Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) enthält einen neuen Rechtsrahmen für den staatlichen Zugriff auf im Ausland gespeicherter E-Mails und anderer Daten.

Ziel des Gesetzes ist es, zum Schutz der öffentlichen Sicherheit und zur Bekämpfung schwerwiegender Straftaten Verfahren zu etablieren, um inländischen Behörden Zugriff auf Daten auch dann zu ermöglichen, wenn diese auf Servern im Ausland gespeichert sind.

Zu diesem Zweck sieht der CLOUD Act den Abschluss bilateraler Abkommen mit anderen, hierfür geeigneten Staaten (sog. „qualifying foreign governments“) zur Zusammenarbeit bei entsprechenden Ersuchen um Datenzugriff vor. Ein solches Abkommen mit einem Staat gäbe dann nicht nur US-Behörden innerhalb des vereinbarten Rahmens die Möglichkeit, unter Einbindung lokaler Behörden Zugriff auf dort liegende Daten zu nehmen, sondern auch umgekehrt den Behörden dieses Staates die Möglichkeit zum Datenzugriff in den USA. Eine richterliche Anordnung soll grundsätzlich nicht erforderlich sein.

Den Behörden eines Landes soll dabei gestattet werden, ihr Ersuchen direkt an das Unternehmen im Ausland zu richten, das den jeweiligen Server kontrolliert. Staaten, die auf Grundlage des CLOUD Acts ein Abkommen mit den USA schließen, müssen im Inland ansässige Unternehmen deswegen gesetzlich zur Datenherausgabe verpflichten.

Praxistipp:

Für die EU erarbeitet die Europäische Kommission aktuell einen Legislativvorschlag für den grenzüberschreitenden „Zugang zu elektronischen Beweismitteln“. Ein erster Entwurf soll am 17. April 2018 vorgelegt werden.