Bei Geschäften in den USA den Datenschutz beachten

Der CLOUD-Act in den USA kurz und knackig erklärt

Durch die Schrems-Urteile des EuGHs ist die Diskussion um das Datenschutzniveau der USA einer breiteren Öffentlichkeit bekannt geworden. Hintergrund waren zwischen EU und den USA getroffene Abkommen, die Unternehmen beim Export von Daten in die USA ein dem EU-Recht gleichwertiges Datenschutzniveau zusichern sollten. Alle bisher getroffenen Regelungen wurden vom EuGH mit Verweis auf die fehlende Gleichwertigkeit einkassiert. Immer wieder geht es hierbei um die Zugriffsrechte von Behörden, die angeblich ohne ernsthafte Hürden und ohne, dass Betroffene informiert wurden, auf persönliche Daten zugreifen können. Aber gibt es diese Regelungen wirklich?

Im Jahr 2018 wurde der sogenannte ‚CLOUD-Act‘ erlassen. CLOUD steht nicht wie üblich für Dienstleistungsangebote im Internet, sondern für “Clarifying Lawful Overseas Use of Data”. Das Gesetz verpflichtet amerikanische Firmen, Strafverfolgungsbehörden auch dann Zugriff auf Daten zu gewähren, wenn diese im Ausland gespeichert werden. Zuvor hatte es immer wieder Auseinandersetzungen gegeben, unter anderem mit Microsoft, die sich weigerten, Daten herauszugeben, die auf Servern in Irland gespeichert waren. Nun ist es den US-Behörden möglich, neben den gespeicherten Daten auch auf Aufzeichnungen zur Kommunikation zuzugreifen, egal ob diese in den USA oder anderen Ländern gespeichert wurden.

Das Gesetz ist nicht nur auf Unternehmen mit Sitz in den USA anwendbar, sondern auch, wenn Firmen der US-Gerichtsbarkeit unterliegen. Das ist nicht nur der Fall, wenn sich eine Zweigstelle oder Tochtergesellschaft in den USA befindet, auch eine „anderweitige geschäftliche Tätigkeit“, beispielsweise das Angebot von Dienstleistungen, Immobilienbesitz oder ein Bankkonto, führt zur Zuständigkeit der USA. Konkret sind also auch Europäische Unternehmen unter Umständen dazu verpflichtet, ihre weltweit gespeicherten Daten den amerikanischen Behörden zur Verfügung zu stellen.

Während der CLOUD-Act im Bereich der Strafverfolgung gilt, gibt es mit dem „Foreign Intelligence Surveillance Act (FISA)“ auch präventive Regelungen für die Terrorismusbekämpfung. Hierdurch wird das Einholen von Geheimdienstinformationen nicht US-amerikanischer Personen im Ausland ermöglicht. Anbieter elektronischer Kommunikationsdienste müssen der Regierung nach Aufforderung umfassende Informationen über ausländische Personen zur Verfügung stellen. Diese Anforderungen müssen geheim gehalten und die betroffenen Benutzer dürfen nicht benachrichtigt werden. Formal ist zur Anforderung noch nicht einmal eine gerichtliche Entscheidung erforderlich.

Unternehmen sind auch dann zur Herausgabe verpflichtet, wenn sie dadurch andere lokale Gesetze am Ort der Datenspeicherung missachten würden. Ein Verstoß gegen die DSGVO ist damit aus Sicht der USA kein Hindernis für eine entsprechende Auskunft.

„Die USA haben ein ganz anderes Datenschutzverständnis als wir in Europa. Unternehmen betreten hier schnell Glatteis,“ sagt der langjährige Datenschutzexperte der UIMC, Dr. Jörn Voßbein. Es sei nicht unmöglich, mit US-amerikanischen Unternehmen zusammenzuarbeiten oder Daten in die USA zu übertragen. „Man muss aber schon sehr genau hinschauen und prüfen. Ohne externe Beratung ist das mittlerweile rechtssicher kaum möglich.“