CLOUD Act und Data Residency – Ist amerikanischen Cloud Providern noch zu trauen?

Durch den CLOUD Act müssen US-Firmen Daten auch aus ausländischen Rechenzentren bei Anfrage an US-Behörden ausliefern. Firmen, die mit US-Cloud-Providern zusammenarbeiten, müssen sich dieser Gefahr bewusst sein, wie unser Autor Bernd Leinfelder in seinem Blog-Beitrag herausarbeitet.

Im Jahr 2013 hat Microsoft dem amerikanischen FBI die Herausgabe von Mails verweigert, die das FBI zur Aufklärung eines Drogendelikts angefordert hatte. Microsoft argumentierte, dass die besagten Mails auf Servern in Irland gelagert seien und damit den irischen Datenschutzgesetzen unterlägen. Die Mails seien über ein Rechtshilfegesuch bei den irischen Behörden anzufordern.

Der CLOUD Act

Aus dieser Episode entwickelte sich ein Rechtsstreit zwischen Microsoft und dem FBI, der letzten Endes vor dem Obersten Gericht der USA landete. Bevor dort jedoch ein Urteil gesprochen wurde, hat der amerikanische Kongress 2018 ein Gesetz mit dem klingenden Namen CLOUD Act verabschiedet. CLOUD ist dabei die Abkürzung für «Clarifying Lawful Overseas Use of Data Act». Für den amerikanischen Kongress bedeutet «Lawful Overseas Use of Data», dass US-Firmen den US-Behörden alle Daten auszuhändigen haben, für die ein US-Gerichtsbeschluss vorliegt, und zwar unabhängig davon, wo diese Daten gespeichert sind.

Weiter sieht das Gesetz vor, dass fremde Staaten reziproke Abkommen mit den Vereinigten Staaten abschliessen können, damit zum Beispiel auch Schweizer Behörden einfach auf die weltweiten Datenbestände ihrer Bürger zugreifen können.

Interessen der Vereinigten Staaten an erster Stelle

Das Gesetz ermöglicht es dem Provider, gegen die Herausgabe Einspruch zu erheben, insbesondere in Fällen, in denen Nicht-US-Bürger betroffen sind oder der Provider das Recht einer ausländischen Regierung verletzen würde. Damit anerkennt der CLOUD Act grundsätzlich die Rechtsordnungen fremder Staaten. Das Gericht, das den Widerspruch zu beurteilen hat, soll bei der Würdigung des Einspruchs allerdings an erster Stelle die Interessen der Vereinigten Staaten berücksichtigen.

Das Gericht soll weiter folgende Punkte beachten:

  • Die Interessen der ausländischen Regierung,
  • die Wahrscheinlichkeit und Schwere von Strafen, die dem Provider aufgrund inkonsistenter rechtlicher Verpflichtungen drohen,
  • Aufenthaltsort und Nationalität des betroffenen Kunden, denen Daten abgerufen werden sollen sowie
  • die Wahrscheinlichkeit, dass mit legaleren Mitteln («that would cause less serious negative consequences») innert nützlicher Frist die gleichen Informationen erhalten werden können.

Als ausländische Regierung («qualifying foreign government») gelten dabei nur Regierungen, die mit den USA die oben erwähnten Abkommen abgeschlossen haben. Stand heute betrifft das nur das Vereinigte Königreich, mit dem die Vereinigten Staaten im Herbst letzten Jahres ein entsprechendes Abkommen geschlossen haben.

The American Way of Reciprocity

Die europäische Kommission hat mittlerweile die Verhandlungen mit dem US Justizministerium über ein ähnliches Abkommen begonnen. Das US-UK Abkommen kann vermutlich als Blaupause für dieses und weitere Abkommen gelten, weshalb sich ein näherer Blick auf dieses Abkommen durchaus lohnt. Interessant ist beispielsweise die Gegenseitigkeit der gewährten Auskunftsrechte. Das Abkommen unterscheidet bei Auskunftsersuchen der Briten klar zwischen US- und Nicht-US Bürgern, während es eine analoge Unterscheidung bei Ersuchen der Amerikaner betreffs britischer Bürger nicht gibt.

Ein neues Konzept in diesem Abkommen ist die Unterscheidung, ob die Person, deren Daten angefordert werden, sich in dem Land aufhält, das um Datenauskunft gebeten wurde oder nicht. In ersterem Fall ist grundsätzlich ein Rechtshilfegesuch zu stellen und die Möglichkeiten des CLOUD Act sind nicht anwendbar. Der Ort der Daten wird also ersetzt durch den Aufenthaltsort der Zielperson, wenn es darum geht herauszufinden, welche Rechtsordnung gültig ist.

Das US-UK Abkommen hat viele weitere Aspekte, die zu diskutieren lohnenswert wäre, den Rahmen dieses Artikels aber sprengen würde.

Das Ende der Data Residency

Zusammengenommen ergeben diese bereits in Kraft getretenen oder geplanten Gesetze und Abkommen das Bild, dass nicht mehr wie bis anhin der Ort der Speicherung von Daten (die sog. Data Residency) das anzuwendende Recht definiert, wenn es um die Herausgabe dieser Daten an Behörden geht. Neu soll wesentlich der Sitz des verantwortlichen Unternehmens und der Aufenthaltsort der Zielperson darüber bestimmen, welche Behörden unter welchen Voraussetzungen Zugriff erhalten. Die Vereinigten Staaten dehnen hier ihre Gesetzgebung auf den ganzen Globus aus – einfach, weil sie es können.

Für die amerikanischen Provider ist die Situation schwierig. Sie haben eigentlich nur die Wahl, ob sie sich dem Recht ihres Heimatstaates widersetzen oder das Recht ihres Gastlandes brechen. So verbietet zum Beispiel die europäische Datenschutzgrundverordnung explizit die Übermittlung von Daten an die Gerichte von Drittstaaten, wenn sie nicht im Rahmen eines Rechtshilfeabkommens geschieht (Art. 48 DSGVO). Auch Art. 61 des schweizerischen Datenschutzgesetzes (DSG) setzt enge Grenzen für eine Weitergabe von persönlichen Daten ins Ausland und fordert unter anderem eine gleichwertige Datenschutzgesetzgebung oder ein internationales Abkommen.

Der Cloud-Leitfaden der Schweizerischen Bankiervereinigung

Für Banken ist der im März 2019 veröffentlichte «Cloud-Leitfaden» der Schweizerischen Bankiervereinigung massgeblich. Grundsätzlich wird in diesem Leitfaden sowie in einem beigelegten Rechtsgutachten von Laux Lawyers die Möglichkeit bejaht, Schweizer Bankdaten bei ausländischen Cloud Providern zu speichern. Die Argumentation geht davon aus, dass reife Anbieter alle notwendigen Massnahmen treffen, damit die Speicherung im Ausland im Normalbetrieb den Sicherheitsanforderungen des Schweizer Regulators entsprechen, und der Cloud Anbieter der Schweizer Bank über diese Massnahmen detailliert Rechenschaft ablegen kann. Diese Voraussetzungen sind ohne Zweifel für alle etablierten Anbieter gegeben.

Schweizer Bankiers gegen amerikanischen Kongress

Behördenzugriffe allerdings gelten nicht als Normalbetrieb und sind in den beiden Dokumenten auch separat behandelt. Der Cloud-Leitfaden, Kapitel IV, stellt klar:

«Der Anbieter sowie die Unterakkordanten und Konzerngesellschaften des Anbieters dürfen nur im Einklang mit anwendbaren gesetzlichen und regulatorischen Bestimmungen und mit (i) einer vorgängigen schriftlichen Zustimmung des Instituts, (ii) aufgrund eines Entscheids des zuständigen Schweizer Gerichts, oder (iii) aufgrund einer Bewilligung der zuständigen Schweizer Behörde, geschützte Informationen, welche in der Cloud bearbeitet werden, in ausländischen Verfahren an ausländische Behörden oder sonstige Parteien im Ausland übermitteln oder bekanntgeben.»

Diese Forderung steht klar im Konflikt zum CLOUD Act. Der Bankiervereinigung war dieser Widerspruch offenbar bewusst, denn ein paar Absätze weiter wird folgendes festgehalten:

«Das Institut soll, gegebenenfalls unter geeigneter Mitwirkung des Anbieters, die Risiken bewerten, welche sich daraus ergeben, wenn ausländische Behörden die Wirksamkeit der eingesetzten technischen, organisatorischen und vertraglichen Massnahmen gemäss Ziffer 10 übersteuern können. »

Das zugehörige Rechtsgutachten umschifft diese Klippe geschickt in Fussnote 8: «Namentlich enthält dieses Rechtsgutachten keine Erörterung […] von Aspekten des Behördenzugriffs (z.B. BÜPF oder weitere Spezialthemen wie CLOUD Act, Behördenzugriff, etc.);»

… und alle Fragen offen

Für Schweizer Unternehmen, die Cloud Dienste bei den grossen amerikanischen Providern nutzen wollen, stellt sich die Frage, inwieweit sie den Schutz der von ihnen gespeicherten Daten einer fremden Rechtsordnung überlassen und sich dabei selbst einem juristischen Graubereich aussetzen wollen. Die vergangenen Jahre haben regelmässig gezeigt, dass die amerikanischen Behörden nicht zimperlich sind, amerikanische Gesetze ausserhalb amerikanischer Grenzen durchzusetzen. Auch der Leitfaden der Bankiervereinigung hält sich im Zweifel schadlos, indem von Banken eine individuelle Risikobewertung verlangt wird, sobald sensitive Daten in ausländischen Clouds gespeichert werden. Als Kunde sollten Sie aktiv auf Ihren Provider zugehen und um Auskunft bitten, wie er mit entsprechenden Anfragen der in- wie ausländischen Strafverfolgungsbehörden umgeht, wie oft solche Anfragen vorkommen und ob die betroffenen Kunden regelmässig bei der Beantwortung dieser Anfragen miteinbezogen werden.

Autor: Bernd Leinfelder ist seit 2016 System Architekt bei ti&m. Er verfügt über langjährige Erfahrungen in Softwareentwicklung und System Engineering. Neben seiner Tätigkeit bei ti&m leitet er den Fachbereich Enterprise Computing an der Fernfachhochschule Schweiz (FFHS) und doziert dort zu Robustheit und Wartbarkeit verteilter Software. Er hält diverse Zertifizierungen in den Bereichen Cloud Computing, IT-Security und IT-Audit.

334