CLOUD Act steht für Clarifying Lawful Overseas Use of Data Act. Das Gesetz ermöglicht den US-Behörden (und hier nicht nur Ermittlungsbehörden) auf gespeicherte Daten (zum Beispiel in einer Cloud) zuzugreifen, die auch im Ausland gehalten werden und erlaubt ferner deren Weitergabe. Es folgt dem Patriot Act von 2001, in dem nicht alle Szenarien konkret genug definiert hatte.
US-Behörden dürfen nun bei Cloud-Anbietern die Herausgabe aller Daten zu einer einzelnen Person oder zu einem Unternehmen verlangen. Der CLOUD Act bezieht jetzt ausdrücklich auch die im Ausland stehenden Server mit ein. Der Cloud-Anbieter muss dieser Aufforderung nachkommen oder kann Einspruch erheben, wenn die betroffene Partei kein US-Bürger ist oder die Herausgabe gegen das Recht des Landes verstoßt, in dem die Daten sich befinden. In diesem Fall würde ein amerikanisches Gericht entscheiden, ob das Interesse der US-Behörde oder das wirtschaftliche Wohl des Providers wichtiger sind. Ferner kann die US-Regierung mit anderen Staaten bilaterale Abkommen abschließen, welche diesen dann direkte Anfragen an amerikanischen Cloud-Anbietern ermöglichen.
Die betroffenen Personen oder Unternehmen haben keinerlei Möglichkeit, sich gegen den Zugriff zur Wehr zu setzen. Sie müssen weder vom amerikanischen Cloud-Provider noch von der US-Behörde informiert werden. Es darf den amerikanischen Anbietern sogar untersagt werden, ihre Benutzer über die heimliche Abfrage zu informieren. Einen Einspruch könnte somit lediglich der Cloud-Anbieter selbst einreichen.
Wir denken, dass die Einführung dieses Gesetzes ein wichtiger Grund dafür ist, sensible Daten nicht bei US-Anbietern abzulegen, sondern lokale Anbieter wie die NMMN mit seinen Hosted Private Clouds zu bevorzugen!
