CLOUD Act
US-amerikanisches Gesetz
From Wikipedia, the free encyclopedia
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act[1]) ist ein seit 2018 bestehendes US-amerikanisches Gesetz zum Zugriff der US-Behörden auf gespeicherte Daten im Internet. Er ergänzt Titel 18 United States Code, Chapter 121 (Stored Communications Act) um 18 US Code § 2713.[2]
Inhalt
Das Gesetz verpflichtet US-amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.
Umgekehrt können über diesen Weg auch ausländische Firmen Zugriff auf Daten erhalten, die von US-Konzernen im Ausland gespeichert werden. Infolge des Gesetzes sollen bilaterale Abkommen ausgearbeitet werden, die es ausländischen Behörden ermöglichen, ihre Anfragen direkt an die Konzerne zu stellen. Hiermit würde eine gerichtliche Kontrolle bei einer Abfrage außen vor bleiben, was zu Kritik durch Datenschützer geführt hat.[3]
Dem von der Herausgabeverpflichtung betroffenen Unternehmen steht nach dem Gesetz im Einzelfall ein Widerspruchsrecht gegen die Anordnung zur Herausgabe von Daten zu, wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Recht in anderen Ländern verstoßen würde.[4] Dies gilt allerdings nur für Länder, die mit den USA ein Abkommen unter dem CLOUD Act abgeschlossen haben. Aktuell hat lediglich Großbritannien ein solches Executive Agreement unterzeichnet,[5] sodass es diese Möglichkeit für alle anderen Bürger weltweit nicht gibt.
Das Gesetz wurde eingeführt, nachdem US-Behörden in verschiedenen Fällen Probleme hatten, an im US-Ausland gespeicherte Daten zu gelangen. So konnten Unternehmen bis vor Verabschiedung des Gesetzes sich darauf berufen, dass ein Durchsuchungsbeschluss nur in den USA Geltung hat.[6] Internet-Firmen und IT-Dienstleistern kann nach dem Gesetz verboten werden, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren.
Das Gesetz wurde am 23. März 2018 unterzeichnet.
Kritik
Die US-Datenschutzorganisation Electronic Frontier Foundation wertete den CLOUD Act als „gefährliches Gesetz“. Das Gesetz sei „nichts geringeres als ein Eingriff in die Privatsphäre und eine Beschneidung der Grundrechte“. Auch der Konzern Microsoft übt scharfe Kritik an diesem Gesetz.[7]
Ein Rechtsgutachten der Universität zu Köln kommt zu dem Schluss, dass US-amerikanische Sicherheitsbehörden (sowohl Nachrichtendienste als auch Strafverfolgungsbehörden) unter Voraussetzungen, die nicht öffentlich bekannt sind und weitgehend ohne nachvollziehbare gerichtliche Überprüfung, 1) die Herausgabe von in Clouds gespeicherten Informationen verlangen (Section 702 FISA, Sections 2801-2713 SCA) und 2) auch auf im Ausland gespeicherte Daten auch ohne die Mitwirkung von Cloud-Anbietern zugreifen können (Executive Order 12.333). Die Jurisdiktion US-amerikanischer Gerichte – und somit auch der US-Cloud Act – betrifft nicht nur Daten bei US-Hyperscalern, sondern auch Daten bei Unternehmen, die 1) Tochter einer US-Firma sind, 2) eine Niederlassung in den USA haben oder 3) im Einzelfall auch nur geschäftliche Kontakte in die USA haben.[8]
Weblinks
- Cloud Act Resources CLOUD Act im Webauftritt des Justizministeriums der Vereinigten Staaten (inkl. Gesetzestext und White Paper mit FAQ)