Die Online-Datenspeicherung ist auf dem Vormarsch. Die Marktführer sind natürlich Amerikaner. Mit Anbietern wie Google Drive, iCloud oder Dropbox sind die Unternehmen von jenseits des Atlantiks führend.
Obwohl ihre Dienstleistungen von hoher Qualität sind, ist es nicht sicher, dass sie nicht aufgrund ihrer Nationalität sündigen. Die Online-Speicherung von Unternehmensdaten bei US-amerikanischen Anbietern könnte ein großer Fehler sein.
Die USA sind heute die größte Macht der Welt, sowohl in militärischer, wirtschaftlicher und industrieller Hinsicht. Damit nimmt die Regierung der USA Vorrechte in Anspruch, die sie der gesamten internationalen Gemeinschaft aufzwingen kann.
In diesem Fall sind die amerikanischen Gesetze, wie der Patriot Act oder der Cloud Act, der bewaffnete Arm einer Regierungspolitik, die auf nicht-amerikanische Bürger angewendet wird. Mit anderen Worten, je nach Ihrer Wahl haben die US-Regierung und die US-Justiz Autorität über Sie und Ihre Daten.
Man könnte meinen, dass die Vereinigten Staaten von Amerika als Speerspitze der Demokratie in der Welt das beste politische System haben, insbesondere in der Theorie und der verfassungsrechtlichen Praxis der Gewichte und Gegengewichte. Das heißt, die erfolgreichste Gewaltenteilung, die Staatstheoretikern wie Montesquieu so sehr am Herzen liegt.
Die Realität ist nicht ganz so. Die Gesetze zur Massenüberwachung, die von den USA seit der zweiten Hälfte des 20. Jahrhunderts eingeführt wurden und im Cloud Act von 2018 gipfelten, scheinen nicht nur gegen die Verfassung der USA zu verstoßen, sondern auch gegen die klassische Auffassung von Rechtsstaatlichkeit. Mit anderen Worten, jeder andere Staat, der solche gesetzlichen Regelungen einführt, würde wahrscheinlich sofort als Polizeistaat bezeichnet werden.
Neben dem Patriot Act und dem Cloud Act stützen sich die USA in ihrem Rechtssystem noch auf ein Gesetz und einen Erlass des Präsidenten: den Foreign Intelligence Surveillance Act und die Executive Order. Wir werden Ihnen anhand dieser Gesetzestexte erklären, warum es eine riskante Entscheidung ist, Ihre Daten in einer von einem US-Unternehmen betriebenen Cloud zu speichern. Zu diesem Zweck werden wir die Gesetze untersuchen, die für Sie gelten werden, sobald Sie sich für diesen Schritt entschieden haben.
Was ist der Patriot Act und wie funktionieren die Bedingungen für die Extraterritorialität?
Der Patriot Act ist ein amerikanisches Gesetz zur inneren Sicherheit, das nur 45 Tage nach den Anschlägen vom 11. September 2001 verabschiedet wurde. Das heißt, in Eile und von einem Kongress, der noch immer von den Ereignissen in New York traumatisiert ist.
Das Ergebnis ist ein Blankoscheck für die Polizeibehörden, um Ermittlungen durchzuführen. Warum ist das so? Weil, obwohl ein richterlicher Beschluss erforderlich ist, der Richter sich nicht mehr mit dem Argument des Fehlens einer „wahrscheinlichen Ursache“ (probable cause) dagegen wehren kann.
Folglich können alle Ihre Daten beschlagnahmt werden, ohne dass Sie davon Kenntnis haben oder ein US-Richter Einspruch erheben kann. Denken Sie nicht, dass die US-Verfassung eine große Hilfe ist, denn nach Angaben des US-Justizministeriums kodifiziert der Patriot Act lediglich die bereits vom Obersten Gerichtshof anerkannte Rechtsprechung.
So entschied der Patriot Court beispielsweise 1979, dass das Argument der Verfassungswidrigkeit geheimer Durchsuchungen „frivol“ sei. Zwölf Jahre zuvor hatte er bereits entschieden, dass Polizeibeamte den Beschuldigten nicht über den Grund oder die Gründe für eine Hausdurchsuchung informieren müssen.
Was jedoch für ein französisches oder europäisches Unternehmen neu am Patriot Act ist, ist seine extraterritoriale Anwendung. Das heißt, sobald Ihr Unternehmen verdächtigt wird, Verbindungen zu einer Einzelperson oder einer terroristischen Vereinigung zu unterhalten, die das amerikanische Hoheitsgebiet oder seine Interessen bedroht, kann das gesamte Verwaltungsarsenal gegen Sie in Gang gesetzt werden.
Denken Sie nicht, dass Sie sich dem entziehen können, selbst wenn Sie nicht vorhaben, Verbindungen zu terroristischen Gruppen oder zu einem Kunden aufzubauen, dessen radikale Ansichten Ihnen entgangen sind. Wir werden sehen, dass die Umsetzung des Patriot Act in die Praxis weit weniger eindeutig ist, als es den Anschein hat. Bevor wir dies tun, werfen wir einen Blick auf ein anderes sicherheitsrelevantes Gegenstück: den Cloud Act.
Was ist der Cloud Act?
Der Cloud Act wurde 2018 verabschiedet, um den freien Zugang der US-Behörden zu den Daten der Nutzer von Online-Datenspeicherlösungen zu verbessern.
Offiziell wird er vom Justizministerium so dargestellt, dass er es den Behörden von Drittstaaten ermöglicht, jedes US-Unternehmen, das Daten hostet, anzufordern, um im Rahmen von Strafverfahren Einblick in diese Daten zu erhalten.
Im Einzelnen ermöglicht es vor allem jeder US-Behörde, Daten über jeden Nutzer zu erhalten, wenn diese Daten in den USA gespeichert sind:
– entweder in den USA gespeichert sind,
– oder von einem US-Unternehmen in einem beliebigen Land der Welt gespeichert werden,
– dies alles ohne dass jemand außer dem ersuchten Unternehmen und der interessierten Regierung davon Kenntnis hat.
Diese jüngste Entwicklung in der US-Gesetzgebung ist nicht das einzige Instrument, das der US-Regierung zur Verfügung steht.
Was ist der FISA (Foreign Intelligence Surveillance Act)?
Der FISA wurde 1978 vom Kongress verabschiedet, um die Praktiken der Bundesbehörden im Bereich der Überwachungsaktivitäten zu regeln. Wie der Patriot Act war das Gesetz darauf ausgerichtet, bereits bestehende Praktiken zu kodifizieren.
Abschnitt 702, der 2008 hinzugefügt wurde, verpflichtet US-Unternehmen, die gezielte Überwachung einer Person außerhalb des US-Territoriums zu erleichtern.
Das Gesetz zielt insbesondere auf Nicht-US-Bürger ab, die verdächtigt werden, Informationen zu besitzen, zu empfangen oder weiterzugeben, die für die Spionageabwehr relevant sind. Sein Anwendungsbereich ist wie der Patriot Act offiziell auf den Kampf gegen den internationalen Terrorismus ausgerichtet.
Die Executive Order oder der Präsidialerlass 12333
Die Executive Order 12333, die 1981 von Ronald Reagan unterzeichnet wurde, ist, wie die Washington Post berichtet, ein Dokument, das in Abschnitt 215 des Patriot Act noch mehr Möglichkeiten als der Patriot Act bietet.
Allerdings gilt die Präsidialverordnung 12333 dieses Mal nur für US-Bürger, die im Ausland leben. Dies ermöglicht es den US-Geheimdiensten dennoch, Ihre Daten abzugreifen, wenn sie an einem Ihrer US-Kunden interessiert sind.
Im Rahmen dieses Dekrets werden alle Daten, die von den US-Geheimdiensten beschlagnahmt werden, ohne richterliche Anordnung und somit ohne Kontrolle durch einen Richter oder den Kongress beschlagnahmt.
Sie werden also verstehen, dass das Recht nicht immer die Garantie des Schwächeren gegen die Macht des Stärkeren ist. Es ist bei weitem nicht immer ein Schutz der individuellen Freiheiten oder, weiter gefasst, der öffentlichen Freiheiten als Ganzes. Dies gilt insbesondere, wenn es um die Anwendung und damit um die Auslegung des Rechts geht.
Das Recht existiert nur durch seine Auslegung
Ein gutes Verständnis des Rechts kann niemals durch das bloße Lesen eines Gesetzes erreicht werden. Warum ist das so? Weil die wörtliche Anwendung eines Gesetzes immer unmöglich ist. Mit anderen Worten, um die Bedeutung eines Gesetzestextes zu verstehen, muss man seine Anwendung richtig verstehen. Dies ist das Problem mit dem Patriot Act und dem Cloud Act der Vereinigten Staaten.
Wenn der Patriot Act den Begriff „verdächtige Aktivitäten“ erwähnt, wie werden diese Aktivitäten definiert? Was soll mit diesem Konzept erreicht werden? Es ist eine Frage der Auslegung, ob eine bestimmte Aktivität als verdächtig eingestuft wird. Das Problem ist, dass jede Behörde ihre eigene Interpretation dieses Gesetzes vornimmt, und zwar auf eine völlig geheime Art und Weise.
Das bedeutet, dass, sobald Ihre Daten bei einer US-Firma gespeichert sind, alle Ihre Daten dem Ermessen von Behörden wie der CIA, der NSA, dem Finanzministerium, um nur die bekanntesten zu nennen, zugänglich sind. Langweilig, nicht wahr? Und denken Sie nicht, dass Sie vor Ermittlungen sicher sind, nur weil Sie kein Krimineller oder Terrorist sind.
Der Hauptzweck dieses Gesetzesarsenals besteht nicht darin, Terroristen zu jagen, sondern den freien Wettbewerb zu verzerren. Sie dachten, die USA seien der Inbegriff des freien Handels? Da lagen Sie falsch.
Übrigens geht es bei der Datenerhebung nicht nur um die Daten Ihrer Kunden. Nicht umsonst ist auch die US-Finanzbehörde an der Datenerfassung interessiert. Der FCPA wird Ihnen zeigen, dass die Speicherung Ihrer digitalen Daten Sie definitiv teuer zu stehen kommen kann.
Der FCPA-Act oder die neue Steuer für nicht-amerikanische Unternehmen
Das 1977 verabschiedete Gesetz gegen die internationale Bestechung von Amtsträgern (Foreign Corrupt Practice Act) ermöglicht es der US-Justiz, Unternehmen zu erheblichen Strafzahlungen zu verurteilen. So zahlte Alstom im Jahr 2014 772 Mio. USD, Siemens 800 Mio. USD im Jahr 2008, Daimler 185 Mio. USD im Jahr 2010 und Alcatel-Lucent 137 Mio. USD im Jahr 2010. Dies ist nur ein kleiner Teil der größten Beträge.
Wie werden die Beweise Ihrer Meinung nach erbracht? Mit allen Mitteln, einschließlich der Daten, die Sie in Ihrer Cloud haben. Wenn Sie glauben, dass Sie sicher sind, weil Sie keine Tochtergesellschaften oder Mitarbeiter in den USA haben, sollten Sie wissen, dass der FCPA Anwendung findet, sobald amerikanische Interessen auf dem Spiel stehen. Auch hier ist der Begriff „US-Interessen“ auslegungsbedürftig, und es geht nicht um Ihre Interessen.
Im Lichte all dieser Informationen über die US-Gesetzgebung scheint die Option einer von einem französischen oder europäischen Unternehmen verwalteten Cloud auf europäischem Boden mehr als interessant zu sein. Dennoch ist es notwendig, einen Blick auf die berühmte RGPD zu werfen.
Die DSGVO im Lichte des französischen und des europäischen Rechts
Die Allgemeine Datenschutzverordnung (DSGVO) wurde von der Europäischen Union verabschiedet, um die Sicherheit der Daten zu gewährleisten, die die Nutzer im Internet den auf europäischem Boden tätigen Unternehmen anvertrauen.
Es ist wichtig, sich mit den Pflichten des für die Verarbeitung der Daten seiner Nutzer verantwortlichen Unternehmens und den damit verbundenen Sanktionen zu befassen, bevor wir seine Rolle bei der Übertragung von Daten, insbesondere in die USA, verstehen.
Die Pflichten des für die Datenverarbeitung Verantwortlichen
Die DSGVO stellt insbesondere sicher, dass die Rechte des Kindes im Zusammenhang mit der Datenerhebung verteidigt werden. Während die Erhebung von Daten von Kindern unter 13 Jahren weiterhin verboten ist, ist sie bei Kindern zwischen 13 und 16 Jahren nur mit der Zustimmung der Eltern erlaubt und wenn sie sich auf einen Dienst bezieht, der direkt für Kinder bestimmt ist.
Die DSGVO verpflichtet den für die Datenverarbeitung Verantwortlichen auch dazu, nur die Daten zu sammeln, die für den Zweck der Sammlung unbedingt erforderlich sind, und sicherzustellen, dass er die Daten auf Antrag der betroffenen Person löschen kann.
Die Einhaltung aller durch die DSGVO auferlegten Verpflichtungen kann zur Erteilung eines Zertifikats durch die Aufsichtsbehörde führen. Dieses Zertifikat ist für einen Zeitraum von drei Jahren gültig und kann verlängert werden.
Für weitere Informationen über die Einzelheiten der DSGVO hat die CNIL (Commission nationale de l’informatique et des libertés) einen Leitfaden für sehr kleine Unternehmen (TPE) und kleine und mittlere Unternehmen (KMU) online gestellt. In diesem Leitfaden erfahren Sie unter anderem, wie Sie Ihre Dateien auflisten, Ihre Daten sortieren und Ihre Dateien sichern können.
Bei Nichteinhaltung der Verpflichtungen der DSGVO drohen dem Unternehmen sehr hohe Geldstrafen.
Sanktionen bei Verstößen
In Frankreich kann die CNIL einen Fall auf drei Arten behandeln:
– nach einer Beschwerde von Nutzern direkt auf der Website der CNIL,
– nach einer Kontrolle der Website oder des Unternehmens,
– nach einer Datenverletzung.
Die CNIL verfügt dann über das gesamte Spektrum an Sanktionen, das von einer öffentlichen Mitteilung auf der Webseite der CNIL bis hin zu einer finanziellen Strafe von bis zu 20.000.000 EUR oder 4% des weltweiten Umsatzes im vorangegangenen Geschäftsjahr reicht.
So verurteilte die CNIL Google zur Zahlung einer Geldstrafe in Höhe von 150 Mio. EUR aufgrund seiner Cookie-Politik bei Google und Youtube. Die CNIL warf dem amerikanischen Unternehmen vor, dass die Nutzer Cookies nicht so einfach ablehnen können, wie sie es akzeptieren können.
Am selben Tag, d.h. am 31. Dezember 2021, verhängte die CNIL auch gegen Facebook eine Strafe in Höhe von 60 Mio. EUR aus ähnlichen Gründen, die zur Strafe gegen Google führten.
Diese hohen Strafen machen deutlich, wie wichtig die Frage des Datenschutzes in Europa ist. In einer globalisierten Welt, in der insbesondere im Internet alle Netzwerke ineinander greifen, macht die gemeinsame Nutzung von Daten die Artikulation des Datenschutzes jedoch etwas komplexer.
Von Privacy Shield bis Shrem II, der Richter wird zum Hüter der persönlichen Daten
Daten, die in Europa gesammelt werden, können an Drittstaaten weitergegeben werden. Dies ist insbesondere zwischen Europa und den Vereinigten Staaten der Fall, wenn eine Muttergesellschaft personenbezogene Daten an eine Tochtergesellschaft oder auf einen anderen Server überträgt.
Von 2016 bis 2020 wurden die Vorschriften für diese Datenübermittlung von der Europäischen Union in die USA durch das Privacy Shield geregelt. Dabei handelte es sich um einen bilateralen Vertrag, der europäischen Nutzern Garantien hinsichtlich der Verarbeitung ihrer personenbezogenen Daten in den USA bot.
Diese Datenschutzgarantie war jedoch auf der US-Seite nicht so effektiv, wie der Vertrag es suggerieren wollte. Ein österreichischer Anwalt namens Schrem verklagte Facebook Ireland wegen des mangelnden Schutzes seiner persönlichen Daten, die ganz oder teilweise in die USA übertragen wurden, wie die aller Nutzer dieses sozialen Netzwerks.
Der Gerichtshof der Europäischen Union gab dem Kläger in einem als Schrems II bekannten Urteil Recht und beendete damit das Privacy Shield. Die Hauptargumente des Urteils beziehen sich auf den leichten Zugang der US-Behörden und ihrer Geheimdienste zu den übermittelten personenbezogenen Daten.
Innerhalb Frankreichs haben sich Verbände gegen die Datensammlung durch die Regierung ausgesprochen. So musste sich der Staatsrat insbesondere zu der Partnerschaft zwischen dem Staat und der Plattform Doctolib im Rahmen der Impftermine gegen Covid 19 äußern.
Der Staatsrat lehnte die Klage der Verbände ab, nachdem er die Qualität der Datensicherung überprüft hatte, da keine medizinischen Daten gesammelt wurden.
In ähnlicher Weise klagten Vereinigungen wie La Quadrature du Net vor dem Staatsrat gegen das Dekret vom 25. Februar 2011, das Internetdienstanbietern die Speicherung digitaler Daten auferlegt.
Die Verwaltungsrichter wiesen ihre Argumente aus Gründen der nationalen Sicherheit, der Verteidigung der grundlegenden Interessen der Nation und der Bekämpfung der Kriminalität zurück.
Es ist jedoch für die europäischen Strafverfolgungsbehörden nicht möglich, einen Internetprovider oder ein Unternehmen ohne die vorherige Genehmigung eines Richters zu requirieren. Es ist der Magistrat, der die Nützlichkeit eines solchen Ersuchens im Rahmen der Ermittlungen, über die die Ermittler berichten, beurteilt.
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass die Situation in Europa in Bezug auf die Verarbeitung von Daten und den Zugang zu diesen Daten durch die Behörden, unabhängig davon, ob sie in die Zuständigkeit der Innen- oder Justizministerien der EU-Mitgliedstaaten fallen, stark eingeschränkt ist. Es gibt in Europa keine Gesetze, die mit den US-amerikanischen Gesetzen in diesem Bereich vergleichbar sind.
Wenn ein Unternehmen Daten online über Cloud-Lösungen speichern möchte, ist es daher wichtig, einen europäischen Anbieter zu wählen, der die Daten auf europäischem Boden speichert.
In diesem Fall muss auch sichergestellt werden, dass das Unternehmen die Daten nicht an eine Tochtergesellschaft weiterleitet, die in einem Land außerhalb der Europäischen Union, insbesondere in den Vereinigten Staaten, ansässig ist. So können die extraterritorialen Gesetze der USA nur sehr schwer auf ein Unternehmen angewendet werden, das keine Verbindung zu diesem Land hat.
Die Speicherung von Daten durch amerikanische Unternehmen öffnet die Tür für Industriespionage und unfaire Wettbewerbspraktiken der High-Tech-Branche. Wir haben gesehen, dass die US-Regierung, unterstützt von der Justiz, bei Siemens, Alcatel-Lucent und Alstom vor nichts zurückschreckt, um den Wettbewerb mit diesen Unternehmen zu schwächen.
Wir sollten also nicht den Stab über uns selbst ausbreiten, um uns schlagen zu lassen.
