Der weit verbreitete Eindruck, der US Cloud Act betreffe ausschließlich US-amerikanische Anbieter, ist falsch. Auch europäische Unternehmen können unter die US-Jurisdiktion fallen, selbst wenn sie keine Tochtergesellschaft in den USA haben.
Bereits gezielte geschäftliche Kontakte in die USA („specific personal jurisdiction“) oder eine dauerhafte Präsenz („general personal jurisdiction“) können ausreichen.
Wird US-Recht anwendbar, kann ein Herausgabeverlangen für Daten entstehen, die sich „im Besitz, in der Verwahrung oder unter der Kontrolle“ eines Unternehmens befinden.
Die Auslegung des Kontrollbegriffs ist uneinheitlich und muss im Einzelfall bewertet werden. Gleichzeitig bleibt die DSGVO maßgeblich: Eine Herausgabe personenbezogener Daten ist nur zulässig, wenn die Anforderungen des EU-Rechts erfüllt sind. Andernfalls ist die Übermittlung abzulehnen.
Ein aktueller Fall aus Kanada1 zeigt, dass extraterritoriale Herausgabeverlangen real sind und international zunehmend an Relevanz gewinnen.
Was bedeutet das für Unternehmen?
- Prüfen Sie, ob ausländisches Recht für bestehende oder geplante Datenverarbeitungen relevant werden kann.
- Vertragsbeziehungen und Datenflüsse sollten daraufhin bewertet werden.
- Interne Prozesse und Entscheidungswege für den Umgang mit Herausgabeverlangen sind festlegen.
Appell an die Geschäftsführung
Etablieren Sie klare Strukturen für mögliche Datenzugriffe aus dem Ausland und beziehen Sie Ihre Datenschutzbeauftragte frühzeitig ein.
So reduzieren Sie rechtliche Risiken und schaffen die Voraussetzung, um DSGVO-Konformität auch im internationalen Kontext verlässlich sicherzustellen.
Sie haben Fragen zur Umsetzung in Ihrem Unternehmen oder suchen praxisnahe Unterstützung im Datenschutz und Compliance-Management? Wir stehen Ihnen mit Erfahrung und Expertise zur Seite – sprechen Sie uns gerne an: consulting@AdOrgaSolutions.de.
