Cloudflare TV

­čöĺ Schremsll, US Cloud Act - Wie geht es weiter?

Presented by Frank Giessen, Dr. Marc Maisch
Originally aired on 

Das SchremsII Urteil vom 16.07.2020 hat einiges in der Datenwelt zwischen den USA und Europa aus dem Gleichgewicht gebracht. Aber ist nicht genau dieses Gleichgewicht in der existierenden globalen vernetzten Welt n├Âtig um f├╝r die Gegenwart und die Zukunft, die mehr als je zuvor sich digital gestalten wird, gut aufgestellt zu sein?

Herr Dr. Marc Maisch ist als Rechtsanwalt in M├╝nchen auf IT-Recht, Datenschutz und Internetkriminalit├Ąt, Identit├Ątsdiebstahl spezialisiert. Gemeinsam mit seinem Team aus Polizeibeamten, IT-Forensikern und Detektiven sp├╝rt Herr Dr. Maisch den T├Ątern nach und unterst├╝tzt Opfer bei der Aufkl├Ąrung und Pr├Ąvention von Internetkriminalit├Ąt.

Bei Rechtsfragen rund um Datenschutz, Geltendmachung von Rechten, z.B. Ausk├╝nfte oder Schadenersatz, Datenschutz im Gesundheitswesen, f├╝r ├ärzte, Apotheken und Krankenh├Ąuser, Stellung von Datenschutzbeauftragten, (unterhaltsame) Mitarbeiter-Schulungen (auch als Webinare), Incident-Response-Management oder DSGVO Assessments oder Risikobewertungen steht Rechtsanwalt Dr. Marc Maisch mit seinem Team aus Datenschutzjuristen immer gerne zur Verf├╝gung.

Rechtsanwalt Dr. Marc Maisch ber├Ąt auch zu allen Fragen des Werberechts, z.B. Vertr├Ąge von Agenturen, Influencer, Softwareentwickler oder Startups, Online-Marketing, Social Media Recht, K├╝nstliche Intelligenz / Artifical Intelligence, Urheberrecht, Bildrechte (Kunsturhebergesetz u.a.) und unterst├╝tzt Unternehmen beim Schutz ihrer Reputation (Google Rezensionen, Bewertungsportale). Als ÔÇ×SocialmediaanwaltÔÇť und leidenschaftlicher Speaker hat er sich auf Facebook und Instagram einen Namen gemacht und h├Ąlt viele Vortr├Ąge an Schulen, Hochschulen und Unternehmen.

German
Privacy Week

Transcript (Beta)

Einen sch├Ânen guten Tag. Mein Name ist Frank Giessen. Ich arbeite seit April 2020 f├╝r Cloudflare in Deutschland und freue mich, Sie heute bei Cloudflare TV begr├╝├čen zu d├╝rfen.

Ich spreche heute mit Dr. Marc Maisch, Rechtsanwalt in der Kanzlei Maisch Mangold Schwarz in M├╝nchen.

Marc, vielen Dank, dass du heute Zeit f├╝r uns hast. Hallo und danke.

Ja, Dr. Marc Maisch ist als Rechtsanwalt in M├╝nchen auf das IT -Recht Datenschutz, Abwehr von Cybercrime, Identit├Ątsliebschaft spezialisiert.

Gemeinsam mit Polizei, IT-Forensikern, Detektiven, Sp├╝rt er nach T├Ątern, unterst├╝tzt Opfer bei der Aufkl├Ąrung und Pr├Ąvention von Internetkriminalit├Ąt.

Als Social-Media-Anwalt und leidenschaftlicher Speaker hat er sich bundesweit und in den sozialen Netzwerken einen Namen gemacht.

Er erh├Ąlt viele Vortr├Ąge im Bereich Cybersicherheit f├╝r IT-Dienstleister, Unternehmer, Startups.

Wer mehr ├╝ber Marc erfahren m├Âchte, findet hierzu etwas unter www.socialmediaanwalt.com.

Marc, wie geht es dir?

Wie erlebst und durchlebst du diese ungew├Âhnliche Zeit, in der wir uns gerade befinden?

Du, also ich wei├č nicht, ob im Moment Corona mehr Sorgen macht oder das anstehende Weihnachtsfest, weil ich irgendwie, in M├╝nchen haben wir ja jetzt hier auch den harten Lockdown, dass man nur mit triftigem Grund das Haus verlassen kann und das B├╝ro.

Deswegen habe ich schon zu meiner Freundin gesagt, pass auf, das wird nichts mit Weihnachten dieses Jahr, und versuche mich jetzt aus der Weihnachtsgeschenke-Strategie da irgendwie, mich da irgendwie abzuseilen.

Aber ob das klappt, wahrscheinlich wird es wieder gro├če Weihnachtsstress dann kurz vorher werden.

Genau. Ja, Marc, wir haben uns heute ein, wie ich finde, sehr interessantes aktuelles Thema ausgedacht.

Schrems 2, US-Cloud-Act, wie geht es weiter?

Und da w├╝rde ich uns gerne eine kleine Einf├╝hrung einfach mit dir machen. Also, das Schrems 2-Urteil ist ja am 16.7.

durch den Europ├Ąischen Gerichtshof verk├╝ndet worden.

Und es hat einiges in der Datenwelt zwischen Amerika und Europa aus dem Gleichgewicht gebracht.

Meine Frage ist schon mal, aber ist es nicht eigentlich genau dieses Gleichgewicht, was wir in unserer existierenden globalen Welt, vernetzten Welt ben├Âtigen?

Und f├╝r die Gegenwart und f├╝r die Zukunft, die sich ja mehr als je zuvor digital gestalten wird, gut aufgestellt zu sein.

Also von daher w├╝rde ich gerne mit dir als absoluten Experten dar├╝ber sprechen wollen, was hat es eigentlich genau auf sich mit diesem sogenannten Schrems-2 -Urteil?

Worum geht es dabei eigentlich genau? Ich finde das schon so ungew├Âhnlich, dass selbst in den ├Âffentlichen rechtlichen Medien das Urteil mit Schrems 2 betitelt wird.

So etwas habe ich ja noch nie. Kann man ja sonst nicht wahrnehmen oder selten wahrnehmen.

Wie kam es ├╝berhaupt zu diesem Urteil des Europ├Ąischen Gerichtshofes?

Und wenn es ein Schrems-2-Urteil gibt, wie sah Schrems 1 aus und ist Schrems 3 schon in Arbeit?

Vielleicht kannst du uns da einfach mal einen ├ťberblick geben.

Ja Frank, also das waren jetzt sehr viele Fragen auf einmal. Ich versuche das mal von vorne aufzurollen, das Thema.

Also Schrems 2 hei├čt das Urteil deswegen, weil es auf den ├Âsterreichischen Juristen und Datenschutzaktivisten Max Schrems zur├╝ckgeht.

Es hat alles so angefangen, Facebook gibt es ja seit 2008 ungef├Ąhr, dass Max Schrems seit 2008 Facebook -Mitglied ist und dann einfach spa├česhalber mal herausfinden wollte, was speichert Facebook eigentlich an personenbezogenen Daten ├╝ber ihn.

Fr├╝her war es nicht so einfach, aber dann irgendwann hat sich Facebook auch bewegt und hat da eine Download-Funktion eingebaut, wo wenn du drauf klickst, du dann irgendwie ellenlange Berichte dar├╝ber bekommst, welche Daten Facebook ├╝ber dich verarbeitet.

Also welche Freunde man hat und was man mit denen so kommuniziert hin und her.

Und dabei hat Max Schrems festgestellt, dass nicht nur diese Daten von der Facebook Ireland Limited, die f├╝r Europa zust├Ąndig ist, verarbeitet werden, sondern dass diese Daten auch immer an die Muttergesellschaft in die USA ├╝bermittelt werden.

Und das hat ihm nicht gepasst. Er hat dagegen dann Beschwerde eingelegt bei der irischen Datenschutzaufsichtsbeh├Ârde, die daf├╝r zust├Ąndig ist.

Die hat dann ewig lang nichts gemacht.

Dann hat er vor den irischen Gerichten geklagt und das Ganze ging hoch bis zum EuGH.

Und das Problem an der ganzen Geschichte ist ja hier, dass die personenbezogenen Daten in den USA nach europ├Ąischer Sicht nicht so gut gesch├╝tzt werden, wie bei uns hier.

An dieser Stelle erinnern wir uns zum Beispiel an Edward Snowden, der bekannte Whistleblower, der aufgedeckt hat, dass die US-Geheimdienste Prism verwenden und viele andere Tools, um auf Knopfdruck alles m├Âgliche ├╝ber Menschen abrufen zu k├Ânnen.

Und dann ging das Ganze zum EuGH, also quasi h├Âchstes europ├Ąisches Gericht, was dann dar├╝ber zu entscheiden hatte, ob diese Daten├╝bermittlung von Facebook Ireland zur Muttergesellschaft in die USA, ob das nun europ├Ąischem Recht entspricht oder nicht.

Und da ist es so, dass das europ├Ąische Recht, also die Datenschutzgrundverordnung, also davor schon das irische Datenschutzrecht, nur dann einen Datentransfer ins Ausland erlaubt, wenn es einen sogenannten Angemessenheitsbeschluss gibt.

Das erkl├Ąrt auch, also es gab ja, du hast ja vorhin gefragt, da gibt es ja Schrems 2 ist das aktuelle Urteil, aber angefangen hat es ja eigentlich eben mit dem, was ich gerade erz├Ąhle, mit dem Schrems 1 Urteil.

Da war n├Ąmlich die Rechtslage so, dass wenn man Daten in die USA ├╝bermittelt hat, gab es das sogenannte Safe Harbor Abkommen zwischen der EU -Kommission und der US-Regierung.

Dieses Safe Harbor Abkommen, also der sichere Hafen, das war quasi so gedacht, dass die Europ├Ąer nicht sagen, dass es in den USA insgesamt ein angemessenes Datenschutzniveau gibt, sondern dass, wenn sich einzelne Unternehmen unter dem Safe Harbor Abkommen entsprechend selbst zertifizieren, dass diese einzelnen Unternehmen in den USA dann als sicherer Hafen f├╝r europ├Ąische Daten gelten sollen.

Okay.

Und diese Selbstzertifizierungen konnten die Unternehmen dann entsprechend machen.

Facebook war da auch zertifiziert und der EuGH musste dann entscheiden, entspricht denn dieses Safe Harbor Abkommen dem europ├Ąischen Recht und hat dann gesagt, nein, das ist nicht so und hat es dann gekippt.

Ist diese Zertifizierung in Amerika passiert oder in Europa?

Wo musste man? Diese Zertifizierung nach dem Safe Harbor Abkommen, die funktioniert in den USA.

Okay.

Da haben sich Unternehmen selbst zertifiziert. Also das ist ja, aus gutem Grund gibt es ja bei uns den T├ťV, der, wenn du dein Auto in die Werkstatt f├Ąhrst, dann ├╝berpr├╝ft, ob das mit den Abgasnormen und so noch funktioniert, weil das deutsche Recht oder der deutsche Gesetzgeber sagt, das musst du als Fahrzeughalter machen und glaubt dir nicht, dass du selber dein Auto zertifizieren kannst und dass du sagst, ja, das mit dem Abgas, das passt schon so.

Und so ├Ąhnlich war es eben auch beim EuGH.

Der hat gesagt, dieses Selbstzertifizieren im Rahmen von dem Abkommen, das reicht nicht aus, das entspricht nicht europ├Ąischem Recht und hat dann dieses Safe Harbor Abkommen gekippt.

Dann haben die Amerikaner und die Europ├Ąer wieder verhandelt und es kam zum Nachfolgeabkommen, dem Privacy Shield Abkommen.

Und das ist eben das, was Schrems dann wieder ├╝ber diesen Weg, ├╝ber die irische Aufsichtsbeh├Ârde bis hin zum EuGH nun verfolgt hat und angegriffen hat.

Und der EuGH nun auch dieses Nachfolgeabkommen gekippt hat.

Okay. Und das ist dann das Schrems-II-Urteil, sozusagen?

Das ist jetzt das Schrems-II -Urteil. War da auch eine Zertifizierung oder wo war der Unterschied zu dem anderen?

Relativ ├Ąhnlich im Grunde genommen, ja.

Also, weil das ist ja nun mal der Kompromiss. Die Amerikaner haben ein anderes Rechtsverst├Ąndnis, was Datenschutzrecht betrifft und die Europ├Ąer haben da auch nochmal ein ganz anderes Rechtsverst├Ąndnis.

Und das unter einen Hut zu bringen, ist nicht leicht.

Und diese Selbstzertifizierung, das war dann schon so, dass die amerikanischen Unternehmen, die sich da selbst zertifiziert haben, dann sich selbst quasi Pflichten unterworfen haben, was sie tun w├╝rden, damit sie dem europ├Ąischen Datenschutzrecht entgegenkommen.

Also m├╝ssen quasi amerikanische Unternehmen damit EU-Recht umsetzen.

Also Auskunftsrechte gew├Ąhrleisten oder L├Âschungsrechte oder entsprechende Datenschutzerkl├Ąrungen machen, all sowas.

Okay, gut. Also das hei├čt, ich habe verstanden, Schrems-I, Schrems-II und wo die Knackpunkte sind.

Jetzt ist ja am 16 .7.

schon einige Zeit vergangen. Und welche Auswirkungen hat es denn jetzt in der Realit├Ąt?

Welche haben sich da eigentlich bis heute eingestellt? Also, denn das war ja, nach meinem Kenntnisstand, war das sofort g├╝ltig.

Also es gab auch gar keine, so wie man das oft kennt, so eine Art ├ťbergangsfrist, sondern es galt dann quasi ab dem 16.7.

Das muss ja zu irgendwelchen Auswirkungen gef├╝hrt haben, auch regionalen Umsetzungen vielleicht.

Ja, wir haben unsere Landesdatensch├╝tzer hier drauf reagiert.

Was hast du da mitbekommen? Und wie gehen die, das muss ja auch Betroffene geben, ja, Lieferanten, wie Kunden, wie sind die bisher mit dieser Thematik umgegangen?

Ja, also das hat nat├╝rlich zu einem riesigen Chaos gef├╝hrt und zu einem Aufschrei in den Datenschutz- und Compliance -Abteilungen der jeweiligen gro├čen Unternehmen, weil du musst dir vorstellen, vielleicht erkl├Ąre ich das nochmal, nochmal Basiswissen Datenschutz ist ja, wenn du als europ├Ąisches Unternehmen einen US-Dienstleister einbindest, zum Beispiel einen gro├čen Suchmaschinenhersteller oder Betreiber, der eine E-Mail-L├Âsung oder so eine Business-Suite-L├Âsung oder sowas anbietet und du bindest den ein, dann musst du, da gibt es zwei Ebenen, die man beachten muss.

Einerseits muss es eine Erlaubnis geben, dass man diesen Drittdienstleister einbindet, einen Auftragsverarbeitungsvertrag zum Beispiel, English Data Processing Agreement und auf der zweiten Stufe, dadurch, dass die Daten├╝bermittlung ins Ausland geht, also auch wenn du schon quasi einen E-Mail -Anbieter aus dem Ausland verwendest und da E-Mails schreibst, dann ├╝bermittelst du damit personenbezogene Daten, n├Ąmlich E -Mail-Adressen und IP-Adressen in einen Drittstaat in die USA und f├╝r diese Drittstaaten-├ťbermittlung, da, da bewegen wir uns auf der Sph├Ąre, die jetzt hier mit diesen Schrems-Urteilen immer wieder f├╝r Probleme gesorgt hat und die Datenschutz -Grundverordnung, die sagt, wenn du als Unternehmen Daten in einen Drittstaat transferieren m├Âchtest, dann brauchst du bestimmte Garantien.

Fr├╝her, also quasi bis vor 16.

Juli, war eine dieser Garantien dieses Privacy-Shield-Abkommen mit der Selbstzertifizierung, was wir gerade besprochen haben oder Standard -Vertragsklauseln oder Binding Corporate Rules, das sind quasi Agreements zwischen gro├čen Konzernen, die von einer Aufsichtsbeh├Ârde genehmigt werden m├╝ssen, die spielen praktisch fast keine Rolle, oder eine explizite Einbietung des Nutzers oder dass diese Auslands├╝bermittlung f├╝r die Erf├╝llung eines Vertrags erforderlich ist.

Also das sind so die M├Âglichkeiten, die man hat und dadurch, dass das Privacy -Shield-Abkommen weggefallen ist, was quasi in allen Vertr├Ągen ├╝berall immer drin stand, m├╝ssen jetzt oder mussten seither alle Vertragsbeziehungen ├╝berpr├╝ft werden.

Manche Unternehmen, also wenn ein Unternehmen in Deutschland sitzt und Daten in die USA ├╝bermittelt und dann steht im Auftragsverarbeitungsvertrag immer noch drin, dass die Garantie Privacy-Shield ist, was jetzt gekippt ist, dann w├Ąre diese Daten├╝bermittlung rechtswidrig und das deutsche Unternehmen haftet daf├╝r.

Da muss man sich anpassen, genau.

Da m├╝ssen sich nat├╝rlich alle drum k├╝mmern, m├╝ssen sich anpassen und ich habe f├╝r meine Mandanten hier zahllose amerikanische Unternehmen angeschrieben und gesagt, pass auf, wie stellt ihr euch das jetzt vor?

Jetzt gibt es das Privacy-Shield nicht mehr.

Ja. Habt ihr Standardvertragsklauseln, sogenannte Model Clauses auch, SCC und wenn, also diese Vertr├Ąge m├╝ssen halt jetzt abgeschlossen werden.

Jetzt sagt der EuGH in dem Schrems 2-Urteil, Standardvertragsklauseln bleiben weiterhin g├╝ltig.

Also die kann man verwenden, aber er sagt auch, in den USA ist es nochmal anders, denn da ist die Rechtslage so, dass man nicht sicher sein kann, dass wenn du als betroffene Person aus Deutschland, also Nutzer oder so, wenn du dann deine Rechte in den USA gelten machen willst, Recht auf Auskunft, Recht auf L├Âschung, dass das dann gew├Ąhrleistet wird.

Deswegen sagt der EuGH, m├╝ssen deutsche Unternehmen zus├Ątzlich eine Rechtspr├╝fung machen und in dieser Rechtspr├╝fung m├╝ssen sie bestimmte Fragen stellen, ob zum Beispiel das Unternehmen in den USA, also ob das ein Telekommunikationsdienstanbieter ist und ob das hier dem Pfizer-Gesetz unterf├Ąllt und bestimmte Fragen stellen.

Es gibt Fragenlisten, die man ├╝ber, da gibt es aufsichtsbeh├Ârdliche Hinweise dazu, welche Fragen man da stellen muss und diese Rechtspr├╝fung muss man machen.

In den meisten F├Ąllen f├╝hrt es aber dazu, dass dann die Antwort kommt, ja, es ist schwierig zu sagen, ja, wir unterfallen diesen amerikanischen Sicherheitsgesetzen so, dass man eigentlich dazu kommt, dass diese Rechtspr├╝fung dazu f├╝hrt, dass man sagen muss, man kann den US-Dienstleister nicht einbinden.

Ja. Da gibt es aber noch eine andere M├Âglichkeit, die der EuGH offengelassen hat, dass er sagt, wenn entsprechende rechtliche, organisatorische und technische Sicherheitsma├čnahmen getroffen werden.

Also in rechtlicher Sicht l├Ąsst man sich zum Beispiel zusichern, dass, wenn eine entsprechende Anfrage kommt, dass das Unternehmen in den USA erstmal ein Veto dagegen einlegt.

Ja. Rechtsmittel zum Beispiel einlegt.

Genau, das zum Beispiel, das l├Ąsst man sich versichern oder zusagen.

In organisatorischer Sicht kann man auch noch Ma├čnahmen besprechen, wer dann daf├╝r zust├Ąndig ist und wie das irgendwie kommuniziert werden kann, soweit das US -Recht zul├Ąssig ist.

Und in technischer Sicht w├Ąre eine Ma├čnahme, dass die Daten, die in die USA geschickt werden, so verschl├╝sselt werden, wie quasi in einem verschl├╝sselten Container, dass sie dann von amerikanischen Sicherheitsbeh├Ârden gar nicht zur Kenntnis genommen werden k├Ânnen.

Okay.

Das ist nat├╝rlich auch etwas, was man oft nicht umsetzen kann. Ja. Deswegen bleibt das schwierig an der Stelle.

Ich berate sehr viele Startups, die auf Cloud -L├Âsungen weltweit agierender Unternehmen zur├╝ckgreifen.

Es gibt ja so ein paar, die haben zwar, diese Unternehmen haben oft einen Sitz in Luxemburg oder in Irland, aber sind ja dann trotzdem konzernrechtlich mit den USA verbunden.

So ein Punkt, Stichwort Cloud Act, da kommen wir noch dazu.

Genau. Das zu besprechen. Aber jetzt mal rein von der EU datenschutzrechtlichen Seite, berate ich meine Mandanten im Moment in die Richtung, dass ich sage, wir versuchen, diese Auslands├╝bermittlung schon Teil von dem Vertrag zu machen, der mit den Nutzern abgeschlossen wird.

Bei meinen Startups, die sagen, ja, also wenn wir diese gro├če Cloud-L├Âsung und diese Infrastructure-as-a -Service-Umgebung von dem US-Dienstleister nicht nutzen k├Ânnen, dann k├Ânnen wir unser ganzes Startup nicht erbringen und k├Ânnen wir gleich einfach sagen, tsch├╝ss, wir sind weg vom Markt.

Ja. Deswegen versuchen wir das jetzt ├╝ber diese Vertragsl├Âsung zu machen und machen damit diese Auslands├╝bermittlung als erforderlich zur Erf├╝llung des Vertrags, was auch eine der Erlaubnis-Tatbest├Ąnde f├╝r eine Auslands├╝bermittlung darstellt.

Absolut. Etwas zumindest noch erg├Ąnzen, was man auch noch machen kann, ist eine Einwilligung des Nutzers, aber dann hat man wieder eine Checkbox mehr, die man beim Registrierungsformular ausf├╝llen muss und da steigen viele wieder aus.

Von daher ist das eine L├Âsung, die oft nicht so gut funktioniert.

Okay. Und wei├čt du, du hast ja genau eben, du hast vorhin selber ein sch├Ânes Beispiel gebracht mit dem T├ťV von den Autos, ja.

Das w├╝rde ich jetzt hier gerne anwenden, ja, weil es einfach so ist, wenn man sich das mal bildlich vorstellt, ja, ist das ja so, dass jemand ein Urteil gefehlt hat, was in Bezug auf das Beispiel Autos und T├ťV dazu gef├╝hrt hat, dass eigentlich unmittelbar nach der Urteilsverk├╝ndigung die Leute aus ihrem Auto h├Ątten aussteigen m├╝ssen, weil sie damit nicht weiterfahren k├Ânnen, wenn man das mal sinnbildlich nimmt.

Und das ist ja genau das, was man sich ├╝berhaupt nicht vorstellen kann, weil die, die ja auch mit dem Auto fahren, ja, die haben ja vorher dieses Auto ganz normal erworben und durften mit dem Auto fahren und keiner hat ihnen gesagt, dass sie jetzt auf einmal das Auto stehen lassen d├╝rfen und deswegen ist es ja dann so, dass man jetzt einfach mit den L├Âsungen, die du aufgezeigt hast, erst einmal daf├╝r sorgt, dass die Autos weiterfahren d├╝rfen.

Das h├Ârt sich aber so ein bisschen an, wie man f├Ąhrt so von Punkt zu Punkt und dann checkt man nochmal das Auto komplett, ja, und dann darf man eventuell weiterfahren oder muss nochmal eine Schraube festdrehen, ja, aus der ├Ąhnlichen Welt.

Wenn wir das Beispiel weiterspielen wollen, also im Prinzip ist es so, du f├Ąhrst auf der Autobahn nach Norwegen und dann sagt ihr irgendwie oben in Schleswig-Holstein, sagt ihr dann auch einmal auf der Autobahn der T├ťV, hier ist Schluss, deine Abgasnorm erf├╝llt nicht, also dein Abgas ist mehr, als die Abgasnorm sagt und du musst jetzt hier aufh├Âren zu fahren, ja, und das haben die wenigsten Unternehmen nat├╝rlich gemacht, die fahren weiter und lassen sich dann quasi von dem Autohersteller zusagen, dass dieser sich darum k├╝mmern wird, dass deine Abgas, die Abgase, die dein Auto ausst├Â├čt, dass die jetzt demn├Ąchst dann der Norm unterfallen werden.

Das ist jetzt nur der Workaround, dass man, weil nat├╝rlich, klar, willst du hier alle Cloud-L├Âsungen absegen.

Aus rechtlicher Sicht muss ich nat├╝rlich sagen, es ist ein Risiko, die Aufsichtsbeh├Ârden haben das auf dem Schirm und der Max Schrems hat angefangen, ich glaube, der hat angefangen irgendwie 99 oder 100 Unternehmen anzuzeigen und hier Bu├čgeldverfahren gegen die einleiten zu lassen, weil die weiter Daten in die USA ├╝bermitteln.

Also es ist ein Risiko. Aus anwaltlicher Sicht kann ich dieses Risiko, diese Risikoentscheidungen nicht treffen, die m├╝ssen meine Mandanten treffen und denen sage ich, ja, also es kann sein, dass euch das auf die F├╝├če f├Ąllt, dass ihr hier eine Anzeige bekommt, ├ärger mit der Aufsichtsbeh├Ârde.

Meiner Erfahrung nach kann man mit Aufsichtsbeh├Ârden ganz gut verhandeln oder ganz gut reden, die sind auch kooperationsbereit, gerade in so einem Bereich.

Das ist ja auch, also Grauzone w├Ąre jetzt falsch, weil es ist einfach verboten, jetzt Daten in die USA zu ermitteln, wenn sie nicht hinreichend gesch├╝tzt werden k├Ânnen.

Aber man muss einfach auch irgendwo sehen, wie man das als Unternehmen handelt und man einfach das Risiko abw├Ągen.

Also du hast da gute L├Âsungen aufgezeigt und das Auto-Beispiel, da h├Ątte ich echt Lust, das mal ein andermal noch weiter zu vertiefen, weil am Ende des Tages ist m├Âglich, dass, wenn du das Beispiel weitererz├Ąhlt hast, dass dann man auf die Idee kommt, na okay, wenn Schleswig-Holstein der Meinung ist, sie m├╝ssen das nicht zulassen, dann fahre ich halt drumherum.

Ob das dann in Schleswig -Holstein unbedingt hilft, ist eine gute Frage, weil dann sind sie ja bald noch einsamer unter sich.

Also von daher, glaube ich, ist es eine gute Geschichte, das sollten wir mal durchspielen.

Aber wir haben noch einen wichtigen Punkt, das ist, empfinde ich auch, ein sehr zentraler Punkt und das ist dieser von dir schon kurz erw├Ąhnte US-Cloud-Act.

Der scheint mir ja so das Z├╝nglein an der Waage zu sein und da lese ich halt immer wieder in Zeitungen, Onlinebeitr├Ągen, wenn es ├╝ber den US-Cloud-Act geht, dass die Fragestellung ist, wer unterliegt diesem US-Cloud-Act und immer wieder sehe ich, dass dann gerade, dass eben ausschlie├člich US-Firmen das w├Ąren.

Ich bin da mir nicht ganz sicher und deswegen will ich dich mal fragen, wie verh├Ąlt sich das eigentlich genau?

Ja, also Cloud-Act ist ein sehr, sehr spannendes Thema.

Nach 9-11 2001 haben die Amerikaner hier schon, also nicht nur Kriege gef├╝hrt bekanntlich, sondern eben auch einen gro├čen Schritt in Richtung Data-War oder Cybercrime hier gemacht, um zu sehen, was da eigentlich im Internet alles passiert.

Es war noch lange bevor es Facebook und das alles gab, gab es 2001 erstmal den Patriot-Act.

Nach dem m├╝ssen US-Unternehmen auch verlangen, entsprechende Daten rausgeben, wenn Sicherheitsbeh├Ârden das wollen, weil das verlangen.

Die Trump-Regierung hat da mit dem Cloud-Act noch einen draufgesetzt. Der Cloud-Act regelt zwar eigentlich nur, wie US-Sicherheitsbeh├Ârden an elektronische Beweismittel in Strafverfahren ankommen k├Ânnen.

Und dieser Cloud-Act, der hei├čt ja, also es hat ja nichts mit Cloud -Computing zu tun, das verwechseln auch viele, das hei├čt ja eigentlich Clarifying Lawful Overseas Use of Data Act.

Also hier geht es darum, eine Klarstellung, wie man mit Beweismitteln umgeht, die overseas, also au├čerhalb der USA bei Unternehmen irgendwie lagern.

Und also Ausgangsfall war hier eine Berufungsentscheidung von Microsoft gegen die Vereinigten Staaten.

Da gab es mal einen Schlagnahmebeschluss, der nicht funktioniert hat und dann hat die US-Regierung gesagt, so jetzt stellen wir klar, wie das eigentlich ist, wenn wir was von Microsoft haben wollen in den USA und wie die das dann vielleicht von Microsoft in Irland dann beschaffen sollen, diese Informationen, diese Beweismittel f├╝r Strafverfahren in den USA.

Da geht es nat├╝rlich vor allem um Terrorermittlungen und dergestalt, ja, ├╝berall um Kleinkram.

Und das wirklich Spannende an dem US-Cloud-Act ist, ist, dass er eben sich zwar an US-Unternehmen richtet, aber es um Daten geht, die im Ausland liegen.

Und daher quasi nicht nur jetzt die Konstellation schon so sein kann, dass europ├Ąische Unternehmen, die einen Sitz in den USA haben, davon betroffen sein k├Ânnen.

Also wenn wir uns ein Telekommunikationsunternehmen vorstellen, ein gro├čes deutsches TK -Unternehmen in Deutschland, so ein Rosariese oder so, der auch in den USA eine Niederlassung hat, dann k├Ânnen die Amerikaner nat├╝rlich an diese Niederlassungen in den USA leicht herantreten, um Daten zu besorgen.

Da ist nat├╝rlich dann die gro├če Frage, wenn die Muttergesellschaft in Deutschland sitzt, inwieweit kann dann ├╝ber diese konzernrechtliche Verbindung die kleine Niederlassung in den USA die Muttergesellschaft in Deutschland zu irgendwas bewegen?

Das ist offen. Bisschen schwieriger ist der Fall dann, wenn die Muttergesellschaft in den USA sitzt, wie bei den meisten gro├čen US-Dienstleistern, und dann die Tochtergesellschaft in Deutschland sitzt.

Denn wenn eine US -Sicherheitsbeh├Ârde bestimmte Daten herausverlangt von der Muttergesellschaft in den USA, die aber in Europa verarbeitet werden, und die Muttergesellschaft zur Tochtergesellschaft in der EU sagt, pass auf, r├╝cke mal die Daten raus, muss man sich nat├╝rlich nach europ├Ąischem Recht fragen, ist das ├╝berhaupt erlaubt.

Und hier muss man ganz klar sagen, hier muss man erstmal eine Rechtfertigungsgrundlage finden, um diese ├ťbermittlungen ins Ausland zu machen.

Und das ist nat├╝rlich nach deutschem Recht, beziehungsweise EU -Recht, schwierig, weil welche Rechtsgrundlage soll es dann sein?

Das US -Recht z├Ąhlt hier nicht als Rechtsgrundlage.

Also wenn hier Daten rausger├╝ckt werden, dann braucht man erstmal eine Erlaubnis, das k├Ânnte jetzt eine Einbindung des Betroffenen sein, den wird man aber gar nicht erst informieren.

Also das Quatsch zur Erf├╝llung eines Vertrags mit den Betroffenen ist auch Quatsch.

Eine gesetzliche Pflicht nach europ├Ąischem Recht gibt es nicht.

Und ein Abkommen ist das auch nicht. Also es gibt nach europ├Ąischem Recht keine Erlaubnis, diese Daten rauszur├╝cken.

Ja. Also das ist auch genau das, was so meine Auffassung war, dass eben auch, wie gesagt, europ├Ąische Firmen unter den US-Klautegg fallen k├Ânnen, wenn sie eben eine Niederlassung in Amerika haben.

Das ist f├╝r mich nochmal ein ganz wichtiger Punkt. Das andere kann man ├╝berall lesen.

Das hier liest man sehr selten. Manche tiefer gehenden Studien bringen das auf diesen Punkt.

Aber wie das so oft ist, manchmal bleibt das einfach liegen.

Was mich daran am meisten st├Ârt, ist, dass man hier eine Situation geschaffen hat, die ja eben rein politisch entstanden ist.

Also hier kann ja keine Firma, weder der rosa Riese, den du angesprochen hast, noch irgendjemand anderes, kann ja irgendetwas daf├╝r, dass das so ist.

Da haben die Unternehmen keinen Einfluss drauf, sondern das ist eine politische Situation, die hier geschaffen worden ist.

Und ich habe auch schon geh├Ârt, dass man eben jetzt vielleicht mit der neuen amerikanischen Administration hofft, dass man dort einfach dieses Thema in irgendeiner Form wieder aufnehmen kann und dann einfach da eine brauchbare L├Âsung f├╝r findet.

Und f├╝r mich wird das Ganze ├╝brigens noch verwirrender, wenn ich dann so etwas lese, dass einige EU-Staaten Backdoors fordern.

Also das steht f├╝r mich dann auch in einem totalen Widerspruch, wo ich mich frage, wie passt denn das dann eigentlich zusammen?

Also du kannst ja nicht das eine von dem einen verlangen, wenn du es selber nicht tust, so ungef├Ąhr.

Aber spannender Punkt.

Deswegen haben wir uns den ja auch ausgesucht. Also es ist einfach ein Dilemma f├╝r ein Unternehmen, was konzernrechtliche Verbindungen in die USA hat.

Wird ├╝brigens auch f├╝r die Konstellation von Schwesterunternehmen diskutiert.

Also k├Ânnen quasi T├Âchter, wo die Muttergesellschaft nochmal in einem anderen Drittstaat sitzt, kann es da auch zu dieser Verbindung kommen.

Also entweder muss man gegen europ├Ąisches Recht versto├čen oder gegen das US-Recht, je nachdem wen es trifft.

Also ist wirklich eine sehr unbefriedigende Situation. Exakt.

Und das darf ja eigentlich nicht sein. Das ist ja genau der Punkt. Eigentlich darf das ja nicht sein.

Also in so einer globalen Welt. Das darf nicht sein.

Und hier ist eigentlich der Gesetzgeber gefragt, eine handhabbare L├Âsung zu machen.

Also nicht nur ist unser Wirtschaftsstandort in Europa gef├Ąhrdet, weil wenn wir die Hauptdienstleister, die f├╝r uns eine Rolle spielen, die sitzen einfach in den USA und hier muss man eine vern├╝nftige L├Âsung finden.

Sonst geht es hier einfach auch nicht weiter und das kann auch nicht das Ziel sein.

Absolut. Das sehe ich genauso.

Marc, wir sind tats├Ąchlich schon wieder am Ende der Zeit angekommen.

Verr├╝ckt. Ich denke, wir h├Ątten noch viel mehr Stoff und k├Ânnten noch l├Ąnger zusammen sprechen.

Also ich denke, es gibt viel zu tun. Da w├╝rde ich mal sagen, da stimmst du mir zu.

Und auf der einen Seite, diese Globalisierung l├Ąsst sich aber auch nicht zur├╝ckdrehen.

Also ich glaube, wir werden da aus dieser Geschichte nicht rauskommen.

Ich w├╝sste auch gar nicht, warum wir das tun sollten. Und von daher hoffen wir mal, dass es gelingt auf einer gemeinsamen Wertbasis zwischen den Amerikanern und den Europ├Ąern, dass man dort eine gemeinsame Datenschutzbasis findet.

Das w├Ąre ein frommer Wunsch f├╝r das n├Ąchste Jahr, oder? Ja, dem kann ich mich nur anschlie├čen.

Datenschutz, finde ich, ist eine wichtige Sache.

Ich berate viele Opfer von Identit├Ątsdiebstahl und unternehmende Abwehr von Cybercrime und der Gestalt.

Also spielt immer wieder Datenschutz eine Rolle, aber es muss auch irgendwo, wie gesagt, handhabbar bleiben und muss operativ funktionieren.

Und wenn wir uns jetzt diese Cookie-Geschichte anschauen, die machen mich wahnsinnig, wenn ich jeden Tag da irgendwelche tausend Cookie-Style akzeptieren muss.

Marc, wir sind leider raus. Mach's gut. Danke dir. Ja, tschau.