Clarifying Lawful Overseas Use of Data (CLOUD) Act

Übersicht

Am 23. März 2018 verabschiedete der Kongress der Vereinigten Staaten von Amerika den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) und aktualisierte damit das gesetzliche Rahmenwerk der USA für Anfragen von Strafverfolgungsbehörden nach Daten im Besitz von Telekommunikationsdienstleistern. Durch seine Präzisierung des bisherigen Gesetzestextes bietet der CLOUD Act der US-Strafverfolgung einen beschränkten Mechanismus für die Anfrage nach in den Vereinigten Staaten und im Ausland gespeicherten Daten. Wichtig ist, dass der CLOUD Act auch zusätzliche Schutzmaßnahmen für Cloud-Inhalte schafft, einschließlich der Anerkennung des Rechts von Anbietern, Anfragen anzufechten, die mit den Gesetzen oder nationalen Interessen eines anderen Landes kollidieren, und der Forderung, dass Regierungen die lokalen Rechtsregeln respektieren.

  • Der CLOUD Act ist eine Erweiterung des US-amerikanischen Rechts, die den geografischen Umfang von Strafverfolgungsanfragen der USA klärt und Serviceanbietern neue Mittel zur Hand gibt, Anfragen abzulehnen, die in Konflikt mit den Gesetzen oder nationalen Interessen anderer Länder stehen. Wenn wir tätig werden müssen, um Kunden zu schützen, werden wir dies weiterhin tun. AWS ist bekannt für seine ablehnende Haltung gegenüber Behördenanfragen nach Kundeninformationen, von denen wir meinen, dass sie zu weit gefasst oder unangemessen sind.

  • Nein. Der CLOUD Act ändert nichts an den Prozessen oder Anforderungen für Strafverfolgungsanfragen nach Daten im Rahmen von Strafermittlungsverfahren. Der CLOUD Act gibt US-amerikanischen Strafverfolgungsbehörden keinen uneingeschränkten Zugriff auf Daten. US-amerikanische Strafverfolgungsbehörden dürfen Inhalte von Serviceanbietern nur in zwei Fällen anfordern: (1) mit dem Einverständnis des Kunden oder (2) mit einem Haftbefehl eines US-amerikanischen Gerichts, der nach geltenden strafrechtlichen Vorschriften der USA ausgestellt wurde. Für die Ausstellung eines Haftbefehls muss ein US-amerikanisches Gericht überzeugt sein, dass hinreichend Grund zur Annahme eines Verbrechens vorliegt, und die mittels des Haftbefehls gesuchten Beweise müssen im unmittelbaren Zusammenhang mit diesem Verbrechen stehen. Darüber hinaus stellt der CLOUD Act einen zusätzlichen Schutz für Cloud-Inhalte dar, denn er erkennt das Recht von Cloud-Serviceanbietern an, Anfragen abzulehnen, die in Konflikt mit den Gesetzen oder nationalen Interessen anderer Länder stehen.

  • Der CLOUD Act wirkt sich nicht auf AWS-Services oder die Art unseres Geschäftsbetriebs aus. Bislang haben wir nur sehr wenige Anfragen US-amerikanischer Strafverfolgungsbehörden erhalten, wobei wir die Anzahl der von uns erhaltenen Anfragen transparent offenlegen. Wir achten sorgsam auf die Privatsphäre und Sicherheit unserer Kunden und fühlen uns verpflichtet, den Nutzern unserer Produkte und Services branchenführende Datenschutz- und Sicherheitsmechanismen bereitzustellen. Jede an uns gerichtete Inhaltsanfrage einer Strafverfolgungsbehörde wird sorgfältig untersucht, um deren Angemessenheit und Gesetzmäßigkeit zu überprüfen. Wenn wir tätig werden müssen, um Kunden zu schützen, werden wir dies weiterhin tun. AWS ist bekannt für seine ablehnende Haltung gegenüber Behördenanfragen nach Kundeninformationen, von denen wir meinen, dass sie zu weit gefasst oder unangemessen sind. Sollten wir gezwungen sein, Kundeninhalte offenzulegen, werden wir den Kunden, sofern dies vom Gesetz gestattet ist, vor der Offenlegung wie gewohnt benachrichtigen, um ihm die Gelegenheit zu geben, rechtlichen Beistand zur Vermeidung einer solchen Offenlegung zu suchen.

  • Der CLOUD Act wirkt sich nicht auf die Nutzung der AWS-Services durch Kunden und Partner aus.

  • Wir sind der Meinung, dass Kunden die Kontrolle über ihre Daten behalten sollten. Und zu diesem Zweck bieten wir verschiedene fortschrittliche Verschlüsselungs- und Schlüsselverwaltungsservices, die unsere Kunden nutzen können, um ihre Inhalte zu schützen. Außerdem stehen den Nutzern von AWS-Services eine Reihe unterstützter Verschlüsselungslösungen von Drittanbietern zur Verfügung. Verschlüsselte Inhalte sind ohne passende Entschlüsselungsschlüssel nutzlos.

  • Nein. Der CLOUD Act gilt für alle Anbieter von in den USA betriebenen elektronischen Kommunikations- oder Remote-Computing-Services (dies sind zum Beispiel E-Mail- und Cloud-Serviceanbieter), unabhängig davon, ob der Sitz dieser Anbieter in den USA oder in anderen Ländern liegt.

  • Nein. Der CLOUD Act setzt keine Gesetze anderer Länder außer Kraft. Tatsächlich erkennt der CLOUD Act das Recht von Serviceanbietern an, Anfragen abzulehnen, die in Konflikt mit den Gesetzen oder nationalen Interessen anderer Länder stehen.

Ressourcen zum CLOUD Act

AWS und der CLOUD Act
Grundlagen der Kryptographie
KMS – Bewährte Methoden
AWS Key Management Service Cryptographic Details – Whitepaper
AWS-Verschlüsselung – Aktualisierungen
AWS Compliance – Quick Starts
Informationsanfragen bei Amazon
"Don't Get Spooked by the CLOUD Act" von IDC