Was ist der US Cloud Act?

Das US Cloud Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Bundesgesetz, das im Jahr 2018 erlassen wurde. Es zielt darauf ab, die rechtlichen Rahmenbedingungen für den Zugriff von US-amerikanischen Strafverfolgungsbehörden auf elektronische Daten zu modernisieren, insbesondere im Hinblick auf Daten, die im Ausland gespeichert sind. Dem US-Cloud Act unterliegen US-amerikanischen Unternehmen wie Google, Microsoft und Amazon, welche mit ihren modernen Speicherlösungen Google Drive, MS 365 / One Drive und AWS Cloudlösungen für Unternehmen anbieten.

Die wichtigsten Punkte des US Cloud Act sind:

  • Zugriff auf im Ausland gespeicherte Daten: Das Gesetz erlaubt US-Behörden, von US-amerikanischen Telekommunikationsanbietern und Cloud-Dienstleistern die Herausgabe von Daten zu verlangen, unabhängig davon, wo diese Daten weltweit gespeichert sind. Dies geschieht über einen Gerichtsbeschluss (Warrant oder Subpoena).
  • Direkte Abkommen mit anderen Staaten: Der Cloud Act ermöglicht es den USA, bilaterale Abkommen mit anderen Ländern zu schließen, um den gegenseitigen Zugriff auf Daten zu erleichtern und gleichzeitig Datenschutzbedenken auszuräumen.
  • Pflicht zur Herausgabe, auch bei Kollision mit ausländischem Recht: US-Unternehmen können unter Umständen verpflichtet sein, Daten herauszugeben, selbst wenn dies gegen die Gesetze des Landes verstößt, in dem die Daten gespeichert sind.

Der US Cloud Act aus mehreren wesentlichen Gründen gegnüber der Europäischen Datenschutzgrundverordnung umstritten:

  • Extraterritoriale Reichweite vs. Souveränität: Der Cloud Act erlaubt US-amerikanischen Behörden den Zugriff auf Daten, die von US-amerikanischen Unternehmen kontrolliert werden, unabhängig davon, wo diese Daten physisch gespeichert sind. Dies greift in die Souveränität anderer Staaten ein, da US-Gesetze auf Daten angewendet werden, die sich außerhalb der USA befinden und möglicherweise den Datenschutzgesetzen dieser Länder unterliegen. Die DSGVO hingegen zielt darauf ab, die Daten von EU-Bürgern zu schützen, unabhängig davon, wo die Verarbeitung stattfindet.
  • Direkter Zugriff ohne Rechtshilfeersuchen: Der Cloud Act ermöglicht es US-Behörden, direkt von US-Unternehmen die Herausgabe von Daten zu verlangen, ohne die traditionellen Kanäle der internationalen Rechtshilfe nutzen zu müssen. Dies untergräbt die etablierten Verfahren für die grenzüberschreitende Strafverfolgung und schwächt die Kontrollmechanismen der EU-Mitgliedstaaten über den Zugriff auf die Daten ihrer Bürger.
  • Widerspruch zu Datenschutzgrundsätzen: Die DSGVO legt strenge Anforderungen an die Verarbeitung personenbezogener Daten fest, einschließlich der Notwendigkeit einer Rechtsgrundlage (z.B. Einwilligung, Vertrag), der Datenminimierung und der Zweckbindung. Der Cloud Act hingegen erlaubt unter Umständen einen breiteren Zugriff auf Daten, der nicht immer mit diesen Grundsätzen vereinbar ist. Es besteht die Sorge, dass US-Behörden auf Daten zugreifen könnten, ohne dass die betroffenen Personen informiert werden oder die gleichen Schutzmaßnahmen wie unter der DSGVO gelten.
  • Mögliche Umgehung der DSGVO: Kritiker befürchten, dass der Cloud Act es US-amerikanischen Unternehmen ermöglichen könnte, die strengen Datenschutzbestimmungen der DSGVO zu umgehen, indem sie Daten außerhalb der USA speichern, aber dennoch verpflichtet sind, diese auf Anfrage der US-Behörden herauszugeben. Dies würde den Schutz, den die DSGVO EU-Bürgern gewährt, potenziell aushöhlen.

Besser: Souveräne Speicherung der Daten im eigenen Unternehmen in einem NAS System

Um dem US Cloud Act zu umgehen und die Datensouveränität zu erhalten, können Daten in einem eigenen NAS System gespeichert werden. Dies hat zum Vorteil, dass der Speicherort kontrolliert werden kann (zum Beispiel im Büro oder einem Rechenzentrum Ihrer Wahl), die Unabhängigkeit ihrer Daten vor der US-Amerikanischen Gerichtsbarkeit gewahrt wird und eine direkte Anwendung der DSGVO stattfindet, unter die Hintertüren des US Cloud Acts. Mehr dazu finden Sie in unserem Beitrag zum Aufbau einer Private Cloud dank NAS für Unternehmen sowie in unserem Vergleich zwischen einer Private Cloud und einer Managed Cloud.