Der Clarifying Lawful Overseas Use of Data Act oder CLOUD Act (HR 4943) ist ein im Jahr 2018 verabschiedetes Bundesgesetz der Vereinigten Staaten über den Zugang zu Kommunikationsdaten ( personenbezogenen Daten ), die insbesondere in der Cloud betrieben werden . Es ändert hauptsächlich den Stored Communications Act ( SCA) von 1986, indem er es den Gerichten (Bundes- oder Kommunalgerichten, einschließlich Kommunalbehörden) ermöglicht, im Hoheitsgebiet der Vereinigten Staaten ansässige Diensteanbieter durch Haftbefehl oder Vorladung zu zwingen, Daten in Bezug auf elektronische auf Servern gespeichert , unabhängig davon, ob sie sich in den USA oder im Ausland befinden.
Dieses Gesetz, das von bestimmten Verbänden zum Schutz der Privatsphäre kritisiert wird , erlaubt es amerikanischen Gerichten insbesondere, von in den Vereinigten Staaten tätigen Dienstanbietern die persönlichen Mitteilungen einer Person zu erbitten, ohne dass diese darüber informiert wird, noch dass ihr Wohnsitzland dies nicht ist das Land, in dem diese Daten gespeichert sind.
Der CLOUD Act wurde im März 2018 verabschiedet. Dieses amerikanische extraterritoriale Gesetz ermöglicht es den Verwaltungen der Vereinigten Staaten, mit einem Haftbefehl und der Genehmigung eines Richters auf die Daten zuzugreifen, die auf den Computerservern in d '' anderen Ländern, in der Name des Schutzes der öffentlichen Sicherheit in den Vereinigten Staaten und der Bekämpfung der schwersten Straftaten, einschließlich Kriminalität und Terrorismus
Es wurde festgestellt zu erhalten, ohne eine internationale Anforderung, die verlangten Informationen, leichter als durch das erlaubt Stored Communications Act (en) von 1986. Dies erfordert in der Tat ein Antrag auf internationale Rechtshilfe, basierend auf Verträgen. Bilateral ( MLAT ), um Dokumente im Ausland von einem amerikanischen Unternehmen zu erhalten. Es war das Budapester Übereinkommen von 2001 über Cyberkriminalität , das die Nutzung dieser bilateralen Verträge für den Austausch personenbezogener Daten im Rahmen der Justiz oder der nationalen Sicherheit vorschlug.
Ende der 2010er Jahre beklagte das Federal Bureau of Investigations (FBI) Schwierigkeiten, Daten aus der Ferne über Diensteanbieter zu erhalten; Letzterer hatte vor Gericht erfolgreich argumentiert, dass der rechtliche Anwendungsbereich von SCA-Haftbefehlen nur für Daten gilt, die auf Servern gespeichert sind, die in den USA gehostet werden, obwohl sie selbst die volle Kontrolle über die Daten aus der Ferne hatten. Zum Zeitpunkt der Einführung des CLOUD-Act-Gesetzes durch die Trump-Administration ist seit 2013 ein Rechtsstreit zwischen Microsoft wegen seiner Weigerung, Informationen aus einem Outlook- Konto herauszugeben, das mit Drogenhandel in Verbindung steht und in Irland gespeichert ist, anhängig mit dem Argument, dass solche Beschränkungen seine Ermittlungen behindern.
Der zweite wichtige Punkt des Gesetzes betrifft die Möglichkeit des Abschlusses bilateraler Abkommen zwischen Staaten, die analogen Zugriff auf in den Vereinigten Staaten gespeicherte Daten für ausländische Behörden und außerhalb der Regeln des amerikanischen Datenschutzrechts ermöglichen. Gemäß diesen Vereinbarungen, die umgesetzt würden, könnten neben den Vereinigten Staaten auch ausländische Regierungen Zugriff auf die von den amerikanischen Unternehmen gespeicherten Daten außerhalb der Vereinigten Staaten haben .
Der CLOUD-Gesetz ist das Ergebnis mehrerer Versuche des Kongresses, den SCA zu ändern, um es Behörden zu ermöglichen, Diensteanbieter zu zwingen, Daten zu übermitteln, die auf ausländischen Servern unter ihrer Kontrolle gespeichert sind: der Entwurf des „Datenzugriffsgesetzes im Ausland gespeichert“ (LEADS Act) von 2015 und die International Communications Protection Act (ICPA) im Jahr 2017, die beide stark vom republikanischen Senator Orrin Hatch unterstützt wurden , zielten beide auf eine Änderung des SCA ab, wurden aber nicht angenommen.
Der CLOUD Act wird vom US-Justizministerium und großen Technologieunternehmen wie Microsoft , Apple und Google unterstützt , die ihn als Quelle der Rechtssicherheit sehen. Brad Smith ( in ) (Microsoft) sagte: „Heute ist ein wichtiger Tag für das Recht auf Privatsphäre auf der ganzen Welt […] Der CLOUD Act schafft einen modernen Rechtsrahmen für Durchsetzungsbehörden des Gesetzes, um grenzüberschreitend auf Daten zuzugreifen“.
Das Gesetz wurde dem Gesetzentwurf über den Bundeshaushalt (das konsolidierte Haushaltsgesetz, 2018, (in) ) beigefügt . Es handelt sich um einen legislativen Reiter , der von der Verwaltung in den Haushaltstext eingefügt wurde und ohne besondere Prüfung (d. h., er wurde ipso facto bei der Abstimmung über das Finanzgesetz) von den beiden Kammern angenommen, bevor verkündet werden am23. März 2018. Kurz nach seiner Verabschiedung forderte das Justizministerium den Obersten Gerichtshof auf, den Fall Microsoft Corp zurückzusenden . gegen United States (en) in den unteren Gerichten: Aufgrund des CLOUD Act verliert dieser tatsächlich viel von seiner rechtlichen Bedeutung (da er nicht mehr das geltende Recht betrifft - siehe Mootness (in) ).
Der Gesetzentwurf (und das Gesetz selbst) wurde von mehreren Bürgerrechtsgruppen kritisiert, darunter die Electronic Frontier Foundation , die American Civil Liberties Union , Amnesty International und Human Rights Watch . Diese Gruppen argumentieren, dass das Gesetz gegen den Vierten Zusatzartikel gegen unangemessene Durchsuchungen und Beschlagnahmen verstößt , da die Regierung im Ausland gespeicherte Daten erhalten kann, ohne Gerichte (in den USA oder im Ausland) zu durchlaufen und betroffene Benutzer zu benachrichtigen. Einige dieser Bürgerrechtsgruppen befürchten, dass die US-Regierung Anfragen aus dem Ausland nach Daten ihrer Bürger, die auf Servern in den USA gespeichert sind, nicht ausführlich genug prüft. Dadurch könnten diese Daten in diesen Ländern für Zwecke verwendet werden, die nach US-Recht illegal sind.
David Ruiz von der Electronic Frontier Foundation weist zu diesem Thema darauf hin, dass "amerikanische und ausländische Polizeikräfte weltweit Zugang zu neuen Möglichkeiten zur Dateneingabe haben".
Das CLOUD-Gesetz steht im Widerspruch zu einer Verordnung der europäischen Gesetzgebung – der Datenschutz-Grundverordnung (DSGVO) – die am 25. Mai 2018 in Kraft getreten ist. Die DSGVO befasst sich mit dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr dieser Daten. Ihr Anwendungsgebiet sind die Mitgliedstaaten der Europäischen Union (EU) für alle europäischen oder nicht-europäischen Unternehmen, die durch Profiling auf EU-Bürger abzielen oder europäischen Einwohnern Waren und Dienstleistungen anbieten.
Nathalie Devillier, Professorin für digitales Recht an der Grenoble School of Management, sagt: „Der Cloud Act bietet einen rechtlichen Rahmen für die Beschlagnahme von Dokumenten, E-Mails, kurz alle Kommunikationen, die im Ausland von Unternehmensservern American empfangen werden“ .
Laut Emmanuelle Mignon , derzeit Associate Lawyer bei August Debouzy mit Schwerpunkt Öffentliches Recht, „ist nicht das Cloud-Gesetz gefährlich für europäische Unternehmen. Dies ist die Art und Weise, wie die Europäische Union reagiert, und die Risiken, die durch die Langsamkeit ihres Entscheidungsprozesses, wenn nicht durch ihre Lähmung, entstehen. "
Der Cloud Act könnte Wirtschaftsspionage und sogar den Diebstahl geistigen Eigentums zulassen . Sie gilt sowohl für GAFAMs ( zB: Französische Gesundheitsdaten werden von Microsoft in Irland gehostet ) als auch für ausländische Unternehmen ( zB: Orange , Altice ), die in den Vereinigten Staaten tätig sind.
Im Jahr 2020 entsteht in Frankreich ein neues Problem mit dem Hosten von Zertifikaten über staatlich garantierte Kredite (PGE) an Unternehmen während der Covid-19-Pandemie auf den Servern von Amazon, wodurch der Begriff der digitalen Souveränität Frankreichs in Frage gestellt und Bedenken hinsichtlich des Zugangs zu diese Information. Laut Nathalie Goulet , Senatorin aus Orne, wurde dieser Auftrag ohne Ausschreibung von Bpifrance an Amazon vergeben . Eine von Bpifrance widerlegte Behauptung, die der Presse versicherte, dass viele Ausschreibungen durchgeführt worden seien, um den Gastgeber zu bestimmen.
Die französischen Behörden arbeiten an der Entwicklung eines Geräts, mit dem französische Unternehmen benachrichtigt werden können, wenn die amerikanische Justiz versucht, auf einige ihrer strategischen Daten zuzugreifen, die auf den Servern amerikanischer Betreiber gespeichert sind.