Warum deutsche Jurisdiktion für Cloud-Daten zählt

5 Min Lesezeit Serie: foundation #jurisdiktion#dsgvo#cloud-act#datensouveraenitaet

Server in Deutschland schützen nicht, solange der Anbieter unter US-Jurisdiktion steht. Was CLOUD-Act, FISA-702 und UK IPA tatsächlich erzwingen können, und woran man einen Anbieter erkennt, der sich dem entzieht.

Problem

"Unsere Daten liegen in einem deutschen Rechenzentrum" ist eine der am häufigsten gemachten und am schwächsten gedachten Vertraulichkeitsversprechen im deutschen Cloud-Markt. Der Satz sagt etwas über Hardware-Standorte aus und nichts über die Rechtsmacht, die dem Anbieter von aussen auf den Schreibtisch gelegt werden kann.

Drei Gesetze prägen die Lage:

  1. US CLOUD Act (2018): Verpflichtet US-amerikanische Dienstleister, Daten an US-Strafverfolgungsbehörden herauszugeben, unabhängig davon, wo die Daten physisch gespeichert sind.
  2. FISA Section 702 (50 U.S.C. 1881a): Ermöglicht der US-Nachrichtengemeinde massenhafte Anordnungen gegen US-Anbieter für "Auslands-Ziele" mit deutlich reduzierter richterlicher Kontrolle.
  3. UK Investigatory Powers Act 2016: Technische Bereitstellungsanordnungen ("technical capability notices") gegen britische Kommunikationsanbieter, mit Gag-Klausel.

Allen gemeinsam: Sie setzen am Anbieter an, nicht am Server. Ein deutsches Rechenzentrum eines US-Konzerns ist rechtlich nicht geschützter als ein Serverrack in Kalifornien.

Kurze Antwort

Wer Datenabfluss in die genannten Jurisdiktionen ausschliessen möchte, muss nicht nach dem Server-Standort fragen, sondern stattdessen primär die Eigentümerstruktur des Anbieters. Ein deutscher Anbieter im Sinne des CLOUD-Act ist eine Gesellschaft nur dann, die weder selbst US-amerikanisch ist noch in einem Konzernverbund steht, der US-Recht unterliegt. Der Server-Standort ist eine notwendige, aber keine hinreichende Bedingung in diesem Zusammenhang.

Tiefgang

Der CLOUD-Act greift am Unternehmen an

Section 103 des CLOUD Act ergänzt 18 U.S.C. § 2713 um den Satz "A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose … regardless of whether such communication, record, or other information is located within or outside of the United States". Wer als Anbieter der US-Jurisdiktion unterliegt, schuldet die Herausgabe. Der Ort der Speicherung spielt keine Rolle.

Der Microsoft-Ireland-Fall (Microsoft Corp. v. United States, 584 U.S. ___ (2018)) war vor der Verabschiedung des CLOUD Acts die letzte juristische Hoffnung, dass der Standort zählt. Er wurde durch das Gesetz gegenstandslos, bevor der Supreme Court entschied.

FISA 702 ist der Breitband-Vektor

Section 702 ist keine Einzelfall-Anordnung. Sie erlaubt der NSA, "selectors" (E-Mail-Adressen, Telefonnummern, andere Identifikatoren) gegen nicht-amerikanische Zielpersonen mit einer einzigen jährlichen Generalbewilligung durch das Foreign Intelligence Surveillance Court (FISC) zu betreiben. Der Anbieter muss technisch kooperieren; die Kooperation ist geheim, und der Anbieter darf seine Kundschaft darüber nicht informieren.

Die Datenschutz-Entscheidungen des EuGH (Schrems I 2015, Schrems II 2020) haben FISA 702 ausdrücklich als Grund genannt, warum US-Rechtssphäre und EU-Datenschutzrecht nicht vereinbar sind. Ein Nachfolger-Beschluss wird derzeit unter dem Arbeitstitel "EU-US Data Privacy Framework" verhandelt; er wird die zugrundeliegende US-Rechtslage nicht ändern, sondern eine zusätzliche US-interne Beschwerdemöglichkeit ergänzen, ob das vor dem EuGH standhält, bleibt offen.

UK IPA: technical capability notices

Der britische Investigatory Powers Act 2016 erlaubt dem Innenministerium, Anbietern aufzuerlegen, Abhörfähigkeiten in ihre Systeme einzubauen, inklusive der Schwächung von Verschlüsselung. Die 2016er Auseinandersetzung zwischen Apple und dem FBI um iPhone-Entsperrung sowie die laufende Debatte um Ende-zu-Ende-Verschlüsselung im Rahmen des Online Safety Bill zeigen, welchen Druck Anbieter unter britischem und US-Recht aushalten müssen.

Was deutsche Jurisdiktion konkret bedeutet

Ein Zugriff auf einen Anbieter mit Sitz und alleinigem Gesellschafter in Deutschland erfordert:

  • Richterliche Anordnung nach deutschem Recht (z.B. § 100a StPO), mit konkretem Tatverdacht und konkreten Personen.
  • Rechtshilfeweg für ausländische Strafverfolgung: das Rechtshilfeersuchen läuft über das Bundesamt für Justiz und erfordert eine Prüfung nach RiVASt.
  • Keine Gag-Order mit voraussehbar jahrelanger Geheimhaltung: In Deutschland ist die nachträgliche Benachrichtigung der Betroffenen nach § 101 StPO Regel, nicht Ausnahme.

Praktische Erkennungsmerkmale

Ein Anbieter verdient das Label "deutsche Jurisdiktion" nur, wenn alle vier Kriterien zutreffen:

  1. Gesellschaftssitz in Deutschland, Handelsregister-Eintrag prüfbar.
  2. Alleinige oder mehrheitliche Gesellschafter in Deutschland oder der EU, keine Beteiligungskette in US-/UK-/CN-Konzerne.
  3. Rechenzentren und Subunternehmer ebenfalls im EU-Rechtsraum, schriftlich zugesichert im AVV nach Art. 28 DSGVO.
  4. Transparenzbericht zu staatlichen Auskunftsersuchen: Anzahl, Anteil ausgeführt, Anteil zurückgewiesen.

Punkt 1 und 3 sind häufig; Punkt 2 und 4 sind die unterscheidenden Kriterien.

Abgelehnte Alternativen und Mythen

"Wir haben Server in Deutschland." Wenn die Muttergesellschaft US-amerikanisch ist, ist das irrelevant für den CLOUD-Act. Microsoft, Google, AWS, Apple, Oracle, Salesforce: alle deutsche Regionen inklusive.

"Wir haben ein EU-Tochter-Unternehmen." Eine deutsche GmbH als Tochter eines US-Konzerns steht im Konzernverbund; eine Weisung der Mutter, an die Behörde zu liefern, ist konzernintern durchsetzbar.

"Schrems-II-konformer Standardvertrag (SCC) genügt." SCCs sind Zivilrechts-Verträge. Sie binden den Empfänger, aber sie hebeln nicht das Hoheitsrecht eines Drittstaats auf. Der EuGH hat in Schrems II (C-311/18) klargestellt, dass SCCs nur dann wirken, wenn der Drittstaat ein gleichwertiges Schutzniveau bietet. Bei FISA 702 ist das nicht der Fall.

"Ende-zu-Ende-Verschlüsselung löst das Problem." Nur, wenn der Anbieter die Schlüssel wirklich nicht hat. In vielen "E2E"-Produkten liegt der Schlüssel in einem HSM beim Anbieter, und eine technische Anordnung kann ihn erzwingen. Zero-Knowledge-Architektur ist die Antwort, nicht E2E als Label.

Wie Svelnor hier hilft

Svelnor ist eine in Deutschland gegründete und geführte GmbH mit ausschliesslich deutscher Gesellschafterstruktur; die gesamte Produktpalette (Auth, Clean, Note, Scan, Desk und weitere) laeuft in Rechenzentren innerhalb des EU-Rechtsraums. Rechtsgrundlage für Datenzugriffe ist deutsches Recht nach StPO; CLOUD Act, FISA 702 und der UK IPA setzen an der Anbieter-Gesellschaft an und erreichen die Svelnor GmbH strukturell nicht. Der Transparenzbericht wird jaehrlich veröffentlicht und listet Anzahl und Ergebnis aller staatlichen Auskunftsersuchen.

Verifikation

  • CLOUD Act: 18 U.S.C. § 2713.
  • FISA Section 702: 50 U.S.C. § 1881a.
  • UK IPA 2016: Investigatory Powers Act 2016.
  • Schrems II: EuGH, Urteil vom 16.07.2020, C-311/18.
  • Transparenzberichte als Gegenprüfung: Öffentliche Berichte grosser Anbieter zeigen, wie oft und wie weitgehend Anfragen ausgeführt werden; ein Anbieter ohne eigenen Bericht ist kein besserer Anbieter, sondern nur ein leiserer.

Offene Punkte

Data Privacy Framework. Ein Nachfolgebeschluss zum Privacy Shield ("EU-US DPF") wird im Moment verhandelt; eine erneute Schrems-Prüfung vor dem EuGH ist absehbar. Organisationen mit Rechtssicherheitsbedarf sollten nicht darauf wetten, dass ein solcher Beschluss im ersten Anlauf hält.

Trans-atlantische Konzernstrukturen sind oft undurchsichtig. Wer wirklich sicher sein will, lässt sich das Gesellschafterverzeichnis zeigen und prüft es gegen das Handelsregister.

Aktualisierungen