Daten sind mittlerweile das Öl des 21. Jahrhunderts und zu einem hoch wertschöpfenden Wirtschaftsfaktor geworden. Der Datenschutz – ob privat oder geschäftlich – ist daher ein hohes Gut und muss unbedingt gewährleistet werden, damit Unternehmen durch klare Regularien faire und transparente Bedingungen vorfinden, unter denen sie wirtschaften können. Unternehmen sowie Cloud und Service Provider setzen das Thema ganz oben auf ihre Agenda, um ihre Kunden und sich selbst gleichermaßen zu schützen.

Welche Anforderungen und Regeln es beim Datenschutz gibt, wie sie eingehalten werden können und welche infrastrukturellen Voraussetzungen dazu bei einem Rechenzentrum erforderlich sind, zeigt die 3-teilige Blogreihe von maincubes. Teil 1 verschafft zunächst einen Überblick über die wichtigsten Begriffe und gesetzlichen Regelungen. In Teil 2 wird erläutert, weshalb der Begriff „Datensouveränität“ in Europa eine besonders hohe Bedeutung hat und warum der amerikanische CLOUD Act in diesem Zusammenhang in der Praxis bereits für Komplikationen gesorgt hat. Schließlich zeigt Teil 3, wie Sie am besten auf die rechtliche Lage zwischen den USA und der EU reagieren und warum der Rückgriff auf die Infrastruktur eines europäischen Rechenzentrumsbetreibers für Unternehmen und Cloud Provider aus den USA die bessere Alternative ist.

Teil 1: Begriffe rund um den Umgang mit (personenbezogenen) Daten

Morgens in den sozialen Netzwerken die Timeline oder den Newsfeed checken, danach aus dem Homeoffice über Cloud-Dienste der Arbeit nachgehen und abends im Internet die nächste Reise buchen, während man die Lieblingsserie über einen Streamingdienst genießt: Wir hinterlassen durch unseren Gang in der digitalen Welt bewegt Daten – und „bezahlen“ mitunter auch mit ihnen. Besonders wenn es sich um Daten handelt, die von außerhalb der eigenen Landesgrenzen stammen und möglicherweise einer anderen Jurisdiktion ausgesetzt sind, ist Sorgfalt geboten. Denn in einer digitalen Welt, die keine physischen Grenzen kennt, sticht eine Frage hervor: Welchen Regeln unterliegen personenbezogene Daten in einem länderübergreifenden Kontext? Immerhin gibt es Vorstellungen im Umgang und dem Schutz von Daten, die sich von Land zu Land oder zwischen Handelsregionen unterscheiden. Das trifft auch auf das Verhältnis zwischen den Vereinigten Staaten und der Europäischen Union zu. Obwohl unter diesen beiden weltweit bedeutenden Wirtschaftsräumen seit Jahrzenten besonders enge wirtschaftliche, politische und kulturelle Verflechtungen bestehen, gibt es starke Unterschiede in der Auffassung zum Datenschutz. Hier stoßen Laien wie Profis immer wieder auf Regelungen und Gesetze, die nicht immer leicht einzuordnen sind. Zum besseren Verständnis finden Sie daher hier eine Erläuterung einiger wichtiger Begriffe und Vorschriften.

• Personenbezogene Daten
  Bereits bei der Definition von personenbezogenen Daten bestehen weltweite Unterschiede – auch zwischen den USA und der Europäischen Union. In der EU werden personenbezogene Daten insbesondere nach der Richtlinie 95/46/EG (Datenschutzrichtlinie) und nach der Verordnung 2016/679 (Datenschutz-Grundverordnung) definiert. In den USA geht die Bestimmung personenbezogener Daten vor allem auf zwei Gesetze zurück: auf den Privacy Act von 1974 sowie den Health Insurance Portability and Accountability Act. Während es in beiden Fällen ausschließlich um natürliche Personen geht, wird die Bestimmung von Daten, die sich zur Identifizierung einer natürlichen Person eignen, von der EU weiter gefasst. So fallen darunter auch Merkmale wie die kulturelle und soziale Identität sowie Online-Kennungen, über die eine natürliche Person identifiziert werden kann.
• Datensouveränität:
  Die sogenannte Datensouveränität ist ein zwar häufig verwendeter, aber auch unscharfer Begriff, der je nach Absender und/oder Adressat unterschiedlich verstanden werden kann. Ein klarer rechtlicher Rahmen besteht noch nicht. Im Grunde ist damit der selbstbestimmte Umgang mit den eigenen Daten gemeint (auch: informationelle Selbstbestimmung), der von zwei Voraussetzungen abhängt: die Datentransparenz und die Datenkontrolle. Bei Ersterem geht es darum, dass eine Person weiß, welche eigenen Daten von wem erhoben wurden und wo sich diese befinden. Erst auf Basis vollständiger Transparenz kann die Kontrolle über die eigenen Daten in Angriff genommen werden. Sie ist allerdings von einem gesetzlichen Rahmen abhängig, der es dem Individuum ermöglicht, die Kontrolle über die eigenen Daten auch rechtlich durchzusetzen – beispielsweise auf Grundlage der europäischen Datenschutz-Grundverordnung (DSGVO). Kritiker ordnen den Begriff der Datensouveränität unter der sogenannten digitalen Souveränität ein, die zusätzlich von der individuellen Medienkompetenz und der Datensicherheit (inkl. Verlust und Diebstahl) abhängt.
• EU-US Privacy Shield
  Zwischen 2015 und 2016 beschlossen die EU-Kommission und die US-Regierung eine informelle Absprache zum Schutz personenbezogener Daten von EU-Bürger:innen, wenn diese in das Hoheitsgebiet der Vereinigten Staaten gelangen. Inhaltlich verpflichteten sich sowohl die US-Bundesregierung und anhängende Behörden als auch US-Unternehmen dazu, dass der Schutz von personenbezogenen Daten von EU-Bürger:innen dem europäischen Niveau entsprechen würde. Dazu sollte auch der Zugriff durch US-Sicherheitsbehörden aus Gründen der nationalen Sicherheit zählen, die nur unter strengen Auflagen erfolgen dürfe. Ein Ombudsmann beim US-Außenministerium war zudem als Ansprechpartner für Bürger:innen der Europäischen Union vorgesehen. Wie bereits der Vorgänger, die sogenannte Safe-Harbor-Entscheidung, wurde am 16. Juli 2020 auch das EU-US Privacy Shield durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt. Der Entscheidung des Gerichts nach müsse der Schutz von Daten von EU-Bürger:innen dem Niveau der DSGVO entsprechen, was aufgrund der in den USA geltenden Gesetze nicht gegeben sei.
• DSGVO/GDPR
  Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DSGVO) – Englisch: General Data Protection Regulation (GDPR) – in Kraft. Sie setzt den rechtlichen Rahmen zum Datenschutz innerhalb der EU einschließlich der Mitglieder des Europäischen Wirtschaftsraums (Island, Liechtenstein und Norwegen). Das umfangreiche Regelwerk gibt die Bedingungen vor, unter denen personenbezogene Daten von EU-Bürger:innen erhoben, gespeichert und verarbeitet werden dürfen. EU-Bürger:innen erhalten damit umfassende Rechte gegenüber Dritten im Umgang mit ihren Daten (siehe auch Datensouveränität). Darunter fallen etwa Rechte zur Einwilligung (Erhebung), zur Auskunft (Transparenz), zur Datenübertragbarkeit (Erhalt der gespeicherten Daten) und zum sogenannten Vergessenwerden (Löschung). Bei Verstößen können sowohl gegenüber privaten Datenverarbeitern (u.a. Unternehmen) als auch gegenüber öffentlichen Behörden Bußgelder von bis zu 20 Millionen Euro oder vier Prozent der weltweiten Jahresumsätze erhoben werden. Eine Besonderheit der DSGVO ist das sogenannte Marktortprinzip: Auch Datenverarbeiter, die sich zwar außerhalb der EU befinden, aber zum Zwecke von Waren und Dienstleistungen personenbezogene Daten von EU-Bürger:innen erheben, unterliegen den Bestimmungen der DSGVO. Vor diesem Hintergrund ist auch die Entscheidung des EuGH zum EU-US Privacy Shield zu sehen.
• CLOUD Act
  Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz, das am 23. März 2018 in Kraft trat und amerikanische IT-Firmen verpflichtet, US-Behörden auf Anfrage den Zugriff auf bei ihnen gespeicherte Daten zu gewähren. Der Knackpunkt ist, dass das Gesetz sowohl für innerhalb als auch für außerhalb der USA gespeicherte Daten gilt und damit etwa im direkten Widerspruch zum europäischen Datenschutzrecht, namentlich der DSGVO, steht. Ein konkreter Fall, der für Aufsehen sorgte, war die Anordnung eines US-Gerichts gegenüber Microsoft zur Herausgabe von Daten, die das Unternehmen in Irland speicherte. Der Konzern berief sich auf den in Irland geltenden Datenschutz und dass eine Übermittlung der Daten nur infolge eines Rechtshilfeabkommens und auf Anordnung irischer Behörden und Gerichte erfolgen dürfe. Der oberste Gerichtshof der USA (US Supreme Court) gab allerdings der damaligen US-Regierung am 17. April 2018 Recht, wodurch Microsoft US-Ermittlungsbehörden Zugriff auf die von ihnen in Irland gespeicherte Daten gewähren muss. Ein Widerspruchsrecht, wonach US-Firmen in ähnlichen Fällen die Herausgabe verweigern können, ist möglich, wenn ein Land mit den USA und unter dem CLOUD Act ein entsprechendes Abkommen unterzeichnet. Allerdings besteht ein solches Executive Agreement lediglich mit Großbritannien, aber keinem weiteren Staat. Eine Hintertür für US-Firmen besteht im Modell der Datentreuhand: Amerikanische IT-Unternehmen können Anwendungen und die damit einhergehenden Daten auf Infrastrukturen ausländischer Firmen auslagern, auf die sie selbst keinen Zugriff haben. Beispielsweise wendet Microsoft dieses Modell in Form ihres Angebots „Office 365 Deutschland“ an, bei dem die Office-Anwendungen aus dem Rechenzentrum eines deutschen Anbieters bereitgestellt werden.
• USA PATRIOT Act
  Am 26. Oktober 2001 wurde der USA PATRIOT Act verabschiedet – ausgeschrieben: Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001. Hintergrund waren die am 11. September 2001 erfolgten Anschläge in New York (World Trade Center), Washington (Pentagon) sowie Pennsylvania (eigentliche Ziele waren voraussichtlich das Weiße Haus oder das Kapitol) und der daraufhin erklärte „Krieg gegen den Terror“. Durch das Gesetz erhalten US-Bundesbehörden weitreichende Befugnisse zu Ermittlungen im Zuge (vermeintlicher) terroristischer Aktivitäten. Dazu gehören unter anderem die Überwachung von Kommunikationskanälen (Telefon und Internet), Hausdurchsuchungen ohne Wissen der betroffenen Person sowie die Erlaubnis, dass der US-Auslandsgeheimdienst CIA auch im Inland aktiv werden darf. Zudem erhalten US-Behörden wie die CIA, das FBI und die NSA unter dem Gesetz die Möglichkeit, sich auch ohne richterliche Anordnung Zugriff auf Server von US-Unternehmen einschließlich deren im Ausland operierenden Töchtern zu verschaffen. Neben der grundlegenden Problematik der umfangreichen Einschränkung von Bürgerrechten übergeht der USA PATRIOT Act auch gesetzliche Bestimmungen zum Datenschutz von Drittstaaten. Das tatsächliche Ausmaß des Zugriffs und der Datenabschöpfung wurde im Jahr 2013 durch die Veröffentlichungen des Whistleblowers Edward Snowden bekannt.

Erfahren Sie in Teil 2, warum in Europa der Souveränitätsgedanke im Umgang mit den Daten von Bürger:innen einen hohen Stellenwert besitzt – der Begriff der „Datensouveränität“ allerdings kontrovers diskutiert wird. Zudem zeigen Beispiele aus der Praxis, weshalb der amerikanische CLOUD Act in diesem Zusammenhang für Konfliktpotenzial zwischen der EU und den USA sorgt.