“Der US Cloud Act soll nur hypothetisch sein?” – der Kommentar von Christian Schmitz, ownCloud

US-Anbieter lassen verlauten, der US Cloud Act sei nur eine „hypothetische Möglichkeit“. Wer’s glaubt, wird selig – sagt Christian Schmitz, Chief Strategy and Innovation Officer bei ownCloud.

von Christian Schmitz, ownCloud

Der US Cloud Act ist eine immense Bedrohung für unseren gesamteuropäischen Wirtschaftsraum. Auf seiner Grundlage können US-amerikanische Behörden von Cloud-Providern aus den USA die Herausgabe sämtlicher Daten einer Person oder eines Unternehmens verlangen. Eine Anzeigepflicht oder ein Informationsrecht im Falle durchgeführter Datenzugriffe sind dabei Fehlanzeige.

Das alles gilt selbst dann, wenn sich die Daten auf Servern befinden, die in Deutschland oder der EU stehen – DSGVO‑Hoheitsgebiet hin oder her.”

Diese Tatsache versuchen die Anbieter häufig zu verschleiern, indem sie eine „regionale Datenhaltung“ beispielsweise in deutschen Rechenzentren bewerben.

Damit suggerieren sie deutsches Datenschutzrecht und verschweigen geflissentlich das weiterhin bestehende Durchgriffsrecht der US-Regierung. Da bei vielen Unternehmen und Behörden in Europa heute oft nichts mehr ohne US-amerikanische Cloud-Dienste geht, ist unsere Wirtschaft und Verwaltung diesem Gesetz de facto ausgeliefert.

Solange das so ist, können wir uns Datenschutz und Datensouveränität abschminken.”

Der US Cloud Act steht nämlich europäischen Datenschutzgesetzen wie der DSGVO diametral entgegen, das hat der Europäische Gerichtshof mit seinem Urteil vom Juli 2020 hochoffiziell bestätigt. Die obersten europäischen Richter entschieden, dass der EU-US Privacy Shield wegen des US Cloud Acts nicht mehr angewendet werden darf, um den Transfer persönlicher Daten in die USA zu begründen. Doch damit nicht genug. Das Gesetzeswerk öffnet auch Wirtschafts- und sonstiger Spionage Tür und Tor.

Diese Erkenntnis setzt sich im öffentlichen Bewusstsein immer stärker durch. Die US-amerikanischen Internetgiganten sehen deshalb anscheinend ihre Felle davonschwimmen und versuchen zu beschwichtigen. So ließ etwa ein Vertreter von Amazon Web Services verlauten, der US Cloud Act sei doch nur eine „sehr hypothetische Möglichkeit“. Nur merkwürdig, dass Microsoft gegen das Zugriffsrecht der US-Regierung Einspruch erhoben hat – und damit scheiterte. Genau dieses Verfahren vor dem US Supreme Court hat der Cloud Act zynischerweise gelöst, indem er das Zugriffsrecht klar gesetzlich verankerte. So hypothetisch scheint er also doch nicht zu sein.

Deshalb: Wer’s glaubt, wird selig. Es gibt keinen berechtigten Zweifel daran, dass die USA die Möglichkeiten dieses Gesetzes zu ihrem Vorteil nutzen, wo es nur geht.”

Die Snowden-Enthüllungen haben schließlich schon vor Jahren gezeigt, dass sie systematisch Daten aus jeglichen IT-Systemen abgreifen. Und Beispiele dafür, wie die USA ihre Marktmacht über die IT- und Dateninfrastrukturen zu ihrem Vorteil ausnutzen, gibt es auch genug: siehe etwa den Android-Boykott gegen Huawei. Zudem setzen die USA von der breiten Öffentlichkeit unbemerkt ihre Macht über DNS-Server in ihrer Auseinandersetzung mit dem Iran dazu ein, um dort die Verfügbarkeit von Services einzuschränken. Zu glauben, sie würden den Cloud Act nicht dazu verwenden, um sich gegenüber der deutschen und europäischen Wirtschaft Vorteile zu verschaffen, wäre einfach nur naiv. Genauso naiv, wie es vor Jahren war anzunehmen, die USA würden unsere Kanzlerin nicht abhören, weil man so etwas unter Freunden schließlich nicht macht.

Nein, der Cloud Act ist keine rein hypothetische Möglichkeit.”

Er ist eine ganz reale Gefahr. Und er ist nicht allein. Es darf nämlich nicht vergessen werden, dass auch andere Staaten wie etwa China ganz ähnliche behördliche Zugriffsrechte in der Praxis umsetzen. Es handelt sich also um kein exklusives Problem von US-Clouds.Christian Schmitz, ownCloud