Gemäss dem amerikanischen CLOUD Act sind amerikanische Internet-Unternehmen verpflichtet, amerikanischen Behörden unter bestimmten Voraussetzungen auch Zugriff auf Daten, die nicht in den USA gespeichert sind, zu geben.
Europäische Internet-Unternehmen behaupten unter anderem mit Verweis auf den CLOUD Act häufig, bei ihnen seien die Daten der Nutzerinnen und Nutzer besser aufgehoben als bei der amerikanischen Konkurrenz. Europäische Internet-Unternehmen zielen damit insbesondere auf die Möglichkeit, einen amerikanischen Anbieter zu nutzen, aber einen europäischen Daten-Standort zu wählen.
Wie relevant ist der CLOUD Act für Daten bei Amazon?
Einen Anhaltspunkt liefert der Transparenzbericht von Amazon («Law Enforcement Information Request»):
Im ersten Halbjahr 2021 erhielt Amazon insgesamt 632 Behördenanfragen für Amazon Web Services (AWS) und 30’118 Behördenanfragen im Zusammenhang mit weiteren Diensten von Amazon. Bei Letzteren stammten über 50 Prozent der Anfragen von deutschen Behörden!
In jedem Fall betraf nach Angaben von Amazon keine einzige Anfrage den Zugriff für amerikanische Behörden auf Daten, die ausserhalb der USA gespeichert waren:
«How many requests resulted in the disclosure to the U.S. government of enterprise content data located outside the United States?
None.»
In der Schweiz gibt es übrigens kaum Internet-Unternehmen, die einen Transparenzbericht veröffentlichen. Wer wissen möchte, wie häufig beispielsweise Swisscom Daten an Behörden in der Schweiz und im Ausland liefert, kann nicht in einem Transparenzbericht nachschlagen.
Der amerikanische CLOUD Act wird meines Erachtens überschätzt:
Wenn ein schweizerisches Internet-Unternehmen wie beispielsweise Infomaniak damit wirbt, man unterliege nicht dem CLOUD Act, dann unterschlägt Infomaniak den Zugriff auf Daten in der Schweiz durch ausländische Behörden über die Convention on Cybercrime (CCC) und auf dem Weg der internationalen Rechtshilfe in Strafsachen. Wie solche Rechtshilfe funktioniert, zeigte kürzlich die Lieferung von Nutzerdaten an amerikanische Behörden durch ProtonMail.
Siehe auch:
- CLOUD Act: Weltweiter Zugriff auf Nutzerdaten bei Internet-Unternehmen
- CLOUD Act: Datacenter-Standort Schweiz stärken durch ein Abkommen mit den USA?
- ProtonMail: Heimliche Anpassungen am Transparenzbericht
- Amazon Web Services: Region «Zurich» startet 2022 in der Schweiz
(Vielen Dank an Andreas Von Gunten für seinen Hinweis!)