Jahrelang stritt Microsoft gegen die US-Regierung, um zu verhindern, dass die Regierung den Konzern zwingt, Daten herauszugeben, die auf Servern außerhalb der USA gespeichert werden. Eigentlich sollte der Supreme Court darüber entscheiden und dieses erwartete Urteil wurde bereits als „Entscheidung über die Zukunft unserer Privatsphäre“ bezeichnet (so etwa SPIEGEL ONLINE). Nun ist die US-Regierung durch ein Gesetz namens CLOUD Act (Clarifying Lawful Overseas Use of Data Act) dem Supreme Court zuvorgekommen: Dieser erklärte kurzerhand den Rechtsstreit für erledigt. Das Gesetz hat weitreichende Auswirkungen auf den Zugriff der US-Behörden auf Daten, welche außerhalb der USA gespeichert werden. Besonders prekär ist dabei, dass das Gesetz als Annex zum Haushaltsgesetz durchgewunken wurde. Eine Debatte darüber fand kaum statt.
Das Gesetz sieht den ungehinderten Zugriff der US-Behörden auf Daten außerhalb der USA vor, wenn US-Unternehmen diese Daten kontrollieren. Damit wird genau das wahr, was Microsoft verhindern wollte. Das Gesetz sieht weiter die Möglichkeit bilateraler Abkommen vor, welche den Datenzugriff untereinander regeln. Nur mit einem solchen Abkommen wird es möglich sein, Rechtsmittel und -kontrollen für Nicht-US-Bürger zu implementieren. Die EU hat, obwohl sie sich massiv gegen den Datenzugriff der US-Behörden auf europäische Server in dem Microsoft-Verfahren eingesetzt hatte, bereits Interesse an einem solchen Abkommen signalisiert, ja einen ähnlichen Vorschlag sogar selbst unterbreitet.
Der CLOUD Act ist eine Katastrophe für den Datenschutz. Gerade jetzt, wo am 25. Mai die Datenschutzgrundverordnung (DSGVO) in Kraft tritt und mit welcher der CLOUD Act nicht zu vereinbaren ist, wie zutreffend Kollege Dennis Jansen feststellt. Der EU wird allerdings nichts anderes übrig bleiben, als solch ein Abkommen zu schließen: Möchte ein Staat seine Bürger nicht ganz rechtlos stellen, wird er mit dem CLOUD Act nun gezwungen, ein Abkommen mit den USA zu schließen. Dann kann er sich zwar auch den Zugriff auf Daten in den USA gewähren lassen, gibt aber zugleich den Datenschutz im eigenen Land auf.
Dabei ist der Datenzugriff, der mit internationaler Kriminalität und Terrorismus gerechtfertigt wird, überhaupt nicht nötig: Dafür gibt es jetzt schon das Verfahren über die Rechtshilfe. Diese hätten nur beschleunigt werden müssen. Dann gäbe es aber ein rechtsstaatliches Verfahren.