Aktualisiert am 30.03.2020 – und bitte unbedingt zur Kenntnis nehmen!
blog.cebit.de
Die Nennung des amerikanischen „Patriot Act“ löst bei vielen Unbehagen aus, steht das Gesetz doch für den potenziellen Zugriff von US-Behörden auf Cloud-Daten deutscher Unternehmen. Die Datenschützer wollen die Notbremse ziehen, europäische Politiker arbeiten schon an einem Gesetz. Was sollen deutsche Unternehmen nun tun? 
Als Microsoft und Google im Sommer 2011 bekannt gaben, dass sie verpflichtet seien, Daten aus EU-Rechenzentren an US-Behörden weiterzugeben und dies auch schon getan hätten, lösten sie viel Aufregung aus. Seither sind deutsche Unternehmen aufgrund der befürchteten Datenweitergabe verunsichert und fragen sich, ob sie Cloud-Angebote aus den USA überhaupt nutzen können. Diese Frage hat für das Cloud Computing in Deutschland große Bedeutung, denn Microsoft, Google und auch andere US-Unternehmen wie Amazon und Salesforce sind wichtige Cloud-Anbieter auf dem deutschen Markt. Ihre Angebote richten sich an Firmen aller Branchen, selbst deutsche SaaS-Anbieter (Software as a Service) nutzen häufig die Infrastructure-Dienste (IaaS) amerikanischer Provider.
Ursprung Terrorbekämpfung
Die USA haben die Befugnisse ihrer Geheimdienste und Ermittlungsbehörden im Jahr 2001 durch den USA Patriot Act beträchtlich erweitert. Wenn das FBI zur Terrorbekämpfung oder Spionageabwehr ermittelt, kann es nach Section 215 „Access to Records and Other Items Under the Foreign Intelligence Surveillance Act“ den Foreign Intelligence Surveillance Court (FISC) anrufen und über ihn Zugang zu Daten aller Art erhalten. Das Gericht erlässt hierzu einen Beschluss gegen eine Telefongesellschaft, einen Internet-Provider oder auch einen Cloud-Anbieter, der dann die bei ihm gespeicherten Daten herausgeben muss.
Weiterlesen bei: http://www.heise.de/ix/artikel/Zugriff-auf-Zuruf-1394430.html
Der Patriot Act und Datenschutz in der EU
Der Patriot Act – ein aussagekräftiger Name für ein Gesetz, welches nicht nur hiezulande schon für einigen Aufruhr sorgte.
Der Patriot Act existiert seit Oktober 2001 – und war eine der amerikanischen Antworten auf die Terroranschläge des 11. September. Der Name PATRIOT ist eine Abkürzung und steht für „Uniting (and) Strengthening America (by) Providing Appropriate Tools Required (to) Intercept (and) Obstruct Terrorism Act of 2001” (in etwa: Gesetz zur Stärkung und Einigung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu blockieren).
Seit der Einführung schlägt der Patriot Act hohe Wellen, auch in Europa. So berichteten viele Medien über die sich daraus ergebenden Folgen: Das Gesetz räumt weitreichende Befugnisse ein, insbesondere für die staatlichen Ermittlungsbehörden wie das FBI. Doch nicht nur auf die USA hat das Anti-Terror-Gesetz Auswirkungen. Auch der Datenschutz in der EU ist indirekt betroffen.
Der Patriot Act – ein Anti-Terror-Gesetz mit Auswirkungen
Dass die amerikanischen Datenschutzgesetze nicht denjenigen der EU entsprechen, ist gemeinhin bekannt – die USA gelten aus europäischer Sicht als „unsicherer Drittstaat“, für Datenübermittlungen in die USA werden Maßnahmen wie der Abschluss von EU-Standard-Verträgen oder Safe-Harbor-Zertifizierungen des Datenempfängers benötigt. Die weitreichenden Befugnisse durch den Patriot Act scheinen diese Sicht des „nicht angemessenen Schutzniveaus“ zu bestätigen.
Auch das Unabhängige Datenschutzzentrum Schleswig-Holstein (ULD) hat sich in einer Stellungnahme mit den rechtlichen Fragestellungen des Patriot Acts und den damit verbundenen Risiken für den europäischen und deutschen Datenschutz auseinandergesetzt.
Demnach können nicht nur deutsche Unternehmen, deren Muttergesellschaft in den USA sitzt, sondern auch Unternehmen, die aufgrund ihrer Konzernstruktur mit US-Unternehmen „verbandelt“ sind, zur Herausgabe bestimmter Daten aufgrund des Patriot Acts verpflichtet werden. Aber schon hier wird deutlich, dass es nicht nur der Patriot Act ist, der dazu führt, dass deutsche oder europäische Daten aufgrund einer Anordnung in die USA gehen müssen; auch andere Maßnahmen wie die „Bank of Nova Scotia Subpoena“ (BNS-Zwangsmaßnahme), bei der es um Ermittlungen im Bereich der Steuer-, Finanz-, Wirtschafts-, Drogen- und Organisierten Kriminalität geht.
In diesen Fällen spielen Einwendungen, die auf das europäische Datenschutzrecht verweisen, keine Rolle. Voraussetzung für eine endgültige Bestätigung einer solchen Anordnung ist, dass eine dringende Notwendigkeit des Beweises besteht und die Wahrscheinlichkeit besteht, dass andere Methoden erfolglos sein werden.
Doch schon bevor es den Patriot Act gab, hatten die amerikanischen Behörden gewisse Zugriffsrechte. Der Electronic Communications Privacy Act (ECPA) besagt, dass die Behörde nur dann auf die Daten zugreifen darf, wenn zum Beispiel ein Richter einen Durchsuchungsbefehl (search warrant) oder eine „ECPA court order“ anordnet. Der ECPA verbietet es den Behörden elektronische Daten abzufangen, solange nicht durch einen Richter bestätigt ist, dass eine hohe Wahrscheinlichkeit besteht, dass die Daten Beweise für eine Straftat enthalten.
Zugriffsrechte der US-Behörden
Weitere Möglichkeiten der US Behörden auf Daten zuzugreifen: FISA Orders und National Security letters. Diese ermächtigen die Behörden zum Beispiel bei Ermittlungen im Rahmen von Terrorismusbekämpfung auf Daten zuzugreifen. Aber auch diese Möglichkeiten bestanden schon bevor es den Patriot Act gab. Dieser hat die Möglichkeiten aber erweitert, unter anderem durch sogenannte „gag order“ Regelungen, die es den Empfängern von FISA orders oder National Security letters verbieten, offenzulegen, dass sie eine solche „order“ erhalten haben. Zudem gibt es Beschränkungen der Zugriffsrechte – nur bei Terrorismusbekämpfung und „foreign intelligence investigations“ dürfen diese Methoden eingesetzt werden.
Eine weitere Möglichkeit der amerikanischen Gerichte: Deutsche Unternehmen können im Rahmen einereDiscovery durch ein amerikanisches Gericht dazu verpflichtet werden, Daten herauszugeben – obwohl einem solchen Vorgehen das geltende europäische Datenschutzrecht entgegensteht. Ist das deutsche Unternehmen also beispielsweise ein Tochterunternehmen eines amerikanischen Unternehmens, befindet es sich in einem Dilemma: Gibt es die Daten heraus, verstößt es in den meisten Fällen gegen geltendes Recht, weigert es sich, wird die Muttergesellschaft den Prozess in den USA verlieren und riskiert finanzielle Sanktionen wegen eines „Contempt of Court“.
Das Problem der eDiscovery stellt sich schon seit vielen Jahren, in der jüngeren Vergangenheit wird dieses Problem von der Sedona Conference bearbeitet, die sich zum Ziel gesetzt hat, in Zusammenarbeit mit Vertretern der europäischen Rechtsordnung, eine Lösung zu finden. Ob sich der Konflikt jedoch je zur beiderseitigen Zufriedenheit lösen wird, ist noch nicht absehbar.
Die Cloud: wirklich nur in Europa sicher?
Beim Thema Cloud Computing wird der Einfluss des Patriot Acts auf die europäischen Daten sichtbar. Denn auch ohne Bürger der USA zu sein, können auch Daten von EU-Bürgern dem Zugriff amerikanischer Behörden ausgesetzt sein, wenn es sich um einen amerikanischenSomit steht man als ein solcher Cloud-Anbieter in Europa eher schlecht da: Cloud-Computing in den Vereinigten Staaten erfordert nicht nur, dass die Übermittlung in das EU-Ausland durch entsprechende Verträge oder Einwilligungen der Betroffenen zulässig gemacht wird, sondern ist auch mit den entsprechenden Horror-Szenarien verbunden, die naturgemäß von der europäischen Konkurrenz gemalt werden: Der Patriot Act ermögliche einen leichten Zugriff auf die in der Cloud gespeicherten Daten der EU-Bürger, man solle sich doch lieber für die sichere, europäische Variante entscheiden.
Zugriffsrechte in Europa
Dass das so nicht ganz korrekt ist, zeigt eine Studie von Hogan Lovells. Demnach sollen die Zugriffsrechte in Europa mit denen der Vereinigten Staaten durchaus vergleichbar sein, teilweise sogar weniger strengere Anforderungen haben.
So können Cloud-Anbieter in einigen europäischen Ländern ihre Daten auch freiwillig offenlegen. Hinzu kommt, dass Rechtshilfeabkommen zwischen Staaten bestehen, sodass Regierungen untereinander die Berechtigung haben, auf Daten zuzugreifen, die in einem anderen Land gespeichert sind.
Die Sicherheit von Daten in der Cloud ist also nicht nur in den USA ein Problem. Fakt ist laut der Studie von Hogan Lovells: Im Jahr 2010 stellte die amerikanische Regierung gerade einmal 96 Anfragen für den Zugriff auf Geschäftsdaten.
Vergleicht man den Patriot Act mit den Zugriffsrechten, die in europäischen Ländern bestehen – wie von Hogan Lovells getan – erscheinen die Unterschiede dann doch nicht so groß wie ursprünglich angenommen. Auch in Europa bestehen Zugriffsrechte der Behörden, unter anderem für strafrechtliche und behördliche Ermittlungen.
Ob der Patriot Act damit seinen Schrecken verliert, ist aber eher fraglich.-Anbieter handelt.
http://www.telemedicus.info/article/2477-Der-Patriot-Act-und-Datenschutz-in-der-EU.html
Weitere Informationen:
https://marbec14.wordpress.com/2015/05/01/eu-patriot-act-schafft-totaluberwachung-und-unrechtsstaatlichkeit/
https://marbec14.wordpress.com/2014/10/28/usa-patriot-act-jedes-jahr-tausende-geheime-hausdurchsuchungen/
Gefällt mir:
Like Wird geladen …
Gegen den Strom 