Der CLOUD Act, der 2018 von Präsident Trump unterzeichnet wurde, steht für “Clarifying Lawful Overseas Use of Data” (Klärung der rechtmäßigen Nutzung von Daten im Ausland) und ist einen genaueren Blick wert, wenn es um den Datenschutz Ihrer zu unterschreibenden Dokumente geht.
Der CLOUD Act klärt das Recht von US-Regierungsbehörden, auf im Ausland gespeicherte Daten von US-Anbietern zuzugreifen, möglicherweise auch auf Daten, die ansonsten geschützt wären. Es besteht ein eindeutiges Potenzial, die Privatsphäre Ihrer elektronisch signierten Dokumente zu beeinträchtigen, unabhängig davon, wo sie gespeichert sind.
Der CLOUD Act besteht aus zwei Teilen: Erstens ermöglicht er den US-Strafverfolgungsbehörden den Zugriff auf bestimmte Daten, die von US-Anbietern in anderen Ländern gespeichert werden – egal wo. Zweitens ermöglicht es bilaterale Abkommen zwischen den USA und anderen Regierungen, die den laufenden Datenaustausch in beide Richtungen erleichtern.
Schauen wir uns einmal genauer an, was das für den Datenschutz Ihrer zu signierenden Dokumente bedeutet.
So wirkt sich der CLOUD Act auf den Datenschutz von eSignaturen aus
Mit Ihrer Unterschrift gehen Sie eine rechtliche Verpflichtung gegenüber einer anderen Partei ein. Jede Änderung der Vorschriften, die das Potenzial hat, die Vertraulichkeit Ihrer digital signierten Dokumente zu untergraben, sollte daher genau analysiert werden. Die folgenden 5 Bereiche sind die wichtigsten Auswirkungen des CLOUD Act auf die Vertraulichkeit Ihrer eSignatur-Dokumente.
| Der CLOUD Act… | Auswirkungen auf den Datenschutz bei eSignaturen |
| …zwingt jeden in den USA ansässigen Anbieter zur Herausgabe von Nutzerdaten, wenn er gesetzlich dazu aufgefordert wird. | Wenn Ihr eSignatur-Anbieter ein amerikanisches Unternehmen ist, sind Ihre Dokumente ein offenes Buch. |
| …kann die Expansion Ihres Anbieters in die USA beeinträchtigen. | Wenn Ihr eSignatur-Anbieter eine Niederlassung in den USA eröffnet, fallen Ihre Dokumente unter den CLOUD Act. |
| …kann Anbieter aus bestimmten Ländern zwingen, Ihre Daten herauszugeben, auch wenn sie keine Niederlassung in den USA haben. | Wenn Ihr eSignatur-Anbieter seinen Sitz in einem Land hat, das ein Exekutivabkommen (Executive Agreement) unterzeichnet hat, muss er Ihre Dokumente auf Verlangen rechtmäßig an die USA herausgeben. |
| …zwingt Ihren Anbieter dazu, die Vereinbarungen seiner Regierung in Zukunft genau zu überwachen. | Ein Exekutivabkommen könnte zwischen den USA und jeder anderen befreundeten Nation unterzeichnet werden, was es noch wichtiger macht, einen eSignatur-Anbieter mit Sitz in einem Land zu wählen, das für seine strengen Datenschutzgesetze bekannt ist. |
| …setzt ein Zeichen für eine weitere Ebene des Austauschs von Nutzerdaten zwischen Regierungen, die auch außerhalb der USA eingeführt werden könnte. | Die Regierung des Landes, in dem Ihr eSignatur-Anbieter ansässig ist, könnte sich jederzeit mit jedem einigen und so die Privatsphäre Ihrer sensibelsten Dokumente gefährden. |
Der CLOUD Act wird oft als bloße Klarstellung des bestehenden Rechts dargestellt, aber seine primären und sekundären Auswirkungen auf den Datenschutz bei eSignaturen dürfen nicht unterschätzt werden.
Werfen wir einen genaueren Blick auf die fünf offensichtlichsten Auswirkungen des CLOUD Act von 2018.
Der CLOUD Act bringt alle Daten von in den USA ansässigen Anbietern in Reichweite der US-Regierung
Alle Daten eines in den USA ansässigen Anbieters sind für die US-Regierung zum Greifen nahe, unabhängig davon, wo diese Daten physisch gespeichert sind. Der geografische Standort der Daten (wo sich die eigentlichen Server befinden) war bisher das Hauptanliegen, wenn es um den Schutz der Privatsphäre ging, wobei viele Standorte als sicher und privat galten. Mit dem CLOUD Act wird die Verantwortung für den Zugang zu den Daten auf den Anbieter verlagert, unabhängig davon, wo er die Daten speichert: Für einen in den USA ansässigen Anbieter gibt es keine “sicheren Häfen” mehr.
Das bedeutet, dass unverschlüsselte eSignatur-Dokumente, die von einem beliebigen US-Anbieter irgendwo auf der Welt gespeichert werden, jetzt Freiwild sind (übrigens: selbst wenn das Dokument verschlüsselt ist, ist es immer noch angreifbar, wenn der Anbieter auch die Schlüssel speichert). Wenn Sie Ihren eSignatur-Anbieter auf der Grundlage “sicherer” Serverstandorte ausgewählt haben, müssen Sie diese Entscheidung möglicherweise noch einmal überdenken. Wenn es sich um ein US-amerikanisches Unternehmen handelt, gehört der Datenschutz der Vergangenheit an, unabhängig davon, wo sie Ihre Signaturdokumente speichern.
Jeder Datenanbieter muss angesichts des CLOUD Act die Expansion in die USA in Frage stellen
Die Ausweitung der Geschäftstätigkeit auf die USA bringt nicht nur 300 Millionen neue potenzielle Kunden, sondern auch die Aufmerksamkeit der US-Regierung mit sich. Die Vereinigten Staaten mit ihrer großen Bevölkerung und ihrem unternehmensfreundlichen Umfeld gelten für viele Unternehmen nach wie vor als erstrebenswerter Markt, auf dem sie Fuss fassen können. Allerdings unterliegt ein Unternehmen bereits mit der Gründung einer Niederlassung in den USA dem CLOUD Act, unabhängig davon, wo sich der Hauptsitz befindet.
Für jeden Nutzer eines nicht-amerikanischen eSignatur-Anbieters bedeutet dies, dass er die Expansionspläne seines Anbieters im Auge behalten muss, um den Schutz seiner Dokumente zu gewährleisten. Ihr lokaler eSignatur-Anbieter ist nur so lange an die inländischen Gesetze gebunden, wie er keine Niederlassung in den Vereinigten Staaten unterhält. Sobald dies der Fall ist, sind Ihre unverschlüsselten eSignatur-Dokumente für die US-Regierung ein offenes Buch, ganz gleich, ob Ihr Anbieter seinen Sitz in Berlin, Hongkong oder Mumbai hat.
Der CLOUD Act zwingt Anbieter aus bestimmten Ländern zur Herausgabe von Daten
Mit Exekutivabkommen können Länder ein langwieriges Gerichtsverfahren umgehen und die Daten eines jeden Nutzers an eine anfordernde US-Behörde herausgeben. Dieser Teil des CLOUD Act soll den Fluss von (rechtlich angeforderten) Informationen erleichtern und beseitigt eine weitere Hürde für den freien Austausch von Informationen (alias Nutzerdaten) zwischen zwei Regierungen. Auch wenn Ihre privaten Daten nicht frei zugänglich sind, da nach wie vor rechtliche Verfahren und Vorschriften zu beachten sind, beschleunigt dies den Prozess, in dem eine US-Behörde alle Ihre fraglichen Daten anfordert und rasch erhält.
Wenn das Heimatland Ihres eSignatur-Anbieters ein Exekutivabkommen mit den USA geschlossen hat, sind Ihre unverschlüsselten eSignatur-Dokumente für eine anfragende Regierungsstelle sofort offen zugänglich und lesbar. Selbst wenn Sie in Großbritannien wohnen, Ihr eSignatur-Anbieter britisch ist und keine US-Niederlassung hat, sind Ihre privaten Dokumente nicht mehr so privat – es sei denn, sie sind standardmäßig verschlüsselt. Glücklicherweise gibt es immer noch Länder wie die Schweiz, in denen der Schutz der Privatsphäre im Vordergrund steht und die in absehbarer Zeit wahrscheinlich kein Exekutivabkommen abschließen werden.
Anbieter müssen über die künftigen Abkommen ihrer Regierung mit den USA informiert bleiben
Die USA erweitern ihre Liste der “Partner”: Wann ist Ihr Land an der Reihe? Großbritannien war das erste Land, das ein Exekutivabkommen unterzeichnete, Australien folgte kurz darauf. Wahrscheinlich werden die USA dabei nicht stehen bleiben und weitere strategisch wichtige “Partner” in die Liste aufnehmen. Das bedeutet, dass Ihr Anbieter – und damit auch Sie als Nutzer – die Vorschriften im Auge behalten müssen, um über die neuesten Anforderungen hinsichtlich der Weitergabe privater Nutzerdaten informiert zu sein.
Ihre eSignaturen bleiben nur so lange privat, wie das Heimatland Ihres Anbieters kein Exekutivabkommen mit der US-Regierung abschließt. Und obwohl man anhand bestehender Partnerschaften zum Datenaustausch einige Annahmen treffen kann, werden Sie nie wissen, wann Sie an der Reihe sind. Sobald dies der Fall ist, sind Ihre unverschlüsselten eSignatur-Dokumente angreifbar. Es ist ratsam, Ihr Risiko frühzeitig zu minimieren, indem Sie sich für einen eSignatur-Anbieter entscheiden, der in einem neutralen, datenschutzbewussten Land wie der Schweiz ansässig ist.
Der CLOUD Act ebnete den Weg für ähnliche Vereinbarungen zwischen zwei Regierungen
Der CLOUD Act könnte sehr wohl einen Präzedenzfall für ähnliche Abkommen zwischen einer beliebigen Anzahl von Ländern schaffen. Die USA gelten bereits als Standard für alles, was mit Technologie zu tun hat. Was also hindert Ihre Regierung daran, eine beliebige Anzahl von Exekutivabkommen mit anderen Regierungen zu schließen? Dies könnte die Büchse der Pandora öffnen und die Privatsphäre, die die Bürger eines Landes derzeit online genießen, langsam untergraben.
Je nach den internationalen Beziehungen Ihrer Regierung könnten Ihre unverschlüsselten eSignatur-Dokumente schon bald für eine Vielzahl von Behörden aus einer beliebigen Anzahl von Ländern sichtbar sein. Es ist zwar davon auszugehen, dass das Land, in dem Ihr Provider ansässig ist, Ihre sensiblen Dokumente nicht wahllos an andere weitergeben würde. Die Tatsache, dass es keine Verpflichtung gibt, Sie als Endnutzer über eine Vereinbarung zu informieren, macht dies zu einer Art digitalem Damoklesschwert für Ihre Privatsphäre. Riskieren Sie keine Aufdeckung: Entscheiden Sie sich von Anfang an für eine angemessene Ende-zu-Ende-Verschlüsselung.
Die Quintessenz
Der CLOUD Act legt klare Richtlinien für den Erhalt von Nutzerdaten von US-Anbietern überall auf der Welt sowie einen Rahmen für den laufenden Datenaustausch fest, die so genannten “Executive Agreements”.
Obwohl an sich nichts gegen die Festlegung klarer Regeln einzuwenden ist, wirft der CLOUD Act aus Sicht des Datenschutzes einige Probleme auf: Jedes Dokument, das irgendwo auf der Welt gespeichert ist, läuft nun Gefahr, von US-Behörden rechtmäßig angefordert zu werden, sei es, weil das Hosting-Unternehmen in den USA ansässig ist, oder weil es sich in einem Land befindet, für das ein Executive Agreement gilt.
Es ist erwähnenswert, dass es nach wie vor keinen “freien” und vor allem keinen unkontrollierten Datenaustausch gibt: Die US-Behörden brauchen einen triftigen Grund, um Daten jeglicher Art anzufordern. Außerdem wird im CLOUD Act ausdrücklich dargelegt, wie Unternehmen seine Umsetzung anfechten können, wenn sie einen unangemessenen Eingriff in die Privatsphäre ihrer Nutzer sehen. Außerdem werden Bedenken hinsichtlich der bürgerlichen Freiheiten und des Schutzes der Privatsphäre ausdrücklich berücksichtigt, indem Beschränkungen dafür festgelegt werden, welche Daten von wem angefordert werden können.
Selbst wenn die Datenschutzgrundverordnung in Kraft ist (was an sich schon einen potenziellen Rechtskonflikt mit einem Exekutivabkommen mit den USA darstellt), gibt es keine Möglichkeit für einen Nutzer, seine Daten zu löschen. Es gibt keine Möglichkeit für einen Nutzer, mit 100-prozentiger Sicherheit zu wissen, dass seine eSignatur-Dokumente vertraulich behandelt werden, unabhängig davon, wer der Anbieter ist oder wo dieser Anbieter die Dokumente speichert. Somit bleibt den Nutzern nur eine Möglichkeit, den Datenschutz zu gewährleisten: Die Verwendung einer Ende-zu-Ende-Verschlüsselung. Denn wenn ein Dokument erst einmal richtig verschlüsselt ist, spielt der Zugang zu diesem Dokument plötzlich eine viel geringere Rolle.