Memo zur Reichweite des US-CLOUD-Act in Europa veröffentlicht

Out-Law News | 23 Aug 2022 | 1:24 pm | Lesedauer: 3 Min.

Ein Memo warnt europäischen Unternehmen davor, US-Bürgern, die für sie oder ihre Technologielieferanten arbeiten, Zugang zu Daten zu gewähren, die ins Visier der US-Strafverfolgungsbehörden geraten könnten.

Das Memo (15 Seiten / 417 KB) mit der umstrittenen Warnung wurde für das Nationaal Cyber Security Centrum (NCSC) in den Niederlanden erstellt und ist seit dem 16. August auf dessen Internetseite abrufbar. Es befasst sich mit der extraterritorialen Reichweite des US-CLOUD-Acts und den damit verbundenen Risiken, mit denen sich Organisationen in der EU bei der Weitergabe von Daten, für die sie verantwortlich sind, an US-Behörden konfrontiert sehen.

Der CLOUD-Act wurde von den US-Strafverfolgungsbehörden als wichtiges Instrument zur Bekämpfung von Schwerverbrechen und Terrorismus angepriesen. Er gibt ihnen die Möglichkeit, einen Beschluss zu erwirken, der Anbieter von elektronischen Kommunikationsdiensten oder Remote-Computing-Diensten zwingt, Kunden- oder Teilnehmerdaten, die sich in ihrem Besitz oder unter ihrer Kontrolle befinden, aufzubewahren, zu sichern oder offenzulegen – selbst wenn diese Daten außerhalb der USA gespeichert sein sollten.

Wouter Seinen

Die theoretischen Risiken einer erzwungenen Offenlegung gegenüber den US-Behörden können von den Verantwortlichen in Europa und im Vereinigten Königreich nicht ignoriert werden.

Das Memo schildert Szenarien, in denen EU-Unternehmen nach dem US-CLOUD-Act zur Offenlegung von Daten verpflichtet sein könnten. Dies könne im Widerspruch zu ihren Pflichten in Bezug auf Datenschutz und Datensicherheit stehen, denen sie gemäß EU-Recht unterliegen. Dies könnte beispielsweise der Fall sein, wenn ein EU-Unternehmen die Tochter einer US-Muttergesellschaft ist, die dem CLOUD-Act unterliegt, oder wenn ein EU-Unternehmen bei der Speicherung von Daten auf US-Anbieter von Cloud-Computing-Diensten setzt.

In dem Memo, das das NCSC veröffentlichte, heißt es: „Damit eine EU-Einrichtung nicht vollständig dem CLOUD-Act unterliegt, müsste sie die Daten über eine Nicht-US-Einrichtung verarbeiten, die entweder keine Unternehmensbeziehung zu einem Unternehmen mit einer Präsenz in den USA hat (beispielsweise eine US-Tochtergesellschaft); oder wenn sie eine Unternehmensbeziehung zu einem Unternehmen mit Sitz in den USA hat, darf das US-Unternehmen nicht im Besitz der in der EU gespeicherten Daten sein oder die Obhut oder Kontrolle über diese haben.“ In keinem Fall dürfe die EU-Einrichtung eine US-Muttergesellschaft haben, da sonst davon ausgegangen werde, dass die Muttergesellschaft im Besitz der Daten ihrer Tochtergesellschaft ist oder diese kontrolliert.

Und das Memo warnt weiter: Selbst wenn Technologieunternehmen in der EU Maßnahmen ergreifen, um zu vermeiden, dass sie direkt den Offenlegungsanforderungen des CLOUD-Act unterliegen, könnte es den US-Behörden immer noch möglich sein, die Offenlegung der Daten heimlich über die von diesen Unternehmen beschäftigten US-Bürger zu erreichen. Selbst wenn gegen einen US-Bürger, der für ein EU-Unternehmen arbeitet, kein Haftbefehl ausgestellt werden kann, um eine Offenlegung nach dem CLOUD-Act zu erzwingen, könnten die Behörden diese Personen per Vorladung dazu auffordern, vor Gericht zu erscheinen oder Beweise vorzulegen. In dem Memo heißt es daher: „Es ist ratsam, keine US-Bürger zu beschäftigen, die Zugang zu relevanten Daten haben.“

„Obwohl es möglich ist, eine Offenlegungsanordnung vor Gericht anzufechten, unterliegt die Möglichkeit der Regierung, Informationen anzufordern, nur wenigen Einschränkungen –  insbesondere außerhalb des strafrechtlichen Kontextes“, so das Memo. „Trotz der rechtlichen Beschränkungen der Regierung setzt die Anfechtung einer Vorladung natürlich voraus, dass die vorgeladene Person Widerspruch einlegt. Es ist unwahrscheinlich, dass ein US-Bürger einer Vorladung widerspricht, vor allem, wenn er seinem Arbeitgeber die Existenz der Vorladung nicht mitteilen darf (in diesem Fall könnte der Arbeitgeber im Namen des Arbeitnehmers Widerspruch gegen die Vorladung einlegen).“

In der Praxis müsse der US-Bürger verstehen, dass er nicht verpflichtet ist, der Anordnung Folge zu leisten, sich unabhängig einen Rechtsbeistand suchen und der Forderung widersprechen. „Sollte der US-Bürger der Offenlegungsanordnung nicht widersprechen oder mit dem Widerspruch scheitern, kann er möglicherweise nicht zwischen lokal gespeicherten und aus der Ferne verfügbaren Informationen unterscheiden (das heißt, er versteht nicht, in welchem Umfang er Daten bereitstellen muss). Infolgedessen besteht die Gefahr, dass ein Angestellter, dem eine Offenlegungsanordnung zugestellt wird, einfach eine beliebige Menge an Informationen von Servern in der EU abruft und sie als Reaktion auf eine behördliche Aufforderung herausgibt, ohne den Arbeitgeber in der EU jemals zu benachrichtigen", so das Memo.

„Die theoretischen Risiken einer erzwungenen Offenlegung gegenüber den US-Behörden können von den für die Datenverarbeitung Verantwortlichen und den Datenverarbeitern in Europa und im Vereinigten Königreich nicht ignoriert werden“, so Wouter Seinen, Datenschutzexperte bei Pinsent Masons in Amsterdam. „Es ist wichtig, das praktische Risiko, einer solchen Offenlegungsanordnung ausgesetzt zu sein, zu bewerten und zu dokumentieren. Dies wird ein immer wichtigerer Aspekt beim Aufbau von Argumenten für eine gesetzeskonforme Datenübermittlung an Unternehmensgruppen und andere Datenempfänger mit einer starken Verbindung zu den USA, wie beispielsweise Unternehmen mit einem US-Mehrheitsaktionär oder US-Bürgern in Schlüsselpositionen.“

Nach Ansicht des NCSC sollten Unternehmen in der EU damit rechnen, dass die Anwendung extraterritorialer Rechtsvorschriften weiter zunehmen wird. „Unternehmen und Organisationen sind tatsächlich immer weniger in der Lage zu garantieren oder sicherzustellen, dass die von ihnen verarbeiteten Informationen ausreichend vor dem Zugriff ausländischer, außereuropäischer Mächte geschützt sind“, so Paul van den Berg vom NCSC.