Im Jahr 2018 wurde der sogenannte ‚CLOUD-Act‘ erlassen. CLOUD steht nicht wie üblich für Dienstleistungsangebote im Internet, sondern für “Clarifying Lawful Overseas Use of Data”. Das Gesetz verpflichtet amerikanische Firmen, Strafverfolgungsbehörden auch dann Zugriff auf Daten zu gewähren, wenn diese im Ausland gespeichert werden. Zuvor hatte es immer wieder Auseinandersetzungen gegeben, unter anderem mit Microsoft, die sich weigerten, Daten herauszugeben, die auf Servern in Irland gespeichert waren. Nun ist es den US-Behörden möglich, neben den gespeicherten Daten auch auf Aufzeichnungen zur Kommunikation zuzugreifen, egal ob diese in den USA oder anderen Ländern gespeichert wurden.
Das Gesetz ist nicht nur auf Unternehmen mit Sitz in den USA anwendbar, sondern auch, wenn Firmen der US-Gerichtsbarkeit unterliegen. Das ist nicht nur der Fall, wenn sich eine Zweigstelle oder Tochtergesellschaft in den USA befindet, auch eine „anderweitige geschäftliche Tätigkeit“, beispielsweise das Angebot von Dienstleistungen, Immobilienbesitz oder ein Bankkonto, führt zur Zuständigkeit der USA. Konkret sind also auch Europäische Unternehmen unter Umständen dazu verpflichtet, ihre weltweit gespeicherten Daten den amerikanischen Behörden zur Verfügung zu stellen.
Während der CLOUD-Act im Bereich der Strafverfolgung gilt, gibt es mit dem „Foreign Intelligence Surveillance Act (FISA)“ auch präventive Regelungen für die Terrorismusbekämpfung. Hierdurch wird das Einholen von Geheimdienstinformationen nicht US-amerikanischer Personen im Ausland ermöglicht. Anbieter elektronischer Kommunikationsdienste müssen der Regierung nach Aufforderung umfassende Informationen über ausländische Personen zur Verfügung stellen. Diese Anforderungen müssen geheim gehalten und die betroffenen Benutzer dürfen nicht benachrichtigt werden. Formal ist zur Anforderung noch nicht einmal eine gerichtliche Entscheidung erforderlich.
Unternehmen sind auch dann zur Herausgabe verpflichtet, wenn sie dadurch andere lokale Gesetze am Ort der Datenspeicherung missachten würden. Ein Verstoß gegen die DSGVO ist damit aus Sicht der USA kein Hindernis für eine entsprechende Auskunft.
„Die USA haben ein ganz anderes Datenschutzverständnis als wir in Europa. Unternehmen betreten hier schnell Glatteis,“ sagt der langjährige Datenschutzexperte der UIMC, Dr. Jörn Voßbein. Es sei nicht unmöglich, mit US-amerikanischen Unternehmen zusammenzuarbeiten oder Daten in die USA zu übertragen. „Man muss aber schon sehr genau hinschauen und prüfen. Ohne externe Beratung ist das mittlerweile rechtssicher kaum möglich.“
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de