Der US Cloud Act, offiziell bekannt als Clarifying Lawful Overseas Use of Data Act, wurde im März 2018 verabschiedet. Dieser Gesetzesakt ermöglicht es US-Behörden, unter bestimmten Bedingungen auf Daten zuzugreifen, die von US-basierten Cloud-Dienstleistern im Ausland gespeichert werden. Der Cloud Act wurde als Reaktion auf den zunehmenden Einsatz von Cloud-Technologien und die damit verbundenen rechtlichen Herausforderungen eingeführt, insbesondere im Hinblick auf den Zugriff auf elektronische Beweismittel bei strafrechtlichen Ermittlungen. Bitte beachten Sie, dass diese im hier erwähnten Punkte zum Cloud Act keine Rechtsempfehlung darstellen, unser Ziel ist es lediglich darüber zu informieren was es für Gesetze gibt welche einen Einfluss auf die Schweizer KMU haben.
Wie funktioniert der US Cloud Act?
Der US Cloud Act erlaubt es US-Strafverfolgungsbehörden, auf Daten zuzugreifen, die von US-Unternehmen im Ausland gespeichert werden, wenn dies im Rahmen eines rechtmäßigen Ersuchens geschieht, wie etwa eines Durchsuchungsbefehls oder einer gerichtlichen Anordnung. Dies gilt auch, wenn die Daten physisch außerhalb der USA gespeichert sind. Der Act ermöglicht es außerdem, bilaterale Vereinbarungen mit anderen Ländern abzuschließen, um den rechtlichen Rahmen für den Datenaustausch zu erleichtern und zu beschleunigen
Auswirkungen auf Unternehmen in der Schweiz und Europa
Für Unternehmen in der Schweiz und Europa hat der US Cloud Act weitreichende Implikationen. Der Zugang zu Daten durch US-Behörden kann unter Umständen im Konflikt mit den Datenschutzgesetzen der betroffenen Länder stehen, insbesondere mit der Datenschutz-Grundverordnung (DSGVO) in der EU. Unternehmen müssen sicherstellen, dass sie sowohl den Anforderungen des US Cloud Act als auch den lokalen Datenschutzbestimmungen gerecht werden
Datenschutz und rechtliche Risiken:
- Konflikt mit der DSGVO: Der US Cloud Act könnte gegen die Datenschutzanforderungen der DSGVO verstoßen, insbesondere hinsichtlich der Übertragung personenbezogener Daten außerhalb der EU ohne angemessene Schutzmaßnahmen.
- Rechtliche Unsicherheit: Unternehmen müssen sich darauf vorbereiten, dass ihre Daten auf Anordnung von US-Behörden offengelegt werden könnten, was zu rechtlichen Unsicherheiten und möglichen Konflikten mit lokalen Datenschutzbehörden führen kann
(Cross-Border Data Forum) (BSA – The Software Alliance) .
Was kleinere, innovative Unternehmen beachten müssen
Kleinere, innovative Unternehmen, die Cloud-Dienste nutzen oder anbieten, sollten besondere Vorsicht walten lassen. Hier sind einige Empfehlungen:
- Vertragliche Maßnahmen: Unternehmen sollten in ihren Verträgen mit Cloud-Anbietern sicherstellen, dass diese Anbieter über Verfahren verfügen, um rechtliche Anfragen von US-Behörden zu überprüfen und gegebenenfalls anzufechten.
- Datenlokalisierung: Erwägen Sie, sensible Daten in Rechenzentren zu speichern, die außerhalb der Reichweite des US Cloud Act liegen, beispielsweise in Ländern, die keine bilateralen Abkommen mit den USA haben.
- Transparenz gegenüber Kunden: Informieren Sie Ihre Kunden über mögliche Risiken und die Maßnahmen, die Sie zum Schutz ihrer Daten ergreifen.
Rechtliche und praktische Massnahmen
Um sich gegen die potenziellen Risiken des US Cloud Act zu schützen, können Unternehmen folgende Maßnahmen ergreifen:
- Rechtliche Beratung: Konsultieren Sie regelmäßig rechtliche Experten, um sicherzustellen, dass Ihre Datenmanagementpraktiken sowohl mit dem US Cloud Act als auch mit lokalen Datenschutzgesetzen im Einklang stehen.
- Technische Massnahmen: Implementieren Sie Verschlüsselungstechnologien, um sicherzustellen, dass selbst im Falle eines Zugriffs auf Ihre Daten durch US-Behörden diese nicht ohne weiteres lesbar sind.
- Regelmässige Audits: Führen Sie regelmäßige Audits durch, um die Einhaltung der Datenschutzbestimmungen zu überprüfen und potenzielle Schwachstellen in Ihren Datenmanagementpraktiken zu identifizieren.
- …oder: Speichern Sie keine Daten in den USA. Nutzen Sie Datenzentren in Europa von SaaS Anbietern wie Zoho oder andern Dienstleistern.
Einhaltung der Datenschutzanforderungen
Die Einhaltung der Datenschutzanforderungen in einem Umfeld, das durch Gesetze wie den US Cloud Act geprägt ist, erfordert einen proaktiven und gut informierten Ansatz. Unternehmen sollten sich kontinuierlich über rechtliche Entwicklungen informieren und ihre Datenschutzstrategien entsprechend anpassen.
Schlussfolgerung:
Der US Cloud Act stellt eine bedeutende Herausforderung für Unternehmen in der Schweiz und Europa dar. Es ist unerlässlich, die Funktionsweise dieses Gesetzes zu verstehen und geeignete Maßnahmen zu ergreifen, um die Daten der Kunden zu schützen und rechtliche Konflikte zu vermeiden. Unternehmen sollten sich bewusst sein, dass der Schutz der Privatsphäre und die Einhaltung der Datenschutzgesetze eine kontinuierliche Anstrengung erfordern.
Quellen: