Der Tauziehen um Ihre Daten: Wie die CLOUD- und SHIELD-Gesetze Sicherheit gegen Datenschutz stellen
Die Regierung der Vereinigten Staaten hat zwei wichtige Gesetze erlassen, die regeln, wie Technologieunternehmen mit Anfragen der Regierung nach Benutzerdaten umgehen – das CLOUD Act und das SHIELD Act. Auf den ersten Blick scheinen diese Gesetze widersprüchliche Ziele zu verfolgen, aber das Verständnis der Nuancen in jedem Gesetz ist entscheidend.
Das CLOUD Act, das 2018 verabschiedet wurde, ermöglicht es den US-Strafverfolgungsbehörden, Technologieunternehmen leichter dazu zu zwingen, angeforderte Daten bereitzustellen, auch wenn diese Daten im Ausland gespeichert sind. Das vorgeschlagene SHIELD Act hingegen würde die Fähigkeit von Technologieunternehmen einschränken, Anfragen ausländischer Regierungen nach Daten nachzukommen, es sei denn, die US-Regierung überprüft sie zuerst.
Welche Datenschutzstandards sind relevant?
Dieser Artikel taucht tief in die Ursprünge, Auswirkungen, Stärken und Schwächen jedes Gesetzes ein und argumentiert, warum die USA beide Gesetze benötigen, um Sicherheit, Privatsphäre und internationale Zusammenarbeit auszugleichen.
Das CLOUD Act: Erweiterung der Reichweite der Strafverfolgungsbehörden
Das Clarifying Lawful Overseas Use of Data (CLOUD) Act wurde vom Kongress verabschiedet und im März 2018 als Teil eines umfangreichen Omnibus-Ausgabengesetzes in Kraft gesetzt. Das CLOUD Act klärt, dass US-Technologieunternehmen berechtigten Anfragen nach Daten von US-Strafverfolgungsbehörden nachkommen müssen, auch wenn diese Daten auf Servern außerhalb der USA gespeichert sind.
Dies hat eine rechtliche Grauzone gelöst, die entstand, als immer mehr Benutzerdaten von Technologieunternehmen ferngespeichert wurden (“in der Cloud”). Früher behaupteten Tech-Unternehmen, sie könnten nicht auf im Ausland gespeicherte Daten zugreifen, und US-Behörden mussten umständliche und langsame gegenseitige Rechtshilfeabkommen durchlaufen, um Daten anzufordern, die im Ausland gespeichert waren.
Das CLOUD Act stellt klar, dass US-Technologieunternehmen gültigen inländischen Durchsuchungsbefehlen nachkommen müssen, unabhängig vom Standort der Daten. Es ermächtigt die USA auch, bilaterale Abkommen mit anderen Nationen einzugehen, um Datenanfragen direkt auszutauschen.
Befürworter argumentierten, das CLOUD Act sei notwendig, damit Strafverfolgungsbehörden in der digitalen Ära effektiv ermitteln können. Kritiker äußerten jedoch Bedenken, dass es Datenschutzgesetze in anderen Ländern untergraben und autoritäre Regime dazu ermutigen könnte, die Daten der Bürger zu verletzen. Menschenrechtsgruppen argumentierten auch, dass es nicht genügend Schutzmaßnahmen gegen den Missbrauch der neuen direkten Datenfreigabeabkommen bietet.
Insgesamt ermöglicht das CLOUD Act einen nahtloseren Zugang zu Daten über Grenzen hinweg, wirft aber auch Fragen der Souveränität und der Menschenrechte auf. US-Technologieunternehmen müssen nun eindeutig weltweit US-Durchsuchungsbefehlen nachkommen, was rechtliche Unsicherheiten reduziert, aber auch die Autonomie anderer Nationen über Daten innerhalb ihrer Grenzen schwächt. Die Auswirkungen des Gesetzes entwickeln sich noch, während bilaterale Abkommen ausgehandelt werden.
Das SHIELD-Gesetz: Schutz von Daten vor ausländischem Zugriff
Im Gegensatz zum CLOUD Act, der die Befugnisse der Strafverfolgungsbehörden erweitert, zielt der Safeguarding Americans’ Private Records Act (SHIELD Act) darauf ab, den Zugang ausländischer Regierungen zu den von Technologieunternehmen gespeicherten Daten US-amerikanischer Bürger zu beschränken. Der SHIELD Act wurde 2020 im Kongress vorgestellt, aber nicht verabschiedet. Er verbietet Unternehmen, die der US-Gerichtsbarkeit unterliegen, der Aufforderung ausländischer Regierungen nachzukommen und Nutzerdaten aus den USA herauszugeben, es sei denn, diese Anfragen werden vom US-Justizministerium geprüft und als zulässig eingestuft.
Befürworter des SHIELD Act argumentieren, dass dieser notwendig ist, um die Daten US-amerikanischer Bürger vor Ausbeutung durch feindliche Nationen wie China und Russland zu schützen. Die Unterstützer des Gesetzes sagen, dass das geltende US-Recht Technologieunternehmen nicht daran hindert, private Daten an ausländische Regierungen weiterzugeben, und dies untergräbt die amerikanischen Rechte.
Die Forderung nach einer Überprüfung ausländischer Anfragen durch die US-Regierung fügt eine wichtige Kontrollebene hinzu. Kritiker entgegnen jedoch, dass der SHIELD Act andere Nationen dazu ermutigen könnte, ähnlich restriktive Gesetze zu erlassen, den Internetzugang zu balkanisieren und das weltweite Web zu fragmentieren. Wenn andere Länder im Gegenzug den Datenfluss einschränken, könnten Technologieunternehmen mit widersprüchlichen rechtlichen Verpflichtungen konfrontiert werden.
Obwohl er noch kein Gesetz ist, spiegeln die Prinzipien des SHIELD Act einen zunehmend nationalistischen und schützenden Ansatz der US-Regierung hinsichtlich der Kontrolle über die Daten der Bürger wider. Er zielt darauf ab, die amerikanische Autorität über die Praktiken der Technologieunternehmen in Bezug auf den Datenaustausch von US-Personen wiederherzustellen. Die globale Vernetzung der Internetsysteme und die multinationale Natur der Technologieunternehmen erschweren jedoch eine rein inländische Regulierung.
US Cloud Act vs. SHIELD Act: Ähnlichkeiten, Unterschiede und Ironien
Trotz ihrer gegensätzlichen Ziele teilen der CLOUD und der SHIELD Act die zugrundeliegende Prämisse, dass die US-Regierung kontrollieren sollte, wann US-Technologieunternehmen Daten von US-Bürgern teilen. Der CLOUD Act erweitert den Zugang der US-Strafverfolgungsbehörden, während der SHIELD Act den Zugang ausländischer Regierungen einschränkt. Beide behaupten die amerikanische Zuständigkeitsbehörde und zielen darauf ab, die Rechte der US-Bürger im Verhältnis zu Datenanfragen ausländischer Einheiten zu wahren.
Die beiden Gesetze nehmen jedoch fast gegensätzliche Positionen ein, wenn es darum geht, die gerichtliche Zuständigkeit über die nationalen Grenzen hinaus auszudehnen. Der CLOUD Act beansprucht die US-Befugnis über Daten überall auf der Welt. Der SHIELD Act hingegen versucht, den ausländischen Zugang zu US-Daten im Ausland abzugrenzen, es sei denn, die US-Regierung erlaubt dies. Dieser Widerspruch unterstreicht die Komplexität der Datenregulierung in einer vernetzten Welt. Amerika kann es nicht vollständig auf beide Weisen haben – nahtlos auf Daten weltweit zugreifen, während andere Nationen daran gehindert werden, auf Daten über die US-Grenzen hinweg zuzugreifen.
Dennoch teilen beide Gesetze auf ironische Weise eine Skepsis gegenüber den Absichten anderer Nationen in Bezug auf Daten von US-Bürgern und suchen den Schutz der amerikanischen Privatsphäre vor ausländischer Ausbeutung. Die USA bekräftigen ihr eigenes Recht auf Zugang zu Bürgerdaten weltweit durch den CLOUD Act, während sie den gegenseitigen ausländischen Zugang zu Daten über den SHIELD Act verweigern.
Demokratische Rechenschaftspflicht und Rechtsschutz sollten jedoch nicht als ausschließlich amerikanisch angenommen werden. Letztendlich erfordern sowohl Privatsphäre als auch Sicherheit eine internationale Zusammenarbeit und eine Einigung auf gemeinsame Datenschutzprinzipien.
US Cloud Act vs. SHIELD Act: Warum wir beide Gesetze benötigen
In dieser Phase des Informationszeitalters, in der täglich riesige Mengen sensibler Daten generiert, verarbeitet und online gespeichert werden, reagieren sowohl der CLOUD- als auch der SHIELD-Act auf berechtigte Bedenken hinsichtlich des Schutzes der Bürgerrechte. Strafverfolgungsbehörden benötigen effektiven Zugang zu digitalen Beweisen, um die Gerechtigkeit aufrechtzuerhalten – die Motivation hinter dem CLOUD Act. Gleichzeitig verdienen die persönlichen Daten der Bürger Schutz vor ausländischer Massenüberwachung oder Unterdrückung – die Motivation hinter SHIELD. Beide Grundsätze der Privatsphäre und der Gerechtigkeit sind wichtig, trotz der Spannungen zwischen diesen Gesetzen.
Idealerweise können nuancierte Vereinbarungen beide Ziele unterstützen. Bilaterale CLOUD Act-Vereinbarungen könnten den Zugang der Strafverfolgungsbehörden zu Daten gewährleisten und gleichzeitig grundlegende Schutzmaßnahmen für die Bürgerrechte festlegen. SHIELD Act-Prüfungen von ausländischen Anfragen könnten gerechtfertigte Fälle zulassen, während sie willkürliche Datenerfassungen einschränken. Kein einzelnes Land kann das globale Internet einseitig regulieren. Die USA haben jedoch das Recht, ihre Interessen durch beide politischen Strömungen geltend zu machen – Sicherheit durch CLOUD suchen, während sie die Privatsphäre durch SHIELD bewahren. Wenn diese beiden Gesetze sorgfältig kombiniert werden, können sie eine ganzheitliche amerikanische Datenpolitik für das digitale Zeitalter bilden.
Kiteworks hilft US-Organisationen, ihre vertraulichen Inhalte vor staatlicher Überwachung zu schützen
Der CLOUD- und der SHIELD-Act verkörpern schwierige Abwägungen, die der Datenregulierung zugrunde liegen. In einer vernetzten Welt müssen Regierungen den Zugang der Strafverfolgungsbehörden, die Privatsphärenrechte und die internationale Zusammenarbeit in Einklang bringen. Diese US-Gesetze stellen keine Widersprüche dar, sondern repräsentieren legitime parallele Interessen – sie erleichtern inländische Ermittlungen und schützen gleichzeitig die Bürger vor ausländischer Überschreitung. Eine kluge Umsetzung beider Politiken könnte Sicherheit und Freiheit gewährleisten. Dies erfordert jedoch Fingerspitzengefühl und Verhandlungsgeschick, um nachhaltige internationale Normen zu formen, die die Schlüsselprinzipien von Gerechtigkeit und Privatsphäre ausbalancieren.
Das Kiteworks Private Content Network, eine FIPS 140-2 Level validierte sichere Plattform für Dateiaustausch und Managed-File-Transfer, vereint E-Mails, Filesharing, Webformulare, SFTP und Managed File Transfer, sodass Organisationen jede Datei, die die Organisation betritt und verlässt, schützen und verfolgen können.
Kiteworks ermöglicht es Organisationen zu kontrollieren, wer Zugang zu sensiblen Informationen hat, mit wem sie diese teilen können und wie Dritte mit dem empfangenen sensiblen Inhalt interagieren können (und wie lange). Diese erweiterten DRM-Funktionen verringern das Risiko von unberechtigtem Zugriff und Datenverletzungen.
Diese Zugriffskontrollen, sowie die unternehmensweiten sicheren Verschlüsselungsfunktionen von Kiteworks ermöglichen es Organisationen auch, strenge Datensouveränitätsanforderungen zu erfüllen.
Zusätzlich verwalten Kiteworks-Kunden ihre eigenen Verschlüsselungsschlüssel. Als Ergebnis hat Kiteworks keinen Zugang zu Kundendaten, was die Privatsphäre und Sicherheit der Kundeninformationen gewährleistet. Im Gegensatz dazu können andere Dienste wie Microsoft Office 365, die die Verschlüsselungsschlüssel eines Kunden verwalten oder mitverwalten, Kundendaten aufgrund von Regierungsvorladungen und Haftbefehlen preisgeben. Mit Kiteworks hat der Kunde die vollständige Kontrolle über seine Daten und Verschlüsselungsschlüssel, was ein hohes Maß an Privatsphäre und Sicherheit gewährleistet.
Kiteworks Bereitstellungsoptionen beinhalten lokale, gehostete, private, hybride und FedRAMP virtuelle private Cloud. Mit Kiteworks: Kontrollieren Sie den Zugriff auf sensible Inhalte; schützen Sie diese, wenn sie extern geteilt werden, mit automatisierter Ende-zu-Ende-Verschlüsselung, mehrstufiger Authentifizierung und Integrationen der Sicherheitsinfrastruktur; sehen, verfolgen und berichten Sie alle Dateiaktivitäten, nämlich wer was an wen sendet, wann und wie. Demonstrieren Sie schließlich die Einhaltung von Vorschriften und Standards wie DSGVO, ANSSI, HIPAA, CMMC, Cyber Essentials Plus, IRAP, DPA und vielen mehr.
Um mehr über Kiteworks zu erfahren, vereinbaren Sie heute eine individuelle Demo.
Zusätzliche Ressourcen
- Blogbeitrag Datenschutzrisiken leiten die Kommunikation sensibler Inhalte
- Blogbeitrag Über 60% der Datenschutzempfehlungen der GAO wurden nicht in 24 US-Bundesbehörden umgesetzt
- Kurzbericht Navigation durch das amerikanische Datenschutz- und Schutzgesetz mit Unterstützung von Kiteworks
- Blogbeitrag Verstehen und Erreichen der DSGVO-Konformität
- Blogbeitrag NIST Datenschutzrahmen zum Schutz sensibler Daten