The CLOUD Act: 5 Dinge, die Unternehmen über das Datenschutzgesetz wissen müssen

Wie das CLOUD-Gesetz den Datenschutz verändern könnte Das CLOUD-Gesetz könnte es den Strafverfolgungsbehörden ermöglichen, ohne Einwände von Hosting-Unternehmen auf im Ausland gespeicherte Daten zuzugreifen, und dies liegt derzeit vor dem Kongress.

Ein Bundesausgabengesetz vor dem US-Kongress enthält eine Bestimmung namens CLOUD (Clarifying Lawful Overseas Use of Data), die die gesetzlichen Anforderungen für Strafverfolgungsbehörden ändern würde, die Zugang zu Daten erhalten möchten, die auf Servern in Übersee gespeichert sind.

Der CLOUD Act ist eine Reaktion auf einen Streit zwischen Microsoft und anderen E-Mail-Dienstleistern und dem US-Justizministerium (DOJ), der 2016 begann.

Mehr zur Cybersicherheit

  • Cybersicherheit im Jahr 2020: Acht erschreckende Vorhersagen
  • Die 10 wichtigsten Cyberangriffe des Jahrzehnts
  • So werden Sie ein Cybersicherheitsprofi: Ein Spickzettel
  • Berühmter Betrüger Frank Abagnale: Kriminalität ist heute 4.000 Mal einfacher

Microsoft hat 2016 vor dem Bundesberufungsgericht einen Sieg über das DOJ errungen und damit einen Haftbefehl für ungültig erklärt, wonach das Unternehmen Benutzer-E-Mails übergeben muss, die auf einem Server in Irland gespeichert sind. Der Fall wurde beim Obersten Gerichtshof der USA angefochten, wo er Ende Februar 2018 mit einer noch anhängigen Entscheidung verhandelt wurde.

Das CLOUD-Gesetz würde die Notwendigkeit beseitigen, dass der Oberste Gerichtshof sogar eine Entscheidung erlassen muss, da es genau die zur Debatte stehenden Fragen kodifiziert und es den US-Strafverfolgungsbehörden erleichtert, auf Daten zuzugreifen, die auf Cloud-Servern in Übersee gespeichert sind, unabhängig von der Meinung der Hosting-Organisation die Daten.

Unternehmen und Einzelpersonen wissen viel über das CLOUD Act. Hier sind fünf wesentliche Dinge, die Sie beachten sollten, wenn das Gesetz auf eine Abstimmung zusteuert.

1. Der Schutz für im Ausland gespeicherte Daten entfällt

Eines der ersten Dinge, die das CLOUD-Gesetz klarstellt, ist, dass es keine Rolle spielt, wo Daten gespeichert werden, und dass Hosting-Unternehmen die Einhaltung auf dieser Grundlage nicht ablehnen können.

"Ein Anbieter von elektronischen Kommunikationsdiensten oder Remote-Computing-Diensten muss die Anforderungen erfüllen ... unabhängig davon, ob sich solche Kommunikations-, Aufzeichnungs- oder sonstigen Informationen innerhalb oder außerhalb der USA befinden."

Microsoft argumentiert, dass US-amerikanische Gerichte und Strafverfolgungsbehörden nicht für Hardware außerhalb der USA zuständig sind. Die Sprache des oben genannten Abschnitts beseitigt diese Rechtsverteidigung in Verbindung mit anderen Bestimmungen, wie z.

2. Es ermöglicht dem Präsidenten, ausdrücklich Vereinbarungen mit anderen Nationen zu treffen, um gespeicherte Daten auszutauschen

"Nach diesem Kapitel ist es nicht rechtswidrig, wenn ein Anbieter von elektronischen Kommunikationsdiensten für die Öffentlichkeit oder Ferncomputerdienste den Inhalt einer drahtgebundenen oder elektronischen Kommunikation auf Anordnung einer ausländischen Regierung, die einer Exekutive unterliegt, abfängt oder offenlegt Zustimmung ..."

Der US-Präsident kann mit ausländischen Regierungen Vereinbarungen treffen, die es ihren Strafverfolgungsbeamten ermöglichen, Daten anzufordern, die innerhalb der Grenzen des anderen gespeichert sind. Im Fall von Microsoft könnte Irland beispielsweise einfach sagen, dass es in Ordnung ist, wenn Microsoft auf einem irischen Microsoft-Server gespeicherte Daten übergibt, und Microsoft hat dann keinen Rechtsweg, um sie zurückzuhalten.

3. Anbieter können weiterhin Einspruch einlegen

Das CLOUD Act bietet Inhaltsanbietern eine, wenn auch enge Möglichkeit, gegen Anfragen der US-Strafverfolgungsbehörden Einspruch einzulegen, um im Ausland gehostete Daten weiterzugeben. Nur zwei Bedingungen erfüllen einen Antrag, den Prozess zu ändern oder aufzuheben:

  1. Wenn der Kunde / Abonnent keine US-Person ist und nicht in den USA wohnt, und
  2. Dass die Offenlegung den Anbieter durch die Übergabe von Daten einem Risiko für Verstöße gegen ausländisches Recht aussetzen würde.

Beachten Sie die Verwendung der Qualifikationsmerkmale "und" dort - es ist wahrscheinlich, dass alle genannten Bedingungen erfüllt oder der Antrag aufgehoben werden muss.

4. Befürworter der Privatsphäre bekämpfen dies

Die Electronic Frontier Foundation nennt das CLOUD-Gesetz "eine gefährliche Ausweitung der Polizei, die grenzüberschreitende Daten beschnüffelt", und gibt mehrere Gründe an, warum sie der Ansicht ist, dass das Gesetz die Datenschutzrechte verletzt:

  • Es "enthält einen schwachen Standard für die Überprüfung, der nicht zum Schutz der Gewährleistungspflicht gemäß der 4. Änderung führt."
  • Eine Kündigungspflicht ist nicht enthalten, wie dies bei einem physischen Haftbefehl der Fall ist. Nach der Sprache des CLOUD Act kann die Regierung laut EFF auf personenbezogene Daten zugreifen, ohne dass das Ziel davon Kenntnis hat.
  • Das Gesetz würde "den US-Strafverfolgungsbehörden uneingeschränkte Zuständigkeit für alle von einem Dienstanbieter kontrollierten Daten einräumen, unabhängig davon, wo die Daten gespeichert sind und wer sie erstellt hat". Dieses Argument ist das gleiche wie das, das es Anfang 2018 zur Unterstützung von Microsoft eingereicht hat.

Die Argumente des EFF beschränken sich darauf, dass der CLOUD Act eine massive Überschreitung darstellt, die sowohl gegen die Normen des US-amerikanischen als auch des internationalen Rechts verstößt. Ob dies ausreicht, um das Vorbeigehen zu verhindern, bleibt abzuwarten.

5. Es ist immer noch nicht entschieden

Die Ausgabenrechnung, der das CLOUD-Gesetz beigefügt ist, wurde erst am Mittwoch, den 21. März 2018 vom Kongress veröffentlicht. Dies könnte bedeuten, dass die Ausgabenrechnung und die Verabschiedung des CLOUD-Gesetzes einige Zeit in Anspruch nehmen könnten.

Reuters berichtete, dass das CLOUD-Gesetz von beiden Parteien unterstützt wird, was seine Verabschiedung durch das Haus und den Senat beschleunigen könnte, obwohl unklar ist, ob das Ausgabengesetz ohne Debatte durchkommen wird.

Das CLOUD Act ist kein abgeschlossenes Geschäft, aber diejenigen, die davon betroffen sind, sollten dennoch überlegen, was es für sie und die Zukunft ihrer Datenspeicherung bedeutet. Wie der EFF feststellte, war dies weder das erste noch das zweite Mal, dass ähnliche Gesetzesvorlagen vor dem Kongress vorgelegt wurden.

Es ist wahrscheinlich, dass unabhängig davon, ob das CLOUD-Gesetz verabschiedet wird, in naher Zukunft ähnliche Gesetze erlassen werden. Nach dem CLOUD-Gesetz betrachten Strafverfolgungsbehörden das derzeitige Verfahren zur Beantragung von Haftbefehlen für internationale Daten als Hindernis, was bedeutet, dass sich die diesbezüglichen Gesetze früher oder später zum Vorteil der Strafverfolgung ändern werden.

Executive Briefing Newsletter

Entdecken Sie die Geheimnisse des Erfolgs von IT-Führungskräften mit diesen Tipps zum Projektmanagement, zu Budgets und zum Umgang mit alltäglichen Herausforderungen. Lieferung dienstags und donnerstags

Heute anmelden

Siehe auch

  • Sonderbericht: Die Zukunft von Everything as a Service (kostenloses PDF) (TechRepublic)
  • Microsoft optimistisch hinsichtlich der Aufnahme des CLOUD Act durch den Kongress in das Finanzierungsgesetz (ZDNet)
  • 6 Big-Data-Datenschutzpraktiken, die jedes Unternehmen 2018 anwenden sollte (TechRepublic)
  • Cloud Computing frisst die Welt: Sollten wir uns Sorgen machen? (ZDNet)
  • Bericht: Nur 40% der in der Cloud gespeicherten Daten sind durch Verschlüsselung und Schlüsselverwaltung (TechRepublic) gesichert.
Bild: iStock / krblokhin

© Copyright 2020 | mobilegn.com