US-Gesetz höhlt Datenschutz aus: Cloud Act legalisiert Datenzugriff

Das jüngst verabschiedete US-Haushaltsgesetz enthält eine Passage, die massive Eingriffe in den Datenschutz zur Folge haben könnte.

(Foto: rcfotostock - Fotolia)

Im Schnellverfahren haben die USA ein Gesetz verabschiedet, das US-Behörden den Zugriff auf ausländische Server erlauben soll. Die USA haben den Cloud Act (Clarifying Lawful Overseas Use of Data Act) unerwartet rasch verabschiedet. Das Gesetz soll der Bekämpfung schwerer Straftaten dienen und regelt den staatlichen Zugriff auf im Ausland gespeicherte Daten. Darunter fallen etwa E-Mails, Online-Chats, Facebook-Einträge, Flickr- oder Instagram-Fotos sowie Snapchat-Videos. Das Gesetz wurde verabschiedet, ohne das es in der Öffentlichkeit diskutiert und analysiert wurde.

Das Gesetz sieht ferner vor, dass bilaterale Abkommen ausgearbeitet werden, die es ausländischen Behörden ermöglichen, Anfragen direkt an Konzerne zu stellen. Eine richterliche Anordnung wäre dann grundsätzlich nicht mehr erforderlich. Datenschützer sind alarmiert. Unternehmen in Ländern mit Abkommen auf Grundlage des Cloud Acts könnten bei Anfragen der US-Behörden zukünftig durch lokale Gesetze zur Herausgabe von Daten von US-Bürgern verpflichtet sein. Gleiches würde auch in dem umgekehrten Fall gelten, in dem Behörden im Ausland zur Verfolgung schwerer Straftaten auf in den USA gespeicherte Daten ihrer Bürger zugreifen wollen.

Die Auswirkungen des Cloud Act lassen sich bislang kaum absehen. Zu klären ist auch die Frage, ob das im Gesetz vorgesehene Verfahren kompatibel ist mit der Datenschutzgrundverordnung, die am 25. Mai in Kraft tritt. Dass die USA statt mit der EU nun bilaterale Abkommen mit einzelnen Ländern abschließen wollen, werfe eine Reihe rechtlicher Fragen auf und gewährleiste keine Rechtssicherheit, bemängelt EU-Justizkommissarin Věra Jourová und kritisiert das einseitige Vorgehen der Amerikaner.

Hintergrund des Cloud Act ist ein Streit aus dem Jahr 2013 über den Datenzugriff von Strafverfolgern, als Microsoft sich weigerte, die Kunden-Daten von einem Server aus Irland herauszugeben. Das Verfahren vor dem Supreme Court könnte nun ohne Urteil enden.