Zahlreiche deutsche und europäische Unternehmen nutzen die Cloud-Dienste eines amerikanischen Cloud-Anbieters (sei es Microsoft, Google, Apple, Amazon und etc.). Für den Datenschutz auf europäischer Ebene nimmt sowohl das Thema ‘‘Cloud Act‘‘, als auch das Thema ‘‘Patriot Act‘‘ immer mehr an Bedeutung. In unserem letzten Blogbeitrag haben wir bereits das Thema “Cloud Act“ ausführlich dargestellt und möchten Sie in diesem auf den Patriot Act aufmerksam machen und wie genau er in Verbindung mit der Datenverarbeitung steht.
Was ist der Patriot Act und was erlaubt er?
Durch den Patriot Act (2001) haben die Vereinigten Staaten die Befugnisse ihrer Geheimdienste und Ermittlungsbehörde erweitert. Hintergrund für die Erweiterung der Befugnisse war die Terrorbekämpfung und die Spionageabwehr. Der Foreign Intelligence Surveillance Court kann einen Beschluss gegen z.B. eine Organisation erlassen. Somit ist das Unternehemen verpflichtet, die bei ihm gespeicherten Daten herauszugeben. Wenn aber kein Beschluss des Gerichts vorliegt hat das FBI eine andere Möglichkeit – die sog. National Security Letters (NSL). Die National Security Letters unterliegen keinen Gerichtsbeschluss. Das FBI kann diese selbst erlassen und somit das Unternehmen verpflichten die angefragten Daten zu übermitteln. An der Stelle ist wichtig zu erwähnen, dass es sich um Organisationen handelt deren Firmensitz in den USA ist. Was beinhaltet ein National Security Letter? Unter anderem können folgende Informationen angefragt werden:
- DSL-Account Informationen
- Datum, an dem das Konto eröffnet oder geschlossen wurde
- Adressen, die im Zusammenhang mit dem Konto stehen
- Alle sonstigen Informationen, von denen der Provider glaubte, dass es sich um eine elektronische Kommunikation handelt (‘‘Any other information which you consider to be an electronic communication transactional record‘‘)
Welche Auswirkung haben die National Security Letters auf den Datenschutz für deutsche Unternehmen?
Diese Frage lässt sich nicht einseitig beantworten. Selbstverständlich sind deutsche Unternehmen an die deutschen und europäischen Datenschutzregelungen gebunden. Wenn eine Organisation personenbezogene Daten in der Cloud verarbeitet, ist diese verpflichtet sich an die DSGVO und das Bundesdatenschutzgesetz (BDSG) zu halten. Auf der anderen Seite sind amerikanische Unternehmen an das USA-Recht gebunden. Außerdem müssen diese auch die spezifischen Regelungen des konkreten Staates, in dem sich die Server befinden, berücksichtigen.
Die rechtliche Kollision ist im konkreten Fall unvermeidbar. Viele Unternehmen haben bereits eine Stellungnahme zu diesem Thema abgegeben (wie z.B. Microsoft, das selbst die Rechtmäßigkeit der Rechtsgrundlage prüft). Empfehlenswert ist auf jeden Fall bevor Sie sich für einen amerikanischen Cloud-Anbieter entscheiden, die Gesichtspunkte des konkreten Unternehmens zum Thema zu berücksichtigen. Damit es zu einer klaren Lösung des Dilemmas kommt arbeitet die EU-Kommission auf die Erstellung eines Abkommens. Das Abkommen soll hinreichende Rechtsgrundlagen schaffen, um eine rechtskonforme Zusammenarbeit zu gewährleisten. Das Ziel ist, dass ein solches Rechtsabkommen bis Ende 2020 zur Verfügung steh