Aktueller Channel Fokus:

IT-Fachkräfte-Recruitment

CLOUD Act aus Sicht der AWS

CLOUD Act und Schutz von Kundendaten

| Autor / Redakteur: Michael Punke, Vice President of Global Public Policy bei AWS / Manfred Klein

AWS versichert auf die Privatsphäre und Sicherheit seiner Kunden zu achten
AWS versichert auf die Privatsphäre und Sicherheit seiner Kunden zu achten (© Sergey Nivens - stock.adobe.com)

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet amerikanische IT-Firmen und -Dienstleister, US-Behörden auch dann Zugriff auf Daten zu gewähren, wenn sie außerhalb der USA gespeichert sind. US-Behörden haben laut Michael Punke, Vice President of Global Public Policy bei AWS allerdings dennoch keinen freien Zugang zu den Daten von Cloud-Kunden.

In London fand kürzlich ein sehr interessanter und relevanter Vortrag zum Datenschutz statt: Der stellvertretende amerikanische Generalstaatsanwalt Richard W. Downing sprach in einer Rede im Rahmen der Academy of European Law Conference über die Mythen und Fakten des Clarifying Lawful Overseas Use of Data Act („CLOUD Act"). Im Anschluss daran veröffentlichte das US-Justizministerium (DOJ) ein Whitepaper mit FAQs, in denen Zweck und Umfang des CLOUD Act geklärt und viele der Missverständnisse dieses Gesetzes angesprochen wurden. Es ist unter abrufbar.

Der Autor Michael Punke, Vice President of Global Public Policy
Der Autor Michael Punke, Vice President of Global Public Policy (© AWS)

Einfach ausgedrückt handelt es sich beim CLOUD Act um kleinere Aktualisierungen eines Jahrzehnte alten Gesetzes, das sich streng darauf beschränkt, Strafverfolgungsbehörden bei der Bekämpfung und Abschreckung internationaler krimineller und terroristischer Aktivitäten zu helfen. Anders als gelegentlich behauptet, gibt er den amerikanischen Strafverfolgungsbehörden allerdings keinen freien Zugang zu den in der Cloud gespeicherten Daten.

AWS sieht die Rede und die Materialien des DOJ als einen Schritt in die richtige Richtung. Es muss von Regierungen auf der ganzen Welt jedoch noch mehr getan werden, um Kunden von Cloud Computing in wichtigen Fragen des Datenzugriffs aufzuklären. Deshalb möchte AWS einige der wichtigsten Missverständnisse über den CLOUD Act ausräumen und Kunden erläutern, dass dieses Gesetz die Art und Weise, wie sie Cloud Services nutzen, nicht verändern wird.

Zugang der Strafverfolgungsbehörden zu Daten in den vergangenen 30 Jahren

1986 verabschiedete der Kongress den Stored Communications Act („SCA“), der sich mit dem Zugang der Strafverfolgungsbehörden zur elektronischen Kommunikation befasste. Obwohl SCA damals als zukunftsweisend galt, haben die Gerichte im Laufe der Jahre darum gekämpft, ihn auf Technologien wie Internet-Anwendungen und Cloud Computing anzuwenden, die zum Zeitpunkt der Verabschiedung des SCA nicht existierten. Eine dabei diskutierte Frage lautete, ob die amerikanischen Strafverfolgungsbehörden Daten außerhalb der Vereinigten Staaten erhalten könnten.

Der CLOUD Act hat diese Debatte beendet. Mit ihm wurde klargestellt, dass Anbietern, die dem US-Recht unterliegen – also etwa einem Unternehmen, das in den Vereinigten Staaten geschäftlich tätig ist (einschließlich ausländischer Unternehmen mit US-Tochtergesellschaften), – ein Gerichtsbeschluss („warrant“) beziehungsweise eine gerichtliche Anordnung („court order“) gemäß SCA zugestellt werden kann. Demzufolge müssen Firmen Daten, die unter ihrer Kontrolle stehen, bereitstellen, unabhängig davon, wo sie gespeichert sind.

Um es klar zu sagen: Trotz gegenteiliger Meinungen handelt es sich beim CLOUD Act um kein neues Konzept. Bereits seit langem sind Regierungen auf der ganzen Welt in der Lage, Beweise für Verbrechen zu sichern, die außerhalb ihrer Zuständigkeit liegen. Wie das DOJ in seinem Whitepaper feststellt, verlangen die meisten Länder die Offenlegung von Daten, egal wo sie gespeichert sind. Das geschieht im Einklang mit dem Budapester Übereinkommen, dem ersten internationalen Vertrag zur Verbesserung der Zusammenarbeit bei Ermittlungen rund um Cyber- und Computerkriminalität.

So erlauben beispielsweise französische Gerichte der Polizei längst, Daten außerhalb Frankreichs zu beschaffen, sofern sie von einem Computer in Frankreich aus zugänglich sind. Im Februar 2019 verabschiedete Großbritannien den Crime (Overseas Production Orders) Act. Er ermöglicht es den britischen Strafverfolgungsbehörden, elektronische Daten von einem Unternehmen oder einer Person mit Sitz außerhalb des Vereinigten Königreichs zu erhalten.

Diese Praxis steht im Einklang mit einem Jahrhunderte alten Prinzip der internationalen Zusammenarbeit. Die Länder nutzen dabei eine Reihe von Instrumenten, die von nationalen Gesetzen bis hin zu internationalen Verträgen reichen, um potenzielle Beweise außerhalb ihrer Grenzen zu sichern und die grenzüberschreitende Zusammenarbeit zu verbessern. Auch vertrauenswürdige und angesehene Organisationen wie Europol operieren auf dieser Grundlage. Somit spiegelt der CLOUD Act lediglich wider, was viele Strafverfolgungsbehörden und Länder außerhalb der USA seit vielen Jahren tun.

Verständnis des CLOUD Act

Eines der häufigsten Missverständnisse über den CLOUD Act ist, dass er nur für US-Unternehmen gilt. Das ist nicht wahr. Der CLOUD Act richtet sich an alle Anbieter von elektronischen Kommunikations-Services oder Remote-Computing-Diensten, die der US-Gerichtsbarkeit unterliegen, darunter E-Mail-Anbieter, Telekommunikationsunternehmen, Social-Media-Sites und Cloud-Anbieter. Er gilt unabhängig davon, ob diese Unternehmen in den Vereinigten Staaten oder in einem anderen Land niedergelassen sind. Das bedeutet, dass jede ausländische Firma mit einer Niederlassung oder Tochtergesellschaft in den Vereinigten Staaten dem CLOUD Act unterliegt. Wie Richard W. Downing in seiner Rede sagte, haben US-Gerichte entschieden, dass selbst Nicht-US-Websites, die von Kunden mit Sitz in den Vereinigten Staaten genutzt wurden, der US-Gerichtsbarkeit und damit auch dem CLOUD Act unterliegen könnten.

Ein weiteres häufiges Missverständnis über den CLOUD Act ist, dass er der US-Regierung einen ungehinderten Zugang zu Daten von Cloud-Anbietern ermöglicht. Das ist falsch. Das CLOUD-Gesetz gewährt den Strafverfolgungsbehörden keinen freien Zugang zu den in der Cloud gespeicherten Daten. Die Strafverfolgung kann Dienstleister zur Datenbereitstellung nur zwingen, wenn sie die strengen rechtlichen Standards für einen von einem US-Gericht ausgestellten Gerichtsbeschluss („warrant“) erfüllen. Das US-Recht stellt hohe Anforderungen an die Erlangung eines solchen Beschlusses und verlangt, dass ein unabhängiger Richter zu dem Schluss kommt, dass die Strafverfolgungsbehörden berechtigte Gründe haben, die Informationen anzufordern. Ferner, dass die angeforderten Informationen sich direkt auf eine Straftat beziehen und dass die Anfrage klar, präzise und verhältnismäßig gestellt wird. Das ist das Gegenteil von ungehindertem Zugang.

Wenn AWS eine Anfrage nach Daten erhält, die sich außerhalb der Vereinigten Staaten befinden, verfügt das Unternehmen über die Mittel, um diese anzufechten – was in der Vergangenheit häufig geschah. Tatsächlich beginnen die Herausforderungen in der Regel lange bevor es vor Gericht geht. Jede Anfrage von Strafverfolgungsbehörden wird von einem Team aus Rechtsanwälten evaluiert. Im Rahmen dessen prüft AWS, ob die Anfrage gegen die Gesetze der Vereinigten Staaten oder des Landes, in dem sich die Daten befinden, verstößt, oder die Rechte des Kunden gemäß einschlägiger Gesetze verletzt. Dabei setzt das Unternehmen die geltenden Rechtsstandards rigoros durch, um jede Anfrage der Strafverfolgungsbehörden nach Daten aus jedem Land zu begrenzen oder ganz abzulehnen. Das gilt auch für Anfragen aus den USA. AWS setzt sich aktiv dafür ein, dass die Strafverfolgungsbehörden jegliche Bedenken ausräumen. Das führt häufig dazu, dass diese ihren Antrag zurückziehen.

Für den Fall, dass AWS einen Streitfall nicht lösen kann, zögert das Unternehmen nicht, vor Gericht zu ziehen. AWS hat in der Vergangenheit formell Regierungsanfragen nach Kundeninformationen abgelehnt, die es für überzogen oder anderweitig unangemessen hielt. Das Unternehmen wird sich auch weiterhin gegen Forderungen wehren, auch solche, die im Widerspruch zu lokalem Recht wie der DSGVO in der Europäischen Union stehen. Dabei tut AWS alles in seiner Macht stehende, um Kundendaten zu schützen. Folglich werden auch künftig Kunden benachrichtigt, bevor Inhalte gegenüber Behörden offengelegt werden. Außerdem bietet AWS erweiterte Verschlüsselungs- und Schlüsselverwaltungsdienste an, mit denen Kunden ihre Inhalte effektiv schützen können. So verfügt AWS über branchenführende Verschlüsselungsdienste. Sie geben den Kunden eine Reihe von Möglichkeiten, Daten während der Übertragung und in abgelegter Form zu chiffrieren, und Ver- und Entschlüsselungsschlüssel zu verwalten. Schließlich sind verschlüsselte Inhalte ohne Entschlüsselung nutzlos.

Der Cloud Act hat die Möglichkeiten der Cloud-Anbieter, ihre Kunden zu schützen, nicht verändert

AWS achtet auf die Privatsphäre und Sicherheit seiner Kunden. Das Unternehmen verpflichtet sich, allen Kunden, einschließlich Regierungsbehörden, die AWS ihre sensibelsten Inhalte anvertrauen, die umfangreichsten Sicherheitsdienste und -funktionen zur Verfügung zu stellen. Dadurch gewährleistet das Unternehmen die vollständige Kontrolle über Daten. Das CLOUD-Gesetz hat diese Verpflichtung nicht verändert oder geschwächt. Im Gegenteil, das CLOUD-Gesetz erkennt das Recht von Cloud-Anbietern an, Anfragen anzufechten, die im Widerspruch zu Gesetzen oder nationalen Interessen eines anderen Landes stehen. Es fordert außerdem, dass Regierungen die lokalen Rechtsnormen respektieren. Darüber hinaus können sich ausländische Regierungen, die über das Risiko der Offenlegung von Regierungsdaten besorgt sind, sich gegebenenfalls auf souveräne Immunität berufen. Die Vereinigten Staaten erkennen an, dass nach dem Grundsatz der souveränen Immunität ausländische Regierungen über wirksame rechtliche Mittel nach US-Recht verfügen, um die Weitergabe ihrer Daten zu verhindern.

Kunden auf der ganzen Welt können AWS weiterhin in Übereinstimmung mit den lokalen Gesetzen nutzen

AWS hilft seinen Kunden und Partnern ständig, ihre Position in Bezug auf neue Compliance-Standards und Gesetze zu verstehen. Nur so können Unternehmen sicherstellen, dass ihre Endbenutzer geschützt sind. Weitere Informationen dazu befinden sich auf der AWS-Webseite zum Cloud Act unter https://aws.amazon.com/de/compliance/cloud-act/ Dort können sich Unternehmen mit den Fakten rund um die begrenzten Auswirkungen des CLOUD Act vertraut machen und dessen Anwendung auf AWS verstehen.

Cloud Computing beeinflusst das Leben auf der ganzen Welt in vielerlei Hinsicht positiv. Mit Hilfe der AWS-Technologien erschaffen Kunden zukunftsweisende Technologien, die das Leben und Lernen prägen – sei es durch Foto-Sharing und Video-Streaming, verbesserten Zugang zu Finanzdienstleistungen und E-Commerce/Handel, die Verarbeitung von Geodaten für neue Entdeckungen, die Erschaffung und Förderung neuer Möglichkeiten für Bildung und Kompetenzentwicklung und die Unterstützung der Industrie bei der Entwicklung von barrierefreien AI/ML-Diensten. AWS-Kunden nutzen die Cloud für viele ausgesprochen wertvolle Projekte: Sie arbeiten daran, Menschenhandel und Gewaltkriminalität zu verhindern, die Angebote für Bürger in den Städten zu verbessern und medizinische Durchbrüche zu erzielen. Es wäre unglaublich enttäuschend, wenn all dies aufgrund grundlegender Missverständnisse über das CLOUD-Gesetz verlangsamt würde. Die kürzlich vom DOJ bereitgestellten Informationen über den CLOUD Act sind deshalb ein hilfreicher Schritt zu einem besseren Verständnis der Fakten.

Faktencheck zum CLOUD Act

Grundsatz der Verhältnismäßigkeit

Faktencheck zum CLOUD Act

11.06.19 - Zum Thema CLOUD Act gibt es unterschiedliche Ansichten und Auslegungen: die einen warnen eindringlich vor der möglichen Kollision mit regionalen Gesetzgebungen wie GDPR und DSGVO, die anderen winken ab und sagen, alles alter Hut: international übergreifende Kooperationen der Exekutive, teils auch der Legislative gibt es schon seit Jahrzehnten, wurden jetzt nur upgedatet, auf neue Technologien angepasst und somit auf den aktuellen Stand gebracht. Ja, was stimmt denn nun? lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45965678 / Cloud)