Die US-Regierung hat ihr Verfahren vor dem obersten US-amerikanischen Gericht, dem Supreme Court, zurückgezogen, ein Verfahren, in dem es darum ging, feststellen zu lassen, dass die US-Behörden unabhängig von den Gesetzen anderer Länder immer Zugriff auf die von US-amerikamischen oder in den USA tätigen Firmen gespeicherten Daten bekommen, America first sozusaben, überall und immer.
Nun braucht man diese Auseinandersetzung nicht mehr, denn seit Anfang April 2018 gibt es den CLOUD ACT. Nach diesem Gesetz können US-Behörden Zugriff auf außerhalb des US-Territoriums gespeicherte Daten erlangen, wenn sie bilaterale Abkommen getroffen haben, die die jeweiligen Ermittler ermächtigen, ihre Anfragen direkt an die betroffenen Cloud-Anbieter zu stellen.
Zur Erinnerung: Die US-Regierung hatte Microsoft 2013 in einem Drogenkriminalitätsfall eine Durchsuchungsanordnung eines Bundesrichters für das E-Mail-Konto eines Verdächtigen zugestellt. Microsoft allerdings weigerte sich, die Daten herauszurücken, weil sie in Irland gespeichert waren. Die US-Regierung hätte ein bestehendes Rechtshilfeabkommen bemühen müssen, um an die Daten zu kommen, worüber in der Sache kein Dissens bestand. Doch die USA waren der Meinung, sie dürfen das direkt, ohne die Rechtshilfe des fremden Staates. Microsoft verweigerte die Herausgabe der Daten. Nach einem mehrjährigen Streit gab ein Berufunsgericht Microsoft Rechtt, weswegen das US-Justizressort den Supreme Court anrief.
CLOUD Act steht für Clarifying Lawful Overseas Use of Data Act. Das Gesetz soll die Zusammenarbeit zwischen US- und ausländischen Strafverfolgungsbehörden für den Zugriff auf Daten regeln, die sich auf Servern ausserhalb des eigenen Landes befinden. Ausländische Behörden sollen im Gegenzug in gleicher Weise Zugriff auf US-Server erhalten. Dazu sollen bilaterale Abkommen getroffen werden, die die jeweilige Behörde ermächtigen, ihre Anfragen direkt an die Unternehmen zu stellen.
So erhalten Behörden vorbei an den Gerichten die Macht, Zugriffe auf die gewünschten Daten untereinander auszudealen. Draußen vor auch unser Verfassungsgericht, das in einer Sequenz vieler Urteile den Schutz der Persönlichkeitsrechte gegen staatliche Eingriffe verteidiigt hatte (siehe Bundesverfassungsgericht zum Computergrundrecht).
Die Cloud-Anhänger - gemeint sind jetzt die Protagonisten des Cloud Computing - hierzulande und vermutlich überall auf der Welt außerhalb den USAund China dürften keinen Grund zum Jubel sehen. Erst die Probleme für die Sicherheit und nun die Öffnung für unkontrollierte Behördenzugriffe. Vertrauen ist immer noch die wichtigste Grundlage für Geschäfte. Wenn man als Unternehmen nicht sicher sein kann, was mit den einem externen Provider anvertrauten Daten geschieht, wird man wohl wieder verstärkt über on premise nachdenken und mindestens aber sensible Daten lieber bei sich zu Hause speichern oder Strategien in Erwägung ziehen, die auf verschlüsselte Speicherung setzt, wobei der private Schlüsselteil ausschließlich bei dem betroffenen Unternehmen bleibt.
Erinnert sei in diesem Zusammenhang an einen alten Erlass des US-Präsidenten (damals noch Obama), dass die US-Geheimdienste verpflichtet seien, einen großen Teil ihres Budgets auf den Schutz der heimischen Industrie zu verwenden. Ein Bösewicht, wem dazu das Wort Insdustriespionage einfällt...
Karl Schmitz, April 2018 |