Eines der Ziele der Datenschutzgrundverordnung (DSGVO) war die Schaffung von Rechtssicherheit für Unternehmen. In jedem EU-Staat gelten nun die gleichen Datenschutzstandards und auch US-Unternehmen, die Geschäfte in EU-Staaten betreiben, müssen sich an die Vorgaben der DSGVO halten. Speichert z.B. ein deutsches Unternehmen Daten auf den irischen Servern eines US Cloud-Anbieters, unterliegen diese Daten der DSGVO und nicht US-amerikanischem Recht. Doch diese Rechtssicherheit wurde möglicherweise ausgehebelt.
Während in den letzten Wochen vor Inkrafttreten der DSGVO noch umfassend und oft kontrovers über selbige diskutiert wurde, hat der US-Kongress, weitgehend unbeachtet von der europäischen Öffentlichkeit, mit dem CLOUD Act ein Gesetz verabschiedet, das US-Unternehmen verpflichtet gegen die DSGVO zu verstoßen.
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz, das im März 2018 vom US-Kongress beschlossen wurde. Das Gesetz verpflichtet US-amerikanische Cloud-Anbieter dazu, US-Behörden Zugriff auf gespeicherte Daten zu ermöglichen, auch wenn diese Daten außerhalb der USA gespeichert sind. Dabei wird deutlich gemacht, dass geltendes nationales Recht nicht als Hinderungsgrund für die Herausgabe der Daten gilt. Ein US-Unternehmen mit einem Serverstandort in der Europäischen Union ist also verpflichtet, US-Behörden Zugriff auf diese Server zu gewähren, obwohl ihm dies laut DSGVO untersagt ist. Danach darf die Übermittlung oder die Offenlegung der vorgehaltenen personenbezogenen Daten nur dann erfolgen, wenn dies auf eine in Kraft befindliche internationale Übereinkunft (z.B. ein Rechtshilfeabkommen) fußt. Zwar existieren entsprechende Rechtshilfeabkommen zwischen der USA und der EU. Diese sind jedoch aufgrund ihrer langen Verfahrensdauer sehr unbeliebt, weswegen zu erwarten ist, dass künftig von US-amerikanischen Gerichten vermehrt auf den CLOUD Act zurückgegriffen wird.
Der Anbieter sitzt in diesen Fällen in der Zwickmühle. Entweder er verstößt mit der Herausgabe der Daten gegen die DSGVO, wenn er dem Anliegen der US-amerikanischen Gerichte nachkommt oder gegen US-Recht, wenn er es nicht tut. Er kann nicht rechtssicher handeln und muss im Zweifel die eigenen Konsequenzen abwägen. Angesichts der nach der DSGVO in Aussicht stehenden Bußgeldern von bis zu 4% des weltweiten Konzernjahresumsatzes wird diese Abwägung sich nicht sehr einfach gestalten. Besonders kritisch: Als US-Anbieter gilt dabei potenziell jedes Unternehmen, das einen Sitz in den USA hat, auch wenn dies nicht der Hauptsitz ist. Ausschlaggebend ist hier, dass der US-Anbieter die Daten kontrolliert.
Auslöser für den CLOUD Act war, dass US-Behörden Probleme hatten an die auf einem irischen Server gespeicherten Daten des E-Mail Dienstes eines großen US-amerikanischen IT-Konzerns zu gelangen. Ein Durchsuchungsbeschluss einer US-Behörde galt vor Inkrafttreten des CLOUD Acts nur auf US-amerikanischem Boden. Nutzern und Kunden der Angebote von US-Dienstleistern erfahren von einer Datenabfrage nach dem CLOUD Act ggf. nichts, da die Behörden den Unternehmen zudem verbieten können, die betroffenen Kunden/Nutzer zu informieren.
Damit stellt sich der CLOUD Act ganz klar gegen die Prinzipien der DSGVO und schafft erneut eine große Unsicherheit bei der Nutzung von US Cloud-Diensten.
Die DSGVO sollte Rechtssicherheit schaffen. Ob ihr das insgesamt gelungen ist, darüber lässt sich streiten. Bei vielen Passagen herrscht noch immer Uneinigkeit über deren Interpretation unter Juristen, Datenschutzbehörden, ja selbst unter den Politikern, welche die DSGVO mit erarbeitet haben. Diese Unsicherheit für Unternehmen wird sich noch weiter verschärfen, wenn man sich nicht mal darauf verlassen kann, dass manche von der DSGVO betroffenen Dienste und Anbieter sich nicht an die Verordnung halten, ja nach US-Recht noch nicht einmal halten dürfen. Und sie als Kunden dieser Unternehmen darüber hinaus noch nicht einmal über (nach der DSGVO) unberechtigte Zugriffe informiert werden.
Überdies sind nach dem Ende von Safe Harbour vermutlich auch die Tage des Privacy Shield Abkommens gezählt, welches zuletzt eine Regelung für die Datenspeicherung auf US Servern regeln sollte.