Der Cloud Act ist ein US-amerikanischer Act der sich mit dem Zugriff von US-Behörden auf im Ausland gespeicherte Daten von US-Unternehmen sowie dem Zugriff ausländischer Behörden auf in den USA gespeicherte Daten befasst. Er erging im Rahmen eines haushaltsrechtlichen Acts. Dem vorausgegangen war ein Verfahren der US-Regierung gegen Microsoft wegen der Herausgabe von in Irland gespeicherten Daten. Konkret ging es hierbei um das E-Mail-Postfach eines Outlook-Nutzers, der des Drogenhandels verdächtigt wurde. Seine Daten waren auf einem irischen Server gespeichert. Microsoft widersetzte sich zunächst dem Herausgabeverlangen mit der Begründung, dessen Rechtmäßigkeit habe sich nach irischem Recht zu richten. Nachdem ein Gericht die Herausgabe der Daten gegenüber Microsoft angeordnet hatte, hob das Berufungsgericht diese Entscheidung wieder auf. Die US-Regierung ging hiergegen wiederum vor und brachte die Sache vor den Supreme Court. Dessen Entscheidung kam man mit dem Erlass des Cloud Act jedoch zuvor. Auf Antrag der US-Regierung wurde das Verfahren vom Supreme Court daraufhin eingestellt.
Wozu gibt es eigentlich den Cloud Act und was regelt dieser?
Der Cloud Act beruht auf den Erwägungen, dass Bemühungen der Regierung der Vereinigten Staaten zum Schutz der öffentlichen Sicherheit durch die Unfähigkeit, auf außerhalb der Vereinigten Staaten gespeicherte aber in der Obhut von US-Dienstleistern befindliche Daten zuzugreifen, behindert werden. Zudem gäbe es vermehrt Anfragen ausländischer Regierungen auf die Daten von US-Dienstleistern zu Zwecken der Kriminalitätsbekämpfung zugreifen zu dürfen. Die US-Dienstleister würden hierdurch in eine schwierige Situation gebracht, da entweder ausländisches Recht die Herausgabe von Daten verlangen kann, die nach US-amerikanischem Recht nicht herausgegeben werden dürfen, oder die Herausgabe an US-Behörden nach ausländischem Recht verboten sein kann. Diese potentiellen Probleme widersprüchlicher Verpflichtungen sollen nun durch internationale Abkommen gelöst werden. (Vgl. hierzu „congressial findings“ zum Cloud Act)
Konkret geht es um eine Änderung des „United States Code“ (USC), der eine Sammlung und Kodifikation des allgemeinen und permanenten Bundesrechts der Vereinigten Staaten darstellt. Straf- und Strafprozessrechtliche Fragen sind dort in Titel 18 geregelt, der wiederum 601 Kapitel enthält. Das 121. Kapitel besteht aus den Paragraphen 2701-2712 und beschäftigt sich mit dem staatlichen Zugriff auf elektronisch gespeicherte Daten.
Hier wird an den § 2703 (Required disclosure of customer communications or records) der bisher aus den Absätzen (a) – (g) bestand ein weiterer Absatz (h) eingefügt. Dieser Absatz ist das Kernstück des Cloud Act und beschreibt ein besonderes gerichtliches Verfahren, das im Falle einer oben beschriebenen Konfliktsituation Anwendung finden soll. Dieses Verfahren ist speziell für solche Fälle vorgesehen und auf anderem Wege kann ein Unternehmen nun nicht mehr die Herausgabe von Daten mit der Begründung verweigern, dass das Recht des Landes in dem die Daten gespeichert sind, entgegen steht.
Welche Voraussetzungen müssen gegeben sein?
Antragsvoraussetzung für dieses Verfahren ist zunächst, dass der zur Herausgabe aufgeforderte Dienstleister vernünftigerweise davon ausgeht, dass es sich bei dem Betroffenen nicht um einen US-Bürger handelt und, dass eine Herausgabe mit erheblicher Wahrscheinlichkeit gegen das ausländische Recht eines Staates verstoßen würde, der sich zuvor im Sinne des Cloud Act qualifiziert hat (Zur Qualifizierung eines ausländischen Staates ist es notwendig, dass sich der Staat zuvor in einem bilateralen Vertrag verpflichtet, bestimmte grundrechtliche und rechtsstaatliche Voraussetzungen zu erfüllen, insbesondere bezüglich Datenschutz und Privatsphäre. Zudem muss ein dem Cloud Act vergleichbarer Rechtsschutz geschaffen werden.)
Anschließend wird – nachdem der Behörde, die die Daten verlangt, Gelegenheit zur Stellungnahme gegeben wurde – durch das Gericht eine umfangreiche Abwägung vorgenommen, ob im Hinblick auf die Gesamtheit der Umstände die Interessen der Justiz sowie die Schwere des Verstoßes gegen das ausländische Recht eine Aufhebung oder Abänderung des Herausgabeverlangens erforderlich ist. Dies jedoch nur, wenn der Betroffene tatsächlich kein US-Bürger ist und nicht in den USA lebt.
Bei dieser Abwägung sollen dann „soweit angemessen“ berücksichtigt werden:
- die Interessen der Vereinigten Staaten, einschließlich der Untersuchungsinteressen der Regierungsstelle, die die Offenlegung verlangt
- die Interessen der qualifizierten ausländischen Regierung an der Verhinderung einer verbotenen Offenlegung
- die Wahrscheinlichkeit, den Umfang und die Art der Sanktionen gegen den Anbieter oder Mitarbeiter des Anbieters aufgrund uneinheitlicher gesetzlicher Anforderungen
- falls bekannt, den Ort und die Nationalität des Betroffenen, dessen Kommunikation herausverlangt wird und die Art und den Umfang seiner Verbindung mit den USA bzw. mit dem Staat, der die Herausgabe verlangt
- Art und Umfang der Verbindungen und der Präsenz des Anbieters in den Vereinigten Staaten
- die Bedeutung für die Untersuchung der zu veröffentlichenden Informationen
- die Wahrscheinlichkeit eines rechtzeitigen und effektiven Zugangs zu den Informationen, die durch Mittel offengelegt werden müssen, die weniger schwerwiegende negative Folgen haben würden
- ggf. die Untersuchungsinteressen der ausländischen Behörde, die ein Rechtshilfeersuchen stellt
Ausblick
Grundsätzlich entfaltet das Verfahren Suspensivwirkung (die Daten dürfen jedoch keinesfalls gelöscht werden). Das Gericht kann diese aber aufheben, wenn eine sofortige Vorlage zur Abwendung eines Schadens erforderlich ist. Offen sind die Auswirkungen auf den Datenverkehr mit der EU. Wenn die EU sich entsprechend qualifizieren lässt (wovon ausgegangen werden kann) ließe sich eine DSGVO-Konformität durch einen Angemessenheitsbeschluss der Kommission herstellen. Es könnte sich zudem auch um eine Zusammenarbeit nach Art. 50 handeln.