Der „Clarifying Lawful Overseas Use of Data Act“ (Cloud-Act) hat nicht zwingend etwas mit Cloud-Computing zu tun, kann es aber betreffen. Das Gesetz stellt klar, dass ein Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste, der dem Recht der USA untersteht (US-Anbieter), auf behördliche Anordnung hin in seiner Kontrolle, Besitz oder Obhut befindliche Inhalte seiner Kunden offenzulegen hat. Diese Pflicht besteht unabhängig vom jeweiligen Speicherort. Ein Rechtshilfeabkommen verlangt der Cloud-Act nicht. Daten werden so behandelt, als seien sie innerhalb der USA gespeichert.

Nach dem Cloud-Act können sich US-Anbieter gegen eine Herausgabeaufforderung wehren, wenn:

1. Der betreffende Kunde etwa kein US-Bürger, nicht in den USA wohnhaft oder dort zum dauerhaften Aufenthalt berechtigt ist.
2. Die Herausgabe das Recht eines Staates verletzen würde, mit dem ein spezielles Durchführungsabkommen geschlossen worden ist. Ein solches Abkommen ist also Voraussetzung für einen Widerspruch.

Gleichzeitig können sich US-Anbieter auf ein Durchführungsabkommen berufen, wenn sie der Forderung von ausländischen Behörden, beispielsweise aus Deutschland, nachkommen und Daten, die in den USA liegen, herausgeben. So vorzugehen, ist aber daten- und geheimnisschutzrechtlich bedenklich.

Die Datenschutzgrundverordnung (DSGVO) schützt personenbezogene Daten. Zum einen müssen Unternehmen mit Sitz in der EU oder dem europäischen Wirtschaftsraum die DSGVO beachten. Zum anderen muss die DSGVO aber auch einhalten, wer lediglich seine Dienste auf dieses Gebiet ausrichtet. Ein US-Anbieter, der seine Dienste innerhalb der EU anbietet, muss das also DSGVO-konform tun.

Art. 48 DSGVO sieht vor, dass die Anerkennung und Vollstreckung von Verwaltungs- und Gerichtsentscheidungen aus einem Nicht-EU-Staat entweder aufgrund einer Regelung in Kapitel 5 der DSGVO oder auf Grundlage einer internationalen Übereinkunft erfolgen kann.
Kapitel 5 der DSGVO wiederum sieht diverse Möglichkeiten vor, um Daten in Drittstaaten zu übermitteln. Zum Beispiel:

1. Die betroffene Person könnte beispielsweise in die Offenlegung an die Behörde einwilligen. Wobei sich dann Zweifel an der Freiwilligkeit der Einwilligung aufdrängen. Freiwilligkeit ist aber essenziell für eine DSGVO-Einwilligung. Außerdem dürften Herausgabeanordnungen häufig mit der Forderung, diese geheim zu halten, einhergehen.
2. Umstritten ist, ob Privacy-Shield (ein Selbstzertifizierungsmechanismus für US-Unternehmen, der die B2B-Übermittlung von Daten aus der EU rechtfertigt) oder Model-Clauses (Standardvertragsklauseln der EU Kommission, die zwischen dem US-Anbieter und dem Kunden in der EU abgeschlossen werden müssen) eine Herausgabe an US-Behörden rechtfertigen können. Beide Instrumente sehen das in jedem Fall ausdrücklich, aber nicht unbegrenzt, vor.

Wenn keine Rechtfertigung greift, ist die Herausgabe von Daten an US-Behörden gemäß Art. 48 DSGVO nur auf Grundlage eines völkerrechtlichen Abkommens zulässig. Für eine Herausgabe des US-Anbieters direkt an eine US-Behörde fehlt ein solches Abkommen.

Umstritten ist, ob ein Durchführungsabkommen gemäß dem Cloud-Act für Art. 48 DSGVO überhaupt genügt. Auf jeden Fall sollte eine solche Vereinbarung die hohen Standards der DSGVO auf die US-Behörde ausdehnen. Diese sollte etwa verpflichtet sein, die Daten, wenn der Grund für ihre Übermittlung und Speicherung weggefallen ist, zu löschen. Angenommen, ein Verfahren wäre abgeschlossen, dann müssten die US-Behörden gezwungen sein, die entsprechend übermittelten Daten auch wieder zu löschen.

Auch US-Cloud-Anbieter machen sich für mehr Schutz der Daten stark. So hat etwa Microsoft sechs grundlegende Prinzipien veröffentlicht, an denen sich internationale Abkommen orientieren sollen. Die Antwort der EU auf diese Vorschläge ist der Entwurf einer E-Evidence-Verordnung. Sie soll Grundlage für ein Durchführungsabkommen sein. Da sich die Verordnung jedoch in wesentlichen Punkten vom Cloud-Act unterscheidet, dürfte eine Einigung zwischen der EU und den USA schwierig werden. Trotzdem hat der österreichische Vorsitz des Europäischen Rates angekündigt, noch in diesem Jahr ein Durchführungsabkommen mit den USA abzuschließen.

Wird nun ein US-Unternehmen auf Grundlage des Cloud-Acts aufgefordert, in der EU gespeicherte Daten offenzulegen, kann sich der Anbieter in einer Zwickmühle befinden: Der Cloud-Act zwingt ihn zur Herausgabe. Das fehlende Durchführungsabkommen hindert ihn daran.

Zunächst sollte geprüft werden, ob eine Grundlage nach Kapitel 5 der DSGVO (gegebenenfalls in Verbindung mit weiteren Anforderungen) die Offenlegung rechtfertigt. Kann die Offenlegung nicht damit begründet werden, wird es jedoch voraussichtlich bis Ende des Jahres durch das geplante Durchführungsabkommen geschehen. Dieses würde für Rechtssicherheit sorgen.

Ob ein Treuhand-Modell davor schützt, Daten herausgeben zu müssen, ist nicht gesagt. Microsoft hatte ein solches Modell angeboten, bei dem ein anderes Unternehmen die Daten in Deutschland verarbeitet hatte. Der Dienst ist jedoch mittlerweile aufgrund mangelnder Nachfrage eingestellt worden. Um einen möglichen Schutz zu klären, müsste ein US-Gericht davon überzeugt sein, dass bei einem solchen Modell die Daten weder in der Kontrolle noch im Besitz oder in der Obhut des US-Anbieters sind. Dasselbe gilt für Konstellationen mit amerikanischen Muttergesellschaften und ihren Töchtern innerhalb der EU. Diese Situation lässt sich vertraglich nur schwer abbilden. Denkbar ist Folgendes:

Im Vertrag sollte vereinbart werden, dass der US-Anbieter dem Kunden eine behördliche Herausgabeanordnung aus den USA mitteilen muss. Weil eine Anordnung jedoch nicht selten mit der Verpflichtung der US-Anbieter zur Geheimhaltung verbunden ist, bieten manche US-Anbieter alternative Informationsmechanismen, zum Beispiel Zähler, die bei jeder Herausgabeanordnung auf null gesetzt werden. Zudem empfiehlt das Privacy-Shield US-Anbietern, (freiwillige) Transparenzberichte zu erstellen. Auch sie können Licht ins Dunkel bringen.

Unternehmen sollten sich darüber klar werden, ob sie den Ort der Datenverarbeitung vertraglich beschränken wollen und können. Eine solche vertragliche Regelung wird zum Teil in Zertifizierungskatalogen gefordert, wie etwa dem Katalog der DSGVO-Zertifizierung des Auditor-Forschungsprojekts. So sieht der Auditor-Katalog beispielsweise vor, dass die Parteien eines Cloud-Vertrages vertraglich vereinbaren müssen, dass der Cloud-Anbieter Veränderungen des Ortes der Datenverarbeitung mitteilen muss. Wesentliche Änderungen beim Cloud-Dienst sollen den Cloud-Kunden sogar zur Kündigung berechtigen.

Durch Monitoring-Mechanismen kann der Speicherort von Daten überwacht und eingegrenzt werden.

Da sich der Cloud-Act auf Kontrolle, Gewahrsam und Obhut der Daten bezieht, sollte geprüft werden, ob diese durch technische Maßnahmen geschützt werden können, die dafür sorgen, dass ein Unternehmen (selbst) keine Kontrolle über die jeweiligen Daten hat (zum Beispiel durch Versiegelung der Cloud).

Die bereits erwähnte Auditor-Zertifizierung von Cloud-Computing-Angeboten ist zwar noch nicht marktreif, birgt aber Potenzial, als Nachweis für Aufsichtsbehörden zu dienen. Der Kunde kann eine solche Zertifizierung vorlegen und damit seine Verordnungskonformität einfacher nachweisen.

Fordert eine US-Behörde einen Cloud-Anbieter auf, personenbezogene Daten eines Kunden herauszugeben, sollte der Cloud-Anbieter der Anordnung nicht blind nachkommen, sondern zunächst prüfen, ob ihn das EU-Recht zur Herausgabe berechtigt. EU und USA arbeiten an einem Exekutivabkommen, das Rechtssicherheit bringen soll. Bis zu einem solchen Abkommen können und sollten deutsche Unternehmen bereits etwas tun.