CLOUD Act

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act[1]) ist ein seit 2018 bestehendes US-amerikanisches Gesetz zum Zugriff der US-Behörden auf gespeicherte Daten im Internet. Er ergänzt Titel 18 United States Code, Chapter 121 (Stored Communications Act) um 18 US Code § 2713.[2]

Inhalt

Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Umgekehrt können über diesen Weg auch ausländische Firmen Zugriff auf Daten erhalten, die von US-Konzernen im Ausland gespeichert werden. Infolge des Gesetzes sollen bilaterale Abkommen ausgearbeitet werden, die es ausländischen Behörden ermöglichen, ihre Anfragen direkt an die Konzerne zu stellen. Hiermit würde eine gerichtliche Kontrolle bei einer Abfrage außen vor bleiben, was zu Kritik durch Datenschützer geführt hat.[3]

Dem von der Herausgabeverpflichtung betroffenen Unternehmen steht jedoch nach dem Gesetz im Einzelfall ein Widerspruchsrecht gegen die Anordnung zur Herausgabe von Daten zu, wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Recht in anderen Ländern verstoßen würde.[4] Dies gilt für Länder, die mit den USA ein Abkommen unter dem CLOUD Act abgeschlossen haben. Aktuell hat lediglich Großbritannien ein solches Executive Agreement unterzeichnet,[5] sodass es diese Möglichkeit für alle anderen Bürger weltweit nicht gibt.

Das Gesetz wurde eingeführt, nachdem US-Behörden in verschiedenen Fällen Probleme hatten, an im US-Ausland gespeicherte Daten zu gelangen. So konnten Unternehmen bis vor Verabschiedung des Gesetzes sich darauf berufen, dass ein Durchsuchungsbeschluss nur in den USA Geltung hat.[6] Internet-Firmen und IT-Dienstleistern kann nach dem Gesetz verboten werden, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren.

Das Gesetz wurde am 23. März 2018 unterzeichnet.

Kritik

Die US-Datenschutzorganisation Electronic Frontier Foundation wertete den CLOUD Act als „gefährliches Gesetz“. Das Gesetz sei „nichts geringeres als ein Eingriff in die Privatsphäre und eine Beschneidung der Grundrechte“. Auch der Konzern Microsoft übt scharfe Kritik an diesem Gesetz.[7]

Siehe auch

Einzelnachweise

  1. Consolidated Appropriations Act, 2018. In: Public Law. Band 115, Nr. 141. United States Government Publishing Office, 2018, Division V—CLOUD ACT, S. 867 (govinfo.gov [PDF; 2,3 MB]).
  2. 18 U.S. Code § 2713 - Required preservation and disclosure of communications and records, auf law.cornell.edu
  3. CLOUD Act - US-Gesetz für internationalen Datenzugriff und -schutz verabschiedet. In: Heise Online. Abgerufen am 27. September 2019.
  4. The Software Alliance: The CLOUD Act and the European Union: Myths vs. Facts. Abgerufen am 20. September 2019.
  5. CLOUD Act Executive Agreement Certified to Congress, After A Delay. 10. Januar 2020, abgerufen am 6. Mai 2020 (amerikanisches Englisch).
  6. Microsoft verteidigt Daten in Europa gegen US-Zugriff. In: Heise Online. 10. September 2015, abgerufen am 26. März 2018.
  7. Tanja Tricarico: Microsoft gegen Cloud Act: Die Daten vor US-Zugriff schützen. In: Die Tageszeitung. 18. September 2018, abgerufen am 19. April 2020.