Interview zum Thema CLOUD Act: US-Recht vs. DSGVO
Interviews

US-Recht vs. DSGVO

Müssen sich Unternehmen künftig entscheiden, gegen welches Gesetz sie verstoßen?

Unternehmen in Deutschland haben sich im letzten Jahr vor allem darauf konzentriert, sich für die DSGVO fit zu machen. Doch bereits seit März 2018 gilt der CLOUD Act (Clarifying Lawful Overseas Use of Data Act), der die europäische Datenschutzverordnung konterkarieren könnte. So gewährt der Act den US-Behörden vollen Zugriff auf personenbezogene Daten – und unter Umständen sogar auf Daten, die eigentlich der DSGVO unterliegen. Spätestens jetzt sollten sich insbesondere Cloud-Anbieter, aber auch deren Kunden, mit den möglichen Konsequenzen des US-Gesetzes befassen. Denn künftig könnten sie sich gezwungen sehen, zu entscheiden, ob sie eher gegen die DSGVO oder den CLOUD Act verstoßen wollen. 

Nils Lölfing

Dr. Nils Lölfing
Rechtsanwalt 
Bird & Bird

In welcher Zwickmühle sich Unternehmen durch beide Gesetze befinden könnten, darüber hat Uniserv mit Dr. Nils Lölfing, Rechtsanwalt der internationalen Kanzlei Bird & Bird, gesprochen.

Herr Dr. Lölfing, worum geht es in dem CLOUD Act überhaupt? 

Der CLOUD Act verpflichtet grundsätzlich amerikanische Unternehmen dazu, US-Behörden weltweit den vollen Zugriff auf Daten und eben auch auf personenbezogene Informationen zu gewähren. Adressaten des CLOUD Acts sind Anbieter elektronischer Kommunikationsdienste sowie Remote-Computing-Dienste, also insbesondere Cloud-Anbieter, die dem US-Recht unterstehen.

Und warum ist der CLOUD Act dann auch für Unternehmen in Deutschland oder der EU relevant?

Ein Unternehmen muss nicht in den USA gegründet worden sein, um dem CLOUD Act zu unterliegen. Es reicht aus, wenn es eine signifikante Präsenz in den USA hat, um als amerikanisches Unternehmen gewertet zu werden. Damit gilt die Herausgabe von Daten aufgrund des CLOUD Acts auch, wenn diese gar nicht in Übersee gespeichert werden. Der Act kann also Daten betreffen, die auf Servern in Deutschland oder innerhalb der EU liegen.

Und mit „Präsenz“ muss nicht unbedingt ein Büro gemeint sein. Es können auch andere Formen der Präsenz sein, zum Beispiel wenn Nicht-US-Unternehmen Verträge über die Bereitstellung von Waren oder Dienstleistungen vergeben oder Geschäfte in den USA ausüben. Weitere Formen können das Immobilien-Eigentum, die Führung eines Bankkontos oder der Vertrieb eines Produkts oder eines Services innerhalb eines US-Bundesstaates sein. 

Fallen unter den CLOUD Act auch Daten, die zwar in den USA erhoben wurden, aber nur in Deutschland gespeichert und verarbeitet werden? 

Ja. Der CLOUD Act regelt die Pflicht zur Datenherausgabe an US-Behörden auch in Bezug auf solche Daten, die physisch auf Servern außerhalb der USA, also zum Beispiel in Europa, gespeichert sind. Ausdrücklich regelt der CLOUD Act, dass es sich um „Informationen [handeln muss], […], unabhängig davon, ob sich diese […] Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden“. 

In welchen Konflikt können also Unternehmen daher geraten?

Aufgrund der aktuellen Rechtslage befinden sich Unternehmen in der EU in einer Zwickmühle. So müssten sie bei einer Anfrage von US-Behörden gegen Artikel 48 der EU-DSGVO verstoßen. Dieser besagt, dass Daten nur herausgegeben werden dürfen, wenn ein Rechtshilfeabkommen oder eine Übereinkunft zwischen dem jeweiligen EU-Land und der USA besteht. Und beides existiert bisher nicht. 

Wiederum sieht der CLOUD Act vor, dass landesspezifische Gesetze und damit auch die DSGVO, nur unter bestimmten restriktiven Voraussetzungen überhaupt vom Act beachtet werden. Der CLOUD Act setzt sich also sozusagen über andere nationale und EU-Gesetze hinweg. 

Darüber hinaus können die US-Behörden Unternehmen zur Geheimhaltung verpflichten. Sie können ihnen also explizit untersagen, ihre Verbraucher darüber zu informieren, dass die US-Behörden auf personenbezogene Daten zugegriffen haben. Auch dies verstößt gegen die DSGVO. 

All diese Aspekte können dazu führen, dass Unternehmen Daten gemäß des CLOUD Acts herausgeben müssen, aber somit gleichzeitig gegen die EU-DSGVO verstoßen. Dieser EU-Verstoß kann wiederum theoretisch Strafen von bis 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes nach sich ziehen.

Und welche Daten sind eigentlich von dem CLOUD ACT betroffen – nur personenbezogene Daten, oder auch Geschäfts- und Betriebsgeheimnisse? 

Nach dem Wortlaut des CLOUD Acts geht es um den „Inhalt einer drahtgebundenen oder elektronischen Kommunikation und aller Aufzeichnungen oder anderer Informationen, die zu einem Kunden oder Abonnenten gehören” (18 U.S.C. § 2713). Dies umfasst damit sämtliche Informationen, die ein Unternehmen speichert. Folglich also personenbezogene und auch nicht-personenbezogene Daten, wie es etwa Geschäfts- und Betriebsgeheimnisse unter gewissen Umständen sein können. 

Aber selbst in Bezug auf die Herausgabe nicht-personenbezogener Daten wird der Konflikt zwischen CLOUD Act und DSGVO nicht abgemildert. Denn selbst auf den ersten Blick können nicht-personenbezogene Daten wie Betriebs- und Geschäftsgeheimnis auf einzelne verantwortliche Mitarbeiter in einem Unternehmen bezogen werden – und müssten damit laut DSGVO als personenbezogen eingestuft werden. 

Bietet es für Unternehmen Rechtssicherheit, wenn sie einen Cloud-Anbieter wählen, der Daten in Deutschland oder der EU verarbeitet und hostet?

Wählen Unternehmen einen Cloud-Anbieter, dessen Sitz sich innerhalb der EU befindet und der zudem über keine signifikante Präsenz in den USA verfügt, ist ein Zugriff auf die bei dem Cloud-Anbieter gespeicherten Informationen unter dem CLOUD Act nicht möglich.

Doch selbst wenn Unternehmen ihre Daten nur innerhalb der EU erheben und speichern, heißt das nicht, dass sie damit per se vor Herausgabeverlangen seitens US-Behörden vollumfänglich geschützt sind. Unternehmen sollten daher prüfen, ob gegenseitige Rechtshilfeabkommen zwischen den USA und ihrem jeweiligen Land bestehen. Diese Rechtshilfeabkommen können sogenannte „Mutual Legal Assistance Treaties“ oder „Subpoeans” sein. Im Gegensatz zum Cloud Act sind US-Behörden im Rahmen von Rechtshilfeabkommen aber auf Rechtshilfe und Kooperation des Drittlandes angewiesen. Die Herausgabe richtet sich zudem nach den Vorschriften des lokalen Rechts.

„Subpoenas“ können jedoch von US-Behörden ohne richterliche Anordnung gegenüber Unternehmen mit kommerziellen Aktivitäten in den USA erlassen werden. Das Unternehmen muss also nicht explizit in den USA niedergelassen sein. Auch hier kann die US-Behörde die Herausgabe von Daten verlangen, die in der EU gespeichert sind. „Subpoenas“ sind aber immerhin gerichtlich überprüfbar.

Welche weiteren proaktiven Maßnahmen können Unternehmen ergreifen, um ihre Daten vor dem Zugriff von US-Behörden schützen? 

Proaktive Maßnahmen, um zu verhindern, dass der Cloud-Anbieter überhaupt in den Anwendungsbereich des CLOUD Act fällt, sind sogenannte Treuhändermodelle. Hierbei betreibt der Treuhänder als Dienstleister des Cloud-Anbieters den Cloud-Dienst zum Abspeichern von Daten. Grundsätzlich hat dabei nur der Dienstleister als Datentreuhänder Zugriff auf die in der EU gespeicherten Daten. Der Cloud-Anbieter erhält typischerweise ausschließlich im Rahmen der Treuhandvereinbarung für Zwecke notwendiger Wartung und des Supports Zugriff auf die Daten, nicht jedoch für andere Zwecke.

Dieses Modell kann insofern etwaige Herausgabeverpflichtungen nach dem CLOUD Act vermeiden, weil dadurch die Daten nicht länger im Besitz oder unter Kontrolle des jeweiligen Anbieters sind. Das liegt daran, dass dem Anbieter das Verfügungsrecht an den Daten durch die Datentreuhand entzogen wurde. Ob dieses Modell aber auch der Realität standhält, wird sich erst an der Durchsetzungspraxis der US-Behörden zeigen. Und um nicht doch vom CLOUD Act erfasst zu werden, darf ebenfalls keine signifikante Präsenz des Datentreuhänders in den USA vorliegen. 

Eine weitere Alternative kann sein, wenn betroffene US-Unternehmen Unternehmensteile abspalten.

Wie können sich Unternehmen wehren, wenn die US-Behörde die Herausgabe von Daten verlangt?

Erhalten Cloud-Anbieter ein Herausgabeverlangen für innerhalb der EU gespeicherte Daten und fallen sie unter den Anwendungsbereich des CLOUD Acts,, können sie ein gerichtliches Beschwerdeverfahren einleiten. Das erfordert, dass (i) der Kunde des Cloud-Anbieters, um dessen Daten es geht, kein Bürger oder Staatsangehöriger der USA oder ein zum dauerhaften Aufenthalt berechtigter Ausländer ist, (ii) der Anbieter mit der Offenlegung der Daten die Gesetze einer sogenannten qualifizierten ausländischen Regierung verletzt und (iii) die Interessen der Rechtspflege unter Berücksichtigung aller Umstände eine Aufhebung gebieten. 

Bisher gibt es aber gar kein Land, das als qualifizierte ausländische Regierung eingestuft wird. Denn dazu müsste zwischen den USA und der jeweiligen Regierung ein Exekutivabkommen bestehen, was bislang jedoch noch nicht existiert. 

Um zu beurteilen, ob die Interessen der Rechtspflege unter Berücksichtigung aller Umstände eine Aufhebung gebieten, sodass das Herausgabeverlangen gerichtlich aufgehoben wird, führt das US-Gericht eine sogenannte „Comity Analyse“ durch. Es handelt es sich hierbei um eine nach acht Kriterien durchzuführende Interessenabwägung:

  • Interessen der USA einschließlich der Untersuchungsinteressen der US-Organisation;
  • Interessen qualifizierter ausländischer Regierungen an der Verhinderung etwaig unzulässiger Offenlegung;
  • Wahrscheinlichkeit von Sanktionen gegen Anbieter aufgrund widersprüchlicher rechtlicher Anforderungen an den Anbieter;
  • Standort und Nationalität des Teilnehmers oder Kunden und Verbindung zu den USA;
  • Art und Umfang der Verbindung und Präsenz des Anbieters in den USA 
  • Bedeutung für die Untersuchung von Informationen, die offengelegt werden müssen;
  • Wahrscheinlichkeit eines rechtzeitigen Zugangs zu Informationen auf andere Weise; und
  • Wenn der rechtmäßige Zugang im Namen einer ausländischen Behörde beantragt wird, geht es um Ermittlungsinteressen der ausländischen Behörde. 

Mangels Praxisfällen ist derzeit völlig offen, wie US-Gerichte diese einzelnen Kriterien interpretieren und gewichten. Allein die Tatsache, dass ein solcher Multifaktor-Test durchzuführen ist, suggeriert, dass schon der Verstoß gegen Art. 48 DSGVO nicht für eine erfolgreiches Beschwerdeverfahren ausreicht.

Welche Strafen können sich für Unternehmen ergeben, wenn sie gegen den CLOUD ACT verstoßen?

Für Unternehmen, um deren gespeicherte Daten es geht, ergeben sich keine unmittelbaren Sanktionen unter dem CLOUD Act. Doch für Cloud-Anbieter, die unmittelbar Verpflichtete unter dem CLOUD Act sind, sieht das etwas anders aus. Die Behörde kann den Cloud-Anbieter auf Herausgabe der Daten verklagen. Kommt der Anbieter der gerichtlichen Anordnung dann nicht nach, handelt es sich um die Missachtung einer gerichtlichen Anordnung („civil contempt“). Diese Missachtung kann Sanktionen durch das Gericht nach sich ziehen, beispielsweise Zwangsgeld, nach oben unbegrenzte Entschädigungsansprüche oder gar Freiheitsstrafen. Während das Zwangsgeld und Freiheitstrafen nur dazu dienen, dass der Anbieter dem Herausgabeverlangen nachkommt – und damit unwirksam werden, sobald das der Fall war – können die Entschädigungsansprüche ein erhebliches finanzielles Risiko für Unternehmen darstellen. Unmittelbare Bußgelder wie unter der DSGVO kann die US-Behörde jedoch nicht für die Verweigerung verhängen. 

Vielen Dank für das Gespräch!