Ticker :

Microsoft veröffentlicht sechs Grundsätze zum CLOUD Act

Microsoft veröffentlicht auf dem Unternehmensblog sechs Empfehlungen für den Umgang mit geheimen Anfragen von US Amerikanischen Geheimdienst- und Strafverfolgungsbehörden auf Kundendaten von Cloud Anbietern. Diese geheimen Anfragen erfolgen heute ohne das die jeweilige Geheimdienstbehörde dafür einen richterlichen Durchsuchungsbeschluss vorlegen kann oder gar ein formelles Ermittlungsverfahren eröffnet worden ist. Selbstverständlich darf der Cloud Provider der betroffenen Person keine Kenntnis über die geheimen Anfragen geben. Tut er es doch, drohen drakonische Strafen durch das Department of Justice (DoJ).

Microsoft 6 Prinzipien zum CLOUD Act

Microsoft 6 Prinzipien zum CLOUD Act

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde am 26. März 2018 durch den US Kongress genehmigt und ratifiziert nachdem das DoJ die Geduld mit Mircosoft in Irland verloren hatte. Damals wollte das DoJ von Mircosoft, dass es Daten eines US Bürgers, welche sich auf Cloud-Servern von Mircosoft in Irland befanden, an das DoJ herausgibt. Microsoft verweigerte die Herausgabe und berief sich auf die lokal geltenden Datenschutzgesetze von Irland und der EU und gab die Daten zunächst nicht heraus. Daraufhin verklagte das DoJ Microsoft in den USA und wollte mit Hilfe des Gerichts nun Microsoft zwingen, die Daten herauszugeben. Das Verfahren zog sich hin, weil die Richter nicht ohne Weiteres die Forderung des DoJ aus dem Gesetz ableiten konnten. Also adressierte das DoJ den Kongress ganz einfach mit der Gesetzesvorlage für den heutigen CLOUD Act. welcher dann wie schon erwähnt am 26. März 2018 vom US Kongress verabschiedet wurde. Die EFF (Electronic Frontier Foundation) unterstützte damals den Vorstoß von Microsoft gegen den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) und forderte andere Konzern-Riesen wie Amazon und Google auf mitzuziehen. Gleichwohl blieben die Bemühungen von Microsoft und der EFF erfolglos und Microsoft musste sich dem neuen Gesetz beugen und die Daten herausgeben

 

Das Gesetz sieht vor, dass nationale oder supranationale Datenschutzgesetze für US Amerikanische Cloud Anbieter wie Microsoft Azure, Amazon Web Services, Gmail, Hotmail aber Anbieter wie Dilligent, Brainloop oder E-Shares nicht gelten und diese Cloud Anbieter entgegen den lokalen Gesetzgebung Kundendaten von US Bürgern oder US Unternehmen oder auch Unternehmen anderer Nationen, die in den USA aber einen Sitz haben und die der Cloud Provider hosted, an die US Amerikanischen Verfolgsbehörden ohne Durchsuchungsbeschluss oder Gerichtsverfahren herausgeben muss. Dabei spielt auch im übrigen überhaupt keine Rolle wo der Cloud Provider seine Cloud-Server aufgestellt hat und betreibt. Der CLOUD Act. setzt sämtliche lokalen nationalen Datenschutzgesetze für US Amerikanische Cloud Anbieter ausser Kraft und zwingt sie gegen Strafandrohung, die jeweiligen nationalen Gesetze zu brechen.

 

Die Trennung von Daten eines US Bürgers von den Daten eines Bürgers aus der EU erscheint hier nur theoretisch möglich zu sein, den faktisch wird sich z.B. eine Email eines US Bürgers an einen EU Bürger nicht inhaltlich trennen lassen. Insofern werden durch den CLOUD Act. gegenwärtig und zukünftig immer wieder Daten von EU Bürgern an die US Amerikanischen Verfolgungsbehörden herausgegeben werden, ohne das die Bürger davon irgend eine Kenntnis haben. 

 

Mit dieser Ausgangssituation versucht Microsoft nun Schadensbegrenzung für alle seine Cloud Produkte in der EU zu betreiben, in dem  Brad Smith von Microsoft nun sechs Prinzipien als mögliche Änderungen CLOUD Act. einfordert, damit die Persönlichkeitsrechte aller Nutzer in der Mircosoft Cloud bewahrt bleiben. 

 

Auch wenn es sich zunächst so liest als wäre das alles schon implementiert, so bleibt es doch eine Wunschliste an Massnahmen, die eben gerade heute alle nicht sichergestellt sind und die die gesamte Tragweite und das Ausmass des Datenmissbrauchs nach Europäischen Standards wie der GDPR durch US Amerikanische Verfolgungsbehörden zum Ausdruck bringen:

 

  1. Mircosoft fordert das Recht auf Benachrichtigung des Betroffenen muss gegeben sein: Bis auf wenige Ausnahmen (Gefährdung der laufenden Untersuchung oder bspw. Gefährdung der öffentlichen Sicherheit) sollten Nutzer darüber in Kenntnis gesetzt werden, dass ihre Daten gesichtet werden, und Cloud Anbieter sollten genauso die Möglichkeit haben, seine Nutzer zu informieren. 
  1. Microsoft fordert das der Zugriff auf sensible Nutzerdaten vor der Vollstreckung von einem unabhängigen Gericht geprüft werden muss und darf im Fall der Freigabe durch das Gericht nur minimal und auf den konkreten Fall hin  erfolgen.
  1. Die Cloud-Anbieter müssen ausreichend Informationen erhalten, um eine gründliche Überprüfung der Anfrage nach Nutzerdaten im Rahmen der Strafverfolgung zu ermöglichen. Es müssen zusätzlich klare Rechtsmittel existieren, um rechtswidrige und unangemessene Forderungen nach Benutzerdaten anzufechten.
  1. Microsoft fordert, dass Internationale Abkommen mit Drittstaaten abgeschlossen werden müssen um Rechtskollisionen zu vermeiden und Mechanismen zur Beilegung von Konflikten vorzusehen.
  1. –Microsoft fordert, dass Unternehmen das Recht haben müssen, ihre Daten zu kontrollieren, und sie sollten Anfragen zur Datenfreigabe direkt erhalten.
  1. Microsoft fordert, dassdie Öffentlichkeit das Recht haben muss zu erfahren, wie und wann US Amerikanische Verfolgungsbehörden Zugang zu digitalen Beweismitteln suchen und welche Schutzmechanismen für die eigenen Daten greifen.

 

Auch wenn die Marketing Abteilung von Microsoft geschickt den Eindruck versucht zu vermitteln, dass Microsoft die Interessen seiner Kunden versucht zu vertreten, so wird doch durch die Thesen und Forderungen deutlich wie der  CLOUD Act einen rechtsfreien Raum in der Cloud von Microsoft geschaffen hat und Microsoft machtlos ist, die Daten seiner Kunden vor den Eingriffen der US Amerikanischen Verfolgungsbehörden zu schützen.

 

Es gibt keinen rechtlichen Rahmen, in dem geregelt wird, ob und wie Nutzer benachrichtigt werden müssen oder ob der Datenzugriff rechtmäßig ist. Zudem werden keine Behörden oder andere Drittinstanzen eingesetzt um überhaupt den Datenzugriff zu prüfen.

 

Insgesamt zeigt Brad Smith in seinem Thesenpapier, dass die US Regierung den Amerikanischen Überwachungsbehörden mit dem CLOUD-Act ein supranational rechtswidriges Instrument, faktisch aber ein sehr mächtiges Mittel zur ungehinderten Dateneinsicht an die Hand gegeben hat.Aber auch im Hinblick auf die sechs Punkte, die Microsoft schon fast hilferufend veröffentlicht hat, werfen sich Fragen auf, wie die Rechtssysteme verschiedener Länder mit dieser Rechtslage umgehen werden. Zur Zeit findet hierzu kein öffentlicher Diskurs statt. Die Aufforderung von Microsoft an die anderen grossen Cloud Anbieter, sich diesen Thesen anzuschliessen und Druck auf die US Regierung zu machen, bleiben bisher ohne jegliche Resonanz von Google, Facebook oder anderen. Die schiere Aussichtslosigkeit auf Änderungen führte bei letzteren wahrscheinlich schon zur Kapitulation und der Strategie, lieber nichts dem Kunden davon sagen, dann stellt er nicht so viele Fragen. Insofern muss man Microsoft dankbar sein dafür, dass sie die Thesen aufgestellt haben, an dem faktischen Ergebnis, dass Daten mit US Amerikanischen Cloud Anbietern nicht vor dem Zugriff der mitlerweile 17 US Geheimdienstbehörden geschützt werden können, ändern diese auf lange Sicht jedenfalls nichts..

 

Im Endeffekt sieht es so aus, dass unter dem Deckmantel der Strafverfolgung unter Umständen viel mehr Daten abgerufen und gesammelt werden, als dieses nötig oder rechtens wäre. 

 

Das die USA ein ganz anderes Verständnis von Datenschutz haben zeigt der sogenannte „Patriot Act“, der US Behörden Zugriff auf sämtliche Daten von US Bürgern und Unternehmen in den USA  ebenfalls ganz ohne Gerichtsbeschluss gewährt.. In den USA haben sich die Bürger und Unternehmen an diesen Umstand schon etwas länger gewöhnt, in Europa führt die gleiche Vorgehensweise der US Amerikanischen Regierung mit Hilfe des CLOUD Act zu dem Umstand, dass Europäer so einem Vorgehen nicht zustimmen und damit gezwungen sind, US Amerikanische Cloud Anbieter nicht für einen Grossteil Ihre Daten verwenden zu können, wenn sie DSGVO/GDPR compliant sein wollen.

 

Wir von Loomion beobachten die Entwicklung des CLOUD Act interessiert und werden über die weitere Entwicklungberichten. Bald wird der CLOUD Act von der EU mit der eVidence beantwortet, es wird interessant, wie konkret dieser Gesetzentwurf im Rahmen der GDPR (DSGVO) aussehen wird.

 

Loomion is safe.

Loomion is not CLOUD-Act.

Loomion is on-premise.

I’m Loomion.

 

 

#BoardMatters #Loomion_Kolumne #Loomion #Board_Portal #Virtual_DataRoom #CorpGov #papierlos #Boardroom #FreeYourBoard #Digitalisierung #Corporate #Governance #Compliance #CSR   #Aufsichtsrat #SecureDataRoom #DSGVO #CLOUD-Act #on-premise