweise

  • Text des CLOUD Act (mit Begriffsdefinitionen und gesetzgeberischen Motiven): https://ogy.de/text-cloud-act
  • Text des U.S. Code: https://www.law.cornell.edu/uscode/text (enthält in Title 18 Chapter 121 nur den Text des neuen Sec. 2713 selbst).
  • Die Rede von Richard Downing beim 5. Deutsch-Amerikanischen Datenschutztag am 16. Mai 2019 in München ist auf der Seite des U. S. Department of Justice abrufbar unter https://ogy.de/rede-downing. Downing ist in dieser Behörde als Deputy Assistant Attorney General tätig. Damit gehört er innerhalb der Strafrechtsabteilung des U.S. Department of Justice der zweiten Leitungsebene an.
  • Whitepaper des U.S. Department of Justice zum Zweck und zu den Auswirkungen des CLOUD Act (The Purpose and Impact oft he CLOUD Act): https://ogy.de/purpose-cloud-act (zur Bedeutung des Rechtsstreits mit Microsoft im Jahr 2016 siehe besonders Seite 7 mit Fußnote 4)
  • Entscheidung im Verfahren zwischen Microsoft gegen United States aus dem Jahr 2016, die der wesentliche Auslöser für den Erlass des CLOUD Act war: https://www.leagle.com/decision/infco20160714063

Dr. Eugen Ehmann
Dr. Eugen Ehmann war Moderator beim 5. Deutsch-Amerikanischen Datenschutztag am 16. Mai 2019 in München. Hier war der CLOUD Act ein wichtiges Thema.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen und Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON
Verwandte Beiträge
25. Mai 2023
DP+

Checkliste: Prüfung der Zuverlässigkeit eines Aufragsverarbeiters

Downloads
Checklisten Vorlagen
25. Mai 2023
Podcast datenschutz-praxis

Zukunft der Datenschutzaufsicht | Podcast Folge 42

Podcast
25. Mai 2023
DP+

Checkliste: Regelungen zur privaten Nutzung des dienstlichen Internetzugangs & E-Mail-Accounts

Downloads
22. Mai 2023
Podcast datenschutz-praxis

Können wir uns Datenschutz noch leisten? - Die BvD-Verbandstage 2023 | Podcast Folge 41

Podcast
16. Mai 2023
Umgang mit Bewerberdaten: Datenschutz beim E-Recruiting
Bild: NicoElNino / iStock / Thinkstock

Umgang mit Bewerberdaten: Datenschutz beim E-Recruiting

Ratgeber
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.