Der Cloud Act: Warum Frankfurt uns nicht schützt
Persona unterhält Rechenzentren in den Vereinigten Staaten und in Deutschland. Wer in Europa lebt, denkt vielleicht: Prima, meine Daten befinden sich wahrscheinlich auf einem deutschen Server, sind durch die DSGVO geschützt und vor dem Zugriff durch die USA sicher. Doch das stimmt nicht .
Persona ist ein in Kalifornien eingetragenes US-Unternehmen und unterliegt folglich dem US-amerikanischen Cloud Act, dem Clarifying Lawful Overseas Use of Data Act, der 2018 unterzeichnet wurde. Einfach gesagt, ermöglicht es der Cloud Act den US-Strafverfolgungsbehörden, jedes in den USA ansässige Unternehmen zur Herausgabe von Daten zu zwingen, selbst wenn diese Daten auf einem Server außerhalb der Vereinigten Staaten gespeichert sind.
Auch wenn sich der Scan meines Reisepasses in einem Rechenzentrum in Frankfurt befindet: Sobald ein US-Gericht einen Durchsuchungsbefehl erlässt, muss Persona dem nachkommen. Es zählt nicht der physische Standort des Servers, sondern der juristische Sitz des Unternehmens.
Das bestätigt auch die Datenschutzerklärung von Persona, hier der Wortlaut: "Wir greifen auf personenbezogene Daten zu, geben sie weiter und bewahren sie auf, wenn wir der Ansicht sind, dass dies erforderlich ist, um geltendes Recht einzuhalten oder auf rechtmäßige Rechtsverfahren zu reagieren, einschließlich solcher von Strafverfolgungs-, nationalen Sicherheits- oder anderen staatlichen Behörden."
"Nationale Sicherheit." Diese zwei Wörter haben es in sich. Gemäß US-Recht können Anträge im Namen der nationalen Sicherheit – wie Fisa-Gerichtsbeschlüsse oder National Security Letters – mit Schweigegeboten verbunden sein. Persona dürfte mir nicht mitteilen, wenn es meine Daten weitergegeben hat, selbst wenn es wollte.
"Aber es gibt doch das Data Privacy Framework!"
Ja, Persona gibt an, das EU-US- Data-Privacy-Framework(öffnet im neuen Fenster) (DPF) einzuhalten. Das Unternehmen hat sich beim US-Handelsministerium zertifizieren lassen. Es hält sich an die Grundsätze, das Ganze wirkt sehr offiziell.
Die Sache mit dem DPF ist die: Es ist der Ersatz für das Privacy Shield, das der Europäische Gerichtshof im Jahr 2020 für ungültig erklärt hat . Der Grund? Die US-Überwachungsgesetze machten es unmöglich, die Sicherheit europäischer Daten zu garantieren.
Das DPF existiert, weil die USA eine Executive Order ( 14086(öffnet im neuen Fenster) ) unterzeichnet haben, in der sie Besserung geloben. Aber eine Executive Order ist kein Gesetz, sondern eine Entscheidung des Präsidenten und kann damit von jedem künftigen Präsidenten mit einem Federstrich geändert oder widerrufen werden.
Datenschutzaktivisten haben das DPF bereits angefochten, darunter Noyb, die Organisation hinter den ursprünglichen Schrems-Urteilen. Die Rechtsgrundlage, die unsere Daten schützen soll, ist bestenfalls vorübergehend.
Die Realität sieht also so aus :
Wir scannen unseren Reisepass in Madrid, Berlin oder Dublin. Persona speichert ihn, vielleicht in Deutschland, vielleicht in den USA. Der Cloud Act gewährt US-Behörden Zugriff, unabhängig vom Speicherort.
Der DPF soll uns schützen, ist aber auf Sand gebaut. Eine Anfrage aus Gründen der nationalen Sicherheit könnte unsere biometrischen Daten abgreifen, ohne dass wir es jemals erfahren. Zwischen unserem europäischen Reisepass und einem System der US-Regierung liegt also nichts als eine stille Vorladung.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.