Telemedicus Logo
Weiterempfehlen Drucken

Der Patriot Act - ein aussagekräftiger Name für ein Gesetz, welches nicht nur hierzulande schon für einigen Aufruhr sorgte.

Der Patriot Act existiert seit Oktober 2001 – und war eine der amerikanischen Antworten auf die Terroranschläge des 11. September. Der Name PATRIOT ist eine Abkürzung und steht für „Uniting (and) Strengthening America (by) Providing Appropriate Tools Required (to) Intercept (and) Obstruct Terrorism Act of 2001” (in etwa: Gesetz zur Stärkung und Einigung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu blockieren).

Seit der Einführung schlägt der Patriot Act hohe Wellen, auch in Europa. So berichteten viele Medien über die sich daraus ergebenden Folgen: Das Gesetz räumt weitreichende Befugnisse ein, insbesondere für die staatlichen Ermittlungsbehörden wie das FBI. Doch nicht nur auf die USA hat das Anti-Terror-Gesetz Auswirkungen. Auch der Datenschutz in der EU ist indirekt betroffen.

Der Patriot Act – ein Anti-Terror-Gesetz mit Auswirkungen


Dass die amerikanischen Datenschutzgesetze nicht denjenigen der EU entsprechen, ist gemeinhin bekannt – die USA gelten aus europäischer Sicht als „unsicherer Drittstaat“, für Datenübermittlungen in die USA werden Maßnahmen wie der Abschluss von EU-Standard-Verträgen oder Safe-Harbor-Zertifizierungen des Datenempfängers benötigt. Die weitreichenden Befugnisse durch den Patriot Act scheinen diese Sicht des "nicht angemessenen Schutzniveaus" zu bestätigen.

Auch das Unabhängige Datenschutzzentrum Schleswig-Holstein (ULD) hat sich in einer Stellungnahme mit den rechtlichen Fragestellungen des Patriot Acts und den damit verbundenen Risiken für den europäischen und deutschen Datenschutz auseinandergesetzt.

Demnach können nicht nur deutsche Unternehmen, deren Muttergesellschaft in den USA sitzt, sondern auch Unternehmen, die aufgrund ihrer Konzernstruktur mit US-Unternehmen „verbandelt“ sind, zur Herausgabe bestimmter Daten aufgrund des Patriot Acts verpflichtet werden. Aber schon hier wird deutlich, dass es nicht nur der Patriot Act ist, der dazu führt, dass deutsche oder europäische Daten aufgrund einer Anordnung in die USA gehen müssen; auch andere Maßnahmen wie die „Bank of Nova Scotia Subpoena“ (BNS-Zwangsmaßnahme), bei der es um Ermittlungen im Bereich der Steuer-, Finanz-, Wirtschafts-, Drogen- und Organisierten Kriminalität geht.

In diesen Fällen spielen Einwendungen, die auf das europäische Datenschutzrecht verweisen, keine Rolle. Voraussetzung für eine endgültige Bestätigung einer solchen Anordnung ist, dass eine dringende Notwendigkeit des Beweises besteht und die Wahrscheinlichkeit besteht, dass andere Methoden erfolglos sein werden.

Doch schon bevor es den Patriot Act gab, hatten die amerikanischen Behörden gewisse Zugriffsrechte. Der Electronic Communications Privacy Act (ECPA) besagt, dass die Behörde nur dann auf die Daten zugreifen darf, wenn zum Beispiel ein Richter einen Durchsuchungsbefehl (search warrant) oder eine „ECPA court order“ anordnet. Der ECPA verbietet es den Behörden elektronische Daten abzufangen, solange nicht durch einen Richter bestätigt ist, dass eine hohe Wahrscheinlichkeit besteht, dass die Daten Beweise für eine Straftat enthalten.

Zugriffsrechte der US-Behörden


Weitere Möglichkeiten der US Behörden auf Daten zuzugreifen: FISA Orders und National Security letters. Diese ermächtigen die Behörden zum Beispiel bei Ermittlungen im Rahmen von Terrorismusbekämpfung auf Daten zuzugreifen. Aber auch diese Möglichkeiten bestanden schon bevor es den Patriot Act gab. Dieser hat die Möglichkeiten aber erweitert, unter anderem durch sogenannte „gag order“ Regelungen, die es den Empfängern von FISA orders oder National Security letters verbieten, offenzulegen, dass sie eine solche „order“ erhalten haben. Zudem gibt es Beschränkungen der Zugriffsrechte – nur bei Terrorismusbekämpfung und „foreign intelligence investigations“ dürfen diese Methoden eingesetzt werden.

Eine weitere Möglichkeit der amerikanischen Gerichte: Deutsche Unternehmen können im Rahmen einer eDiscovery durch ein amerikanisches Gericht dazu verpflichtet werden, Daten herauszugeben – obwohl einem solchen Vorgehen das geltende europäische Datenschutzrecht entgegensteht. Ist das deutsche Unternehmen also beispielsweise ein Tochterunternehmen eines amerikanischen Unternehmens, befindet es sich in einem Dilemma: Gibt es die Daten heraus, verstößt es in den meisten Fällen gegen geltendes Recht, weigert es sich, wird die Muttergesellschaft den Prozess in den USA verlieren und riskiert finanzielle Sanktionen wegen eines „Contempt of Court“.

Das Problem der eDiscovery stellt sich schon seit vielen Jahren, in der jüngeren Vergangenheit wird dieses Problem von der Sedona Conference bearbeitet, die sich zum Ziel gesetzt hat, in Zusammenarbeit mit Vertretern der europäischen Rechtsordnung, eine Lösung zu finden. Ob sich der Konflikt jedoch je zur beiderseitigen Zufriedenheit lösen wird, ist noch nicht absehbar.

Die Cloud: wirklich nur in Europa sicher?


Beim Thema Cloud Computing wird der Einfluss des Patriot Acts auf die europäischen Daten sichtbar. Denn auch ohne Bürger der USA zu sein, können auch Daten von EU-Bürgern dem Zugriff amerikanischer Behörden ausgesetzt sein, wenn es sich um einen amerikanischen Cloud-Anbieter handelt.

Somit steht man als ein solcher Cloud-Anbieter in Europa eher schlecht da: Cloud-Computing in den Vereinigten Staaten erfordert nicht nur, dass die Übermittlung in das EU-Ausland durch entsprechende Verträge oder Einwilligungen der Betroffenen zulässig gemacht wird, sondern ist auch mit den entsprechenden Horror-Szenarien verbunden, die naturgemäß von der europäischen Konkurrenz gemalt werden: Der Patriot Act ermögliche einen leichten Zugriff auf die in der Cloud gespeicherten Daten der EU-Bürger, man solle sich doch lieber für die sichere, europäische Variante entscheiden.

Zugriffsrechte in Europa


Dass das so nicht ganz korrekt ist, zeigt eine Studie von Hogan Lovells. Demnach sollen die Zugriffsrechte in Europa mit denen der Vereinigten Staaten durchaus vergleichbar sein, teilweise sogar weniger strengere Anforderungen haben.

So können Cloud-Anbieter in einigen europäischen Ländern ihre Daten auch freiwillig offenlegen. Hinzu kommt, dass Rechtshilfeabkommen zwischen Staaten bestehen, sodass Regierungen untereinander die Berechtigung haben, auf Daten zuzugreifen, die in einem anderen Land gespeichert sind.

Die Sicherheit von Daten in der Cloud ist also nicht nur in den USA ein Problem. Fakt ist laut der Studie von Hogan Lovells: Im Jahr 2010 stellte die amerikanische Regierung gerade einmal 96 Anfragen für den Zugriff auf Geschäftsdaten.

Vergleicht man den Patriot Act mit den Zugriffsrechten, die in europäischen Ländern bestehen – wie von Hogan Lovells getan – erscheinen die Unterschiede dann doch nicht so groß wie ursprünglich angenommen. Auch in Europa bestehen Zugriffsrechte der Behörden, unter anderem für strafrechtliche und behördliche Ermittlungen.

Ob der Patriot Act damit seinen Schrecken verliert, ist aber eher fraglich.
Anzeige:

Kommentare

* Mark 26.11.2012 19:39
Informativer Beitrag. Die eigentliche Problematik des Cloud Computings wurde aber nicht angerissen. Der Schutz personenbezogener Daten auf us-amerikanischem Boden ist aufgrund des Patriot Acts natürlich gemessen an europäischen Standards nicht gewahrleistet. Der eigentliche Knackpunkt liegt aber darin dass Google und andere Cloud Provider mit Sitz in den USA reine EU-Clouds betreiben, um damit den Patriot Act aufgrund der ausschließlichen Anwendbarkeit nationalen europäischen datenschutzrechts umgehen zu können. Falsch gedacht. Die US-Behörden greifen dennoch auch auf die in reinen Eu-Clouds gespeicherten Daten der US-Provider zu. Dies darf nicht sein und sorgt dementsprechend für ausreichenden Protest. Das ein Patriot Act der USA über allem steht, kann und darf nicht sein.
* Martin 29.11.2012 09:44
Ja, informativer Beitrag. Alle reden im Zusammenhang des Patriot Act von Cloud. Wenn ich als Nicht-Jurist die Problematik richtig verstehe, würden dieselben Regeln auch greifen, wenn eine Firma ihre Daten bzw. Daten und Services von der deutschen Niederlassung einer amerikanischen Firma hosten lässt. Das heisst, das Argument "ich traue der Cloud nicht, ich bleibe bei meinem Hoster" ist auch falsches Denken: Die Firmendaten sind beim Hoster ganz genauso dem Petriot Act (und den diversen anderen Acts) unterworfen, als wären sie in der Cloud. Verstehe ich das richtig?
* Johanna Laas 29.11.2012 11:35
Hallo Martin,
ja, US-Strafverfolgungsbehörden können auch Daten anfordern, die bei einem deutschen Unternehmen mit Konzernverbindungen in den USA liegen. Ohne richterliche Anordnung geht dies aber nicht. Allerdings muss sich natürlich ein deutsches Unternehmen an das BDSG halten - sollte es dann personenbezogene Daten in die USA übermitteln, um sie beispielsweise dem FBI auszuhändigen, riskiert es ein Bußgeld bis zu 300.000 Euro nach dem BDSG.
Dies gilt natürlich nicht nur beim Cloud Computing, sondern auch bei vielen global agierenden Unternehmen.
Aber gerade die Cloud Computing-Anbieter mit gesellschaftsrechtlichem Bezug in die USA befinden sich somit in einer Zwickmühle.
* Adrian 01.12.2012 17:54
Was ich mich frage: Wie sind denn die Auswirkungen auf die Auftragsdatenverarbeitung? Kann ich als deutsches Unternehmen überhaupt rechtssicher Cloud-Services von US-Unternehmen nutzen?

Angenommen ich schließe mit Mircosoft Deutschland oder Amazon Irland eine Auftragsdatenverarbeitungsvereinbarung, um meine Unternehmensdaten in der Cloud zu speichern. Dann schwebt doch über meinen gespeicherten Daten immer das Damoklesschwert der US-Strafverfolger, die nach amerikanischem Recht unter gewissen Umständen trotzdem auf meine Daten zugreifen können - selbst wenn ich die Vereinbarung mit der europäischen Niederlassung der Unternehmen geschlossen habe und die Daten auf europäischen Servern liegen.

Sehe ich das richtig?
* Johanna Laas 03.12.2012 11:10
Das ist richtig. Mit einer europäischen Niederlassung eines US-Unternehmen einen Vertrag zur Auftragsdatenverarbeitung zu schließen, birgt immer das Risiko, dass die Strafverfolgungsbehörden der USA auf die Daten zugreifen - auch, wenn es sich um europäische Server handelt. Mit dem Vertrag nach § 11 BDSG (oder einer europäischen Entsprechung) kann man nur absichern, dass die Daten bei dem Unternehmen selbst bestimmten Sicherheits-Anforderungen entsprechend verarbeitet werden.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.