Nicht nur der US CLOUD Act ist relevant
Es reicht nicht aus, nur den CLOUD Act zu betrachten, wenn es um die Risiken der Nutzung amerikanischer Cloud-Dienste geht.
Microsoft, Amazon Web Services (AWS) und Google vermitteln uns beruhigende Botschaften: Die Risiken seien überschaubar, niemand wie Donald Trump lese private E-Mails, und durch die Gründung europäischer Tochtergesellschaften werde eine Art „digitale Souveränität“ suggeriert. Doch diese Versicherungen greifen zu kurz.
Tatsächlich hat die US-Regierung über die Jahre hinweg ein ganzes Arsenal an rechtlichen und administrativen Werkzeugen aufgebaut, die es ihr ermöglichen, US-Unternehmen auch im Ausland zu steuern. Dazu gehören:
- Der Zugriff auf Daten und Metadaten, selbst wenn diese auf Servern außerhalb der USA gespeichert sind,
- die Möglichkeit, Finanztransaktionen zu unterbinden oder zu manipulieren,
- sowie die Befugnis, Unternehmen daran zu hindern, bestimmte Kunden zu bedienen. Unabhängig davon, wo diese sich auf der Welt befinden.
Angesichts der Tatsache, dass sich die USA zunehmend von internationalen Abkommen distanzieren und sich von einer auf Recht und Regeln basierenden Ordnung abwenden, wäre es naiv, die damit verbundenen Risiken zu verharmlosen. Vielmehr müssen wir diese Entwicklungen kritisch hinterfragen und die potenziellen Konsequenzen für Datenschutz, wirtschaftliche Souveränität und digitale Autonomie ernst nehmen.
Die Behauptung, europäische Tochtergesellschaften böten ausreichenden Schutz, steht auf wackeligen Füßen, solange die übergeordneten US-Konzerne den rechtlichen und politischen Vorgaben Washingtons unterliegen.
Eine echte Souveränität im digitalen Raum erfordert mehr als nur symbolische Gesten. Nachfolgende Übersicht stammt von Simon Besteman, Director of Public Affairs Dutch Cloud Community.
Extraterritoriale Reichweite US-amerikanischer Gesetze und Regularien
| Gesetz / Regime | Anwendungsbereich | Extraterritoriale Reichweite |
|---|---|---|
| CLOUD Act | Daten, die von einem US-Unternehmen verwaltet werden, auch im Ausland | Sehr hoch |
| FISA 702 | Nicht-US-Personen, die über einen US-Anbieter überwacht werden | Sehr hoch |
| USA PATRIOT Act | US-Unternehmen kontrollieren Daten oder Vermögenswerte | Indirekt |
| IEEEPA / OFAC | Transaktionen in USD oder mit sanktionierten Entitäten | Sehr hoch |
| CAATSA | Geschäfte mit sanktionierten Entitäten | Sehr hoch |
| FCPA | USD-Zahlungen, Daten über US-Server | Sehr hoch |
| EAR / ITAR | Produkte enthalten US-Technologie oder Rüstungskomponenten | Extrem hoch |
| Sherman Antitrust Act | Handlungen, die den US-Handel beeinflussen | Hoch |
| Bank Secrecy Act | Ausländische Bank nutzt ein US-Korrespondenzkonto | Hoch |
Erläuterungen:
- CLOUD Act: Ermöglicht US-Behörden den Zugriff auf Daten, die von US-Unternehmen gespeichert werden, unabhängig vom Standort der Server.
- FISA 702: Erlaubt die Überwachung von Nicht-US-Personen, wenn diese Dienste von US-Anbietern nutzen.
- USA PATRIOT Act: Erweitert die Befugnisse von US-Behörden, um Daten und Vermögenswerte zu kontrollieren, die von US-Unternehmen verwaltet werden.
- IEEPA / OFAC: Reguliert Transaktionen in US-Dollar oder mit sanktionierten Entitäten und hat eine sehr hohe globale Reichweite.
- CAATSA: Sanktioniert Geschäfte mit bestimmten Entitäten und hat eine sehr hohe extraterritoriale Wirkung.
- FCPA: Betrifft Korruptionsbekämpfung, insbesondere bei Zahlungen in US-Dollar oder Datenverkehr über US-Server.
- EAR / ITAR: Kontrolliert den Export von US-Technologie und Rüstungsgütern und hat eine extrem hohe globale Reichweite.
- Sherman Antitrust Act: Reguliert Wettbewerbsbeschränkungen, die den US-Handel beeinflussen.
- Bank Secrecy Act: Verpflichtet ausländische Banken, die US-Korrespondenzkonten nutzen, zur Offenlegung von Informationen.
Die Übersicht zeigt, dass viele US-Gesetze eine erhebliche extraterritoriale Wirkung haben und Unternehmen weltweit betreffen können, selbst wenn diese nicht direkt in den USA ansässig sind.
