03. Mai 2019

CLOUD Act und Data Residency – Ist amerikanischen Cloud Providern noch zu trauen?

Cloud Act Lead image

Durch den CLOUD Act müssen US-Firmen Daten auch aus ausländischen Rechenzentren bei Anfrage an US-Behörden ausliefern. Firmen, die mit US-Cloud-Providern zusammenarbeiten, müssen sich dieser Gefahr bewusst sein, wie ti&m-Surfer Bernd Leinfelder in seinem Blog-Beitrag herausarbeitet.

Im Jahr 2013 hat Microsoft dem amerikanischen FBI die Herausgabe von Mails verweigert, die das FBI zur Aufklärung eines Drogendelikts angefordert hatte. Microsoft argumentierte, dass die besagten Mails auf Servern in Irland gelagert seien und damit den irischen Datenschutzgesetzen unterlägen. Die Mails seien über ein Rechtshilfegesuch bei den irischen Behörden anzufordern.


Der CLOUD Act 

Aus dieser Episode entwickelte sich ein Rechtsstreit zwischen Microsoft und dem FBI, der letzten Endes vor dem Obersten Gericht der USA landete. Bevor dort jedoch ein Urteil gesprochen wurde, hat der amerikanische Kongress 2018 ein Gesetz mit dem klingenden Namen CLOUD Act verabschiedet. CLOUD ist dabei die Abkürzung für «Clarifying Lawful Overseas Use of Data Act». Für den amerikanischen Kongress bedeutet «Lawful Overseas Use of Data», dass US-Firmen den US-Behörden alle Daten auszuhändigen haben, für die ein US-Gerichtsbeschluss vorliegt, und zwar unabhängig davon, wo diese Daten gespeichert sind. 

Weiter sieht das Gesetz vor, dass fremde Staaten reziproke Abkommen mit den Vereinigten Staaten abschliessen können, damit zum Beispiel auch Schweizer Behörden einfach auf die weltweiten Datenbestände ihrer Bürger zugreifen können. In der Tat hat die Europäische Kommission Anfang des Jahres vorgeschlagen, dass die Europäische Union Verhandlungen mit den Vereinigten Staaten zu diesem Thema aufnimmt. Gleichzeitig wird auch dem Europarat empfohlen, das sogenannte Budapester Übereinkommen (Cybercrime Convention) in ähnlicher Weise zu ergänzen.

 

Interessen der Vereinigten Staaten an erster Stelle 

Das Gesetz ermöglicht es dem Provider, gegen die Herausgabe Einspruch zu erheben, insbesondere in Fällen, in denen Nicht-US-Bürger betroffen sind oder der Provider das Recht einer ausländischen Regierung verletzen würde. Damit anerkennt der CLOUD Act grundsätzlich die Rechtsordnungen fremder Staaten. Das Gericht, das den Widerspruch zu beurteilen hat, soll bei der Würdigung des Einspruchs allerdings an erster Stelle die Interessen der Vereinigten Staaten berücksichtigen. 

Das Gericht soll weiter folgende Punkte beachten: 

  • Die Interessen der ausländischen Regierung,
  • die Wahrscheinlichkeit und Schwere von Strafen, die dem Provider aufgrund inkonsistenter rechtlicher Verpflichtungen drohen, 
  • Aufenthaltsort und Nationalität des betroffenen Kunden, denen Daten abgerufen werden sollen sowie 
  • die Wahrscheinlichkeit, dass mit legaleren Mitteln («that would cause less serious negative consequences») innert nützlicher Frist die gleichen Informationen erhalten werden können. 

Als ausländische Regierung («qualifying foreign government») gelten dabei nur Regierungen, die mit den USA die oben erwähnten Abkommen abgeschlossen haben. 

 

Das Ende der Data Residency 

Zusammengenommen ergeben diese bereits in Kraft getretenen oder geplanten Gesetze das Bild, dass nicht mehr wie bis anhin der Ort der Speicherung von Daten (die sog. Data Residency) das anzuwendende Recht definiert, wenn es um die Herausgabe dieser Daten an Behörden geht. Neu soll wesentlich der Sitz des verantwortlichen Unternehmens darüber bestimmen, welche Behörden unter welchen Voraussetzungen Zugriff erhalten. Die Vereinigten Staaten dehnen hier ihre Gesetzgebung auf den ganzen Globus aus – einfach, weil sie es können. 

Für die amerikanischen Provider ist die Situation schwierig. Sie haben eigentlich nur die Wahl, ob sie sich dem Recht ihres Heimatstaates widersetzen oder das Recht ihres Gastlandes brechen. So verbietet zum Beispiel die europäische Datenschutzgrundverordnung explizit die Übermittlung von Daten an die Gerichte von Drittstaaten, wenn sie nicht im Rahmen eines Rechtshilfeabkommens geschieht (Art. 48 DSGVO). Auch Art. 61 des schweizerischen Datenschutzgesetzes (DSG) setzt enge Grenzen für eine Weitergabe von persönlichen Daten ins Ausland und fordert unter anderem eine gleichwertige Datenschutzgesetzgebung oder ein internationales Abkommen. 

 

Der Cloud-Leitfaden der Schweizerischen Bankiervereinigung 

Für Banken ist der gerade eben (März 2019) veröffentlichte «Cloud-Leitfaden» der Schweizerischen Bankiervereinigung massgeblich. Grundsätzlich wird in diesem Leitfaden sowie in einem beigelegten Rechtsgutachten von Laux Lawyers die Möglichkeit bejaht, Schweizer Bankdaten bei ausländischen Cloud Providern zu speichern. Die Argumentation geht davon aus, dass reife Anbieter alle notwendigen Massnahmen treffen, damit die Speicherung im Ausland im Normalbetrieb den Sicherheitsanforderungen des Schweizer Regulators entsprechen, und der Cloud Anbieter der Schweizer Bank über diese Massnahmen detailliert Rechenschaft ablegen kann. Diese Voraussetzungen sind ohne Zweifel für alle etablierten Anbieter gegeben.

 

Schweizer Bankiers gegen amerikanischen Kongress 

Behördenzugriffe allerdings gelten nicht als Normalbetrieb und sind in den beiden Dokumenten auch separat behandelt. Der Cloud-Leitfaden, Kapitel IV, stellt klar: 

«Der Anbieter sowie die Unterakkordanten und Konzerngesellschaften des Anbieters dürfen nur im Einklang mit anwendbaren gesetzlichen und regulatorischen Bestimmungen und mit (i) einer vorgängigen schriftlichen Zustimmung des Instituts, (ii) aufgrund eines Entscheids des zuständigen Schweizer Gerichts, oder (iii) aufgrund einer Bewilligung der zuständigen Schweizer Behörde, geschützte Informationen, welche in der Cloud bearbeitet werden, in ausländischen Verfahren an ausländische Behörden oder sonstige Parteien im Ausland übermitteln oder bekanntgeben.» 

Diese Forderung steht klar im Konflikt zum CLOUD Act. Der Bankiervereinigung war dieser Widerspruch offenbar bewusst, denn ein paar Absätze weiter wird folgendes festgehalten: 

«Das Institut soll, gegebenenfalls unter geeigneter Mitwirkung des Anbieters, die Risiken bewerten, welche sich daraus ergeben, wenn ausländische Behörden die Wirksamkeit der eingesetzten technischen, organisatorischen und vertraglichen Massnahmen gemäss Ziffer 10 übersteuern können.» 

Das zugehörige Rechtsgutachten umschifft diese Klippe geschickt in Fussnote 8: 

«Namentlich enthält dieses Rechtsgutachten keine Erörterung […] von Aspekten des Behördenzugriffs (z.B. BÜPF oder weitere Spezialthemen wie CLOUD Act, Behördenzugriff, etc.);»

 

… und alle Fragen offen 

Für Schweizer Unternehmen, die Cloud Dienste bei den grossen amerikanischen Providern nutzen wollen, stellt sich die Frage, inwieweit sie den Schutz der von ihnen gespeicherten Daten einer fremden Rechtsordnung überlassen und sich dabei selbst einem juristischen Graubereich aussetzen wollen. Die vergangenen Jahre haben regelmässig gezeigt, dass die amerikanischen Behörden nicht zimperlich sind, amerikanische Gesetze ausserhalb amerikanischer Grenzen durchzusetzen. Auch der Leitfaden der Bankiervereinigung hält sich im Zweifel schadlos, indem von Banken eine individuelle Risikobewertung verlangt wird, sobald sensitive Daten in ausländischen Clouds gespeichert werden. Die Datenschutz- und Cloud-Experten der ti&m helfen gerne bei entsprechenden Fragestellungen. 


Bernd  Leinfelder
Bernd Leinfelder

Bernd Leinfelder ist seit 2016 System Architekt bei ti&m. Er verfügt über langjährige Erfahrungen in Softwareentwicklung und System Engineering. Neben seiner Tätigkeit bei ti&m doziert er an der FFHS zu Robustheit und Wartbarkeit verteilter Software in Enterprise Umgebungen. Er hält diverse Zertifizierungen in den Bereichen Cloud Computing, IT-Security und IT-Audit.