In den USA hat Präsident Donald Trump den CLOUD Act unterzeichnet. Die Abkürzung steht für den Clarifying Lawful Overseas Use of Data Act, der den bestehenden Stored Communications Act (SCA) ergänzt.
Das neue Gesetz verpflichtet Internet-Unternehmen in den USA, amerikanischen Sicherheitsbehörden auch dann Zugriff auf Daten von Nutzerinnen und Nutzern zu geben, wenn die Daten nicht in den USA gespeichert sind. Der CLOUD Act umgeht damit die internationale Rechtshilfe.
Umgekehrt sieht der CLOUD Act auch für ausländische Sicherheitsbehörden die Möglichkeit vor, direkt auf Nutzerdaten in den USA zuzugreifen. Interessierte Staaten können dafür bilaterale Abkommen mit den USA schliessen.
Hintergrund ist unter anderem die Weigerung von Microsoft, in Irland gespeicherte Kundendaten an amerikanische Sicherheitsbehörden herauszugeben. Inzwischen liegt der Fall United States vs. Microsoft Corp. beim amerikanischen Supreme Court. Es stellt sich die Frage, wie der oberste Gerichtshof damit umgehen wird, dass das neue Gesetz nun etwas ausdrücklich erlaubt, worüber gerichtlich erst noch entschieden werden soll.
Schweizer Behörden: Direkter Zugriff auf Google und Microsoft?
Ein bilaterales Abkommen mit den USA wäre auch für die Schweiz denkbar, zumal das Interesse von Behörden in der Schweiz an Daten bei amerikanischen Internet-Unternehmen vermutlich grösser ist als umgekehrt. Heute darf eine Staatsanwaltschaft in der Schweiz grundsätzlich nicht direkt an Facebook, Google, Microsoft, Salesforce oder Twitter gelangen, sondern muss den aufwendigen Weg der Rechtshilfe beschreiten.
Abhilfe soll ein Zustellungsdomizil in der Schweiz schaffen, wie es unter anderem eine Motion von Nationalrat Balthasar Glättli fordert.
Allerdings können sich Internet-Unternehmen gemäss CLOUD Act unter zwei Bedingungen gegen die Herausgabe von Nutzerdaten wehren:
- Die betroffenen Kunden sind weder Amerikaner noch haben sie ihre Niederlassung in den USA, und
- das betroffene Internet-Unternehmen riskiert, durch die Herausgabe von Nutzerdaten ausländisches Recht zu verletzen.
CLOUD Act: Kritik von der EFF, Lob von Microsoft
Microsoft begrüsst den CLOUD Act ausdrücklich:
«The proposed CLOUD Act creates a modern legal framework for how law enforcement agencies can access data across borders. […] It also responds directly to the needs of foreign governments frustrated about their inability to investigate crimes in their own countries. The CLOUD Act addresses all of this, while ensuring appropriate protections for privacy and human rights. And it gives tech companies like Microsoft the ability to stand up for the privacy rights of our customers around the world. The bill also includes a strong statement about the importance of preventing governments from using the new law to require that U.S. companies create backdoors around encryption, an important additional privacy safeguard.»
Die Electronic Frontier Foundation (EFF) kritisiert den CLOUD Act. Die EFF fürchtet vor allem den Zugriff von ausländischen Sicherheitsbehörden auf Nutzerdaten von Amerikanerinnen und Amerikanern:
«[…] U.S. and foreign police will have new mechanisms to seize data across the globe. Because of this failure, your private emails, your online chats, your Facebook, Google, Flickr photos, your Snapchat videos, your private lives online, your moments shared digitally between only those you trust, will be open to foreign law enforcement without a warrant and with few restrictions on using and sharing your information. Because of this failure, U.S. laws will be bypassed on U.S. soil.»
Was bedeutet der CLOUD Act für den transatlantischen Datenschutz?
Der CLOUD Act könnte das Privacy Shield, mit dem amerikanische Unternehmen freiwillig einen angemessenen Datenschutz nach Vorgaben der Europäischen Union (EU) und der Schweiz gewährleisten, in Frage stellen.
Allerdings sitzen die EU und die Schweiz im Glaushaus:
In Europa besteht ein grosses Bedürfnis, ohne Rechtshilfe auf Nutzerdaten im Ausland direkt zugreifen zu können. Mit der neuen Datenschutz-Grundverordnung (DSGVO) wird das Datenschutzrecht mit Blick auf Unternehmen zwar verschärft, gleichzeitig aber der Überwachungsstaat ausgebaut – in der Schweiz zuletzt mit dem revidierten Überwachungsgesetz BÜPF und dem neuen Nachrichtendienstgesetz (NDG). Auch halten Politik und Rechtsprechung in der Schweiz an der Massenüberwachung durch die anlasslose und verdachtsunabhängige Vorratsdatenspeicherung fest.
(Ursprünglich via Techdirt.)
Nachtrag vom 4. April 2018: United States vs. Microsoft Corp. ohne Urteil?
Das Verfahren vor dem Supreme Court könnte ohne Urteil enden, wie Reuters schreibt:
«Microsoft Corp on Tuesday backed the Justice Department’s request that the U.S. Supreme Court dismiss a case pitting the two against each other over whether prosecutors can force technology companies to hand over data stored overseas after Congress passed a law that resolved the dispute.»
Nachtrag vom 18. April 2018: United States vs. Microsoft Corp. ohne Urteil
Das Verfahren vor dem Supreme Court hat tatsächlich ohne Urteil geendet, wie Heise Online schreibt:
«Seit 2013 wehrte sich Microsoft gerichtlich dagegen, in Irland gespeicherte Daten unter Umgehung irischer Gerichte an US-Behörden zu übergeben. Der Supreme Court hat nun das Verfahren eingestellt, womit Microsoft gewonnen hat. Es ist ein Pyrrhussieg.»