EU: Cloud-Firmen müssen Daten in sechs Stunden ausliefern

Neue Wende im Ringen der Regulatoren in USA und der EU in Sachen Privatsphäre, Datenhaltung und deren Auslieferung an Strafbehörden: Tech-Firmen wie Microsoft, Google oder auch Facebook sollen gezwungen werden, die Nutzer-Daten an europäische Strafverfolgungsbehörden zu übergeben, auch wenn diese auf Servern ausserhalb der EU liegen.
 
Ein entsprechendes Gesetz schlägt die EU vor.
 
Mit "Daten" sind sowohl E-Mails, Chats und Texte, als auch Bilder gemeint, die von einer Firma mit einem EU-Standort in einer Cloud ausserhalb der EU gespeichert sind. Die Frist zur Übergabe beträgt zwischen sechs Stunden in dringenden Fällen und sonst bis zu zehn Tagen.
 
In einem Text der Nachrichtenagentur 'Reuters' begründet Frans Timmermans, Vizepräsident der EU-Kommission den Gesetzesvorschlag damit, dass es aktuell Monate dauere bis zu einer Datenlieferung. Und diese Daten würden immer wichtiger im Kampf gegen Kriminelle und Terroristen.
 
Aktuell finden sich die Tech-Firmen mit ihren RZs immer mehr in einer Zwickmühle zwischen unterschiedlichen Datenschutzgesetzen unterschiedlicher Länder.
 
Vor wenigen Tagen wurde in USA ein neues Gesetz, verabschiedet, das den Zugriff von US-Behörden auf ausserhalb der USA gespeicherte Nutzerdaten ermöglicht. Dieser "Cloud-Act" (Clarifying Lawful Overseas Use of Data) ist das Resultat eines langjährigen Rechtsstreits zwischen den US-Behörden und Microsoft, beziehungsweise bei Microsoft in Irland gespeicherte Daten.
 
Microsoft hat das Gesetz nach jahrelangem Widerstand plötzlich als "modern" und als "guten Kompromiss" begrüsst. Und hat umgehend die in Irland gespeicherten Daten den US-Behörden übergeben, wie 'The Register' und der 'Irish Times' auffiel und nun auch uns.
 
Google, Apple und Facebook wehren sich nicht
Interessant ist, dass laut 'Irish Times' auch Apple, Google und Facebook den US-Cloud Act begrüssen.

Diverse Verfechter einer möglichst weitgehenden Privatsphäre und Datenschützer allerdings haben gar keine Freude daran.
 
Das EU-Gesetz, falls es in Kraft tritt, ist auch in einem anderen Bereich vergleichbar mit dem Cloud-Act. Es verlangt unter dem Titel "European Preservation Order", dass vom Cloudprovider im Streitfall keine Daten gelöscht werden dürfen, die zur Verbrechensaufklärung dienen könnten, bevor über ein Datenauslieferungsgesuch entschieden worden ist. Das Löschverbot gilt laut 'The Register', wenn der allfällige Straftatbestand eine Strafe von mindestens drei Jahren vorsieht, oder es sich um spezifische Cyber-Kriminalität oder mit Terror verknüpfte Verbrechen handelt.
 
Und was heisst dies für die Schweiz? Da die Schweiz oftmals EU-Regulierungen übernimmt oder adaptiert (Politdeutsch "autonomer Nachvollzug"), dürften sich auch die hiesigen RZ- und Cloud-Provider und ihre Kunden bald Gedanken machen. (mag)