Die Datenschutzkonferenz der Bundesländer veröffentlichte kürzlich ein Rechtsgutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse. Das Gutachten mit Datum vom 2021-11-15 können Sie online auf den Seiten der Datenschutzkonferenz DSK nachlesen. Als Service von Uptime IT bieten wir Ihnen das Gutachten hier zum Download an.
Die Ergebnisse stützen die Argumentation von Uptime IT: Auch wenn US-Unternehmen anscheinend DSGVO-konforme Rechenzentren in Deutschland betreiben, sind die dort gehosteten Daten vor dem Zugriff durch US-Behörden nicht sicher. Betriebsinterna und Geschäftsgeheimnisse der deutschen Wirtschaft stehen auf dem Spiel, wenn Dienstleister beauftragt werden, die Abhängigkeiten in die USA haben, beispielsweise weil der Mutterkonzern US-amerikanisch ist.
„Wir begrüßen es, dass die DSK sich bestätigen lässt, was seit langem bekannt ist und dies von kompetenter Seite aktuell und ausführlich dargelegt wird. Jeder Unternehmer, der beispielsweise die Hyperscaler beauftragen möchte, sollte vorab sehr sorgsam eine Risikoabschätzung für sein Unternehmen vornehmen. Dies gilt auch mit Blick auf chinesische Anbieter. Es ist Aufgabe der Politik endlich energisch zu handeln, damit der Datenabfluss aus Deutschland bzw. Europa tatsächlich gestoppt wird. Europäische Standardvertragsklauseln sind da bei Weitem nicht ausreichend“, kommentiert der geschäftsführende Gesellschafter Rolf Heßling anlässlich des aktuellen Gutachtens.
Daher sind Provider wie Uptime IT, also unabhängige deutsche Unternehmen mit rechts- und DSGVO-konformen Rechenzentren in Deutschland, wichtige und unverzichtbare Dienstleister für die deutsche und europäische Wirtschaft. Uptime IT muss keinen ausländischen Behörden, Geheimdiensten oder Mutterhäusern Auskünfte geben. Das Unternehmen belässt die Datensouveränität beim jeweiligen Kunden und nutzt keinen Provider- oder Vendor-Lock-in.
Stein des Anstoßes: Section 702 FISA
Schon der EuGH hatte in seinem Urteil zum EU-US Privacy Shield (Schrems II) festgestellt, dass Section 702 FISA (Foreign Intelligence Surveillance Act) mit den europäischen Grundrechten nicht vereinbar ist. Section 702 FISA regelt die Überwachung von Nicht-US-Bürgern außerhalb des US-Territoriums etwa durch die NSA.
Der von der DSK beauftragte Spezialist für US-Geheimdienstrecht an der Universität Texas, Prof. Stephen I. Vladeck, wie weit die Regularien und Begriffe in 702 FISA gefasst sind. Hieraus resultieren die Gefahren für die Daten bzw. die Datensouveränität.
Der zentrale Begriff in der Section 702 FISA lautet „electronic communication service provider“. Laut Gutachten können darunter auch Banken, Fluggesellschaften, Hotels oder Versanddienstleister fallen (Rechtsgutachten, Kapitel I.5.a) und nicht nur IT- und Telekommunikationsunternehmen.
Das Gutachten besagt, dass auch nicht in jedem Fall erforderlich ist, dass die Dienste der Öffentlichkeit zur Verfügung gestellt werden. Beispielsweise kann es genügen, dass ein Unternehmen seinen Mitarbeitenden einen E-Mail-Dienst bereitstellt (Rechtsgutachten, Kapitel I.5.c)
Zugriff auf sämtliche Daten des Unternehmens
Eine Untergruppe der „electronic communication service provider“ sind Anbieter von „remote computing services“. Dazu gehören Anbieter von „computer storage or processing services“, siehe 18 U.S.C. § 2711(2), also klassische Cloud-, Rechen- oder Hosting-Dienstleistungen und nicht nur herkömmliche Telekommunikationsanbieter (Rechtsgutachten, Kapitel I.5.). Von diesen können US-Behörden Daten verlangen, wenn sie dem US-Recht unterliegen.
Besonders brisant: Wenn ein Unternehmen, z.B. ein Reiseveranstalter, auch nur wegen eines einzigen, intern angebotenen Dienstes als „electronic communication service provider“ eingestuft wird, sind die Befugnisse der US-Behörden nicht auf die Daten dieses einen Dienstes beschränkt. Der Gutachter kommt zum Schluss, dass die US-Behörden sogar Zugriff auf sämtliche Daten im Unternehmen erhalten dürfen.
Der Gutachter beschreibt, dass der gesamte Rechtsrahmen hochkomplex und nur schwer zu durchleuchten ist. Es verbleiben in dem Gutachten zahlreiche Fragen, insbesondere für den Schutz personenbezogener Daten, der die DSK als Auftraggeber interessiert. Neben dem rechtlichen Risiko kommen auf Unternehmen aufwändige Informations- und Dokumentationspflichten zu, wenn sie personenbezogene Daten an Drittstaaten bzw. deren Dienstleister übermitteln.
Für betriebliche Daten gibt es folglich nur eine einfache und sichere Hosting-Variante: Unabhängige, deutsche Unternehmen mit Rechenzentren in Deutschland. So wie Uptime IT, das keinen Auskunftspflichten gegenüber ausländischen Diensten, Behörden oder Konzernen unterliegt. Die Leistungen von Uptime IT sind umfassend ISO-zertifiziert und ISAE 3402, Typ 2, geprüft. Sie sind zudem auditfähig. Es ist somit selbstverständlich und daher nur am Rande erwähnt, dass personenbezogene Daten bei Uptime IT DSGVO-konform gehostet werden können.