WASHINGTON – E-ID, Smartphones und die US-Gesetze: Wo immer Software von US-Firmen installiert ist, dürfen US-Firmen darauf Zugriff nehmen, auch dann, wenn die Daten sich im Ausland befinden!
.
Die Diskussion über die Sicherheit der E-ID und der Einführung eines E-Euro blendet völlig aus, dass die USA mit Hilfe ihrer eigenen Gesetzgebung einfach definieren, dass die US-Behörden im Rahmen von Strafverfahren Zugriff auf alle Daten erhalten können, die von US-Firmen bearbeitet werden, also z.B. auch durch Microsoft Word. Dies hat zur Folge, dass Technologische Abhängigkeit von US-Big Tech zugleich bedeutet, vom US-Recht abhängig zu sein.
Von daher betrachtet ist „Dezentralität“ und „Datensouveränität“ eine Illusion. Die Firmen, die Macht über die Daten haben, wie z.B. Apple, Google, Microsoft, machen die Bürger außerhalb der USA über das US-Gesetz zu Abhängigen der US-Behörden.
.
Mit Hilfe des Cloud-Act haben US-Behörden Zugriff auf Daten, sobald diese von US-Firmen bearbeitet wurden
Angeblich soll die neue E-ID sicher sein, dezentral und ausschließlich auf dem Gerät gespeichert werden. Das selbe gilt für den E-Euro. Doch über einen Punkt spricht jedoch niemand: Niemand spricht über die technische Infrastruktur und wer mit deren Hilfe auf diese Daten „legal“ zugreifen kann.
Das Nadelöhr ist die Tatsache, dass fast alle Smartphones mit Hilfe von Apples iOS oder Googles Android, als Betriebssysteme laufen und fast alle Computer mit dem Betriebssystem Microsoft Windows.
All das sind jedoch Produkte von US-Firmen und diese unterliegen – sogar im Ausland – US-Gesetzen und diese US-Gesetze besagen, dass damit die US-Regierung Zugriff auf alle mit Hilfe von US-Firmen verarbeiteten Daten hat! Die USA haben nämlich Gesetze erlassen, die eindeutig vorschreiben: US-Firmen müssen Daten herausgeben, egal wo auf der Welt diese gespeichert sind. Dieses Gesetz nennt sich „Cloud Act“
Der CLOUD Act (2018)
Bei dem US-amerikanischen CLOUD Act (Clarifying Lawful Overseas Use of Data Act) handelt es sich um ein Gesetz, das es seit 2018 in Strafrechtsfällen den US-Behörden erlaubt, US-amerikanische Kommunikations- und Cloud-Anbieter zur Herausgabe von Kundendaten zu verpflichten.
Das gilt sogar dann, wenn diese Daten auf Servern außerhalb der USA, also beispielsweise in der EU, gespeichert sind.
Der CLOUD Act änderte in erster Linie den Stored Communications Act (SCA) von 1986, um es den Bundesbehörden zu ermöglichen, US-amerikanische Technologieunternehmen per Haftbefehl oder Vorladung zur Herausgabe angeforderter, auf Servern gespeicherter Daten zu zwingen, unabhängig davon, ob die Daten in den USA oder im Ausland gespeichert sind.
Der CLOUD Act schreibt vor, dass US-Daten- und Kommunikationsunternehmen auf Anfrage die gespeicherten Daten eines Kunden oder Abonnenten auf jedem Server, den sie besitzen und betreiben, herausgeben müssen. Gleichzeitig bietet er den Unternehmen oder Gerichten Mechanismen, diese Daten abzulehnen oder anzufechten, wenn sie der Ansicht sind, dass die Anfrage gegen die Datenschutzrechte des Landes verstößt, in dem die Daten gespeichert sind.
Das Gesetz wurde als Reaktion auf einen Rechtsstreit zwischen Microsoft und der US-Regierung verabschiedet und steht im Konflikt mit der europäischen Datenschutz-Grundverordnung (DSGVO), die den Schutz der Privatsphäre stärkt, insbesondere bei der Übertragung von Daten in Drittländer.
Originaltext (US-Justizministerium):
- “The CLOUD Act clarified that U.S. law requires that providers subject to U.S. jurisdiction disclose data that is responsive to valid U.S. legal process, regardless of where the company stores the data.”
- „Der CLOUD Act stellte klar, dass US-amerikanisches Recht Anbieter, die der US-Gerichtsbarkeit unterliegen, verpflichtet, Daten offenzulegen, die einem gültigen US-Rechtsverfahren unterliegen, unabhängig davon, wo das Unternehmen die Daten speichert. Dies gewährleistete die Vereinbarkeit mit den US-Verpflichtungen gemäß Artikel 18(1) der Budapester Cybercrime-Konvention und stellte die Vereinigten Staaten auf eine Stufe mit den über 60 anderen Vertragsparteien der Konvention.“
Dem US-Kongressbericht kann man zum CLOUD Act entnehmen:
Originaltext (Congressional Research Service):
- “The CLOUD Act amended the Stored Communications Act (SCA) to make clear that service providers must disclose data in their possession, custody, or control, even if the data is stored abroad.”
- „Der CLOUD Act änderte den Stored Communications Act (SCA), um klarzustellen, dass Dienstanbieter Daten, die sich in ihrem Besitz, ihrer Obhut oder unter ihrer Kontrolle befinden, offenlegen müssen – selbst wenn die Daten im Ausland gespeichert sind.“
Und das wissen die US-Konzerne natürlich auch, wie z.B. Amazon Web Services (AWS), Diese schreiben zur Anwendung des CLOUD Act:
- “The CLOUD Act updated the Stored Communications Act (SCA) … to require that providers subject to U.S. jurisdiction disclose data … even if that data is stored outside of the U.S.”
- „Der CLOUD Act aktualisierte den Stored Communications Act (SCA) … und verpflichtet Anbieter, die der US-Jurisdiktion unterliegen, Daten offenzulegen – auch wenn diese Daten außerhalb der USA gespeichert sind.“
Der „Cloud Act“ bietet außerdem einen alternativen und beschleunigten Weg zu MLATs durch „Exekutivabkommen“. Die Exekutive erhält die Möglichkeit, bilaterale Abkommen mit anderen Ländern zu schließen, um die angeforderten Daten ihrer Bürger auf vereinfachte Weise bereitzustellen, sofern der Generalstaatsanwalt mit Zustimmung des Außenministers zustimmt, dass das andere Land über ausreichende Schutzmaßnahmen verfügt, um den Zugriff auf Daten von US-Bürgern zu beschränken. Das erste derartige Abkommen wurde mit dem Vereinigten Königreich geschlossen. Dem Weißbuch des US-Justizministeriums ist eine FAQ beigefügt .
- Am 26. September 2019 gaben die USA und die EU hierüber eine gemeinsame Erklärung zu Verhandlungen über den Austausch elektronischer Beweismittel ab
- Am 3. März 2023 gaben das US-Justizministerium und die Europäische Kommission die Wiederaufnahme der Verhandlungen zwischen den USA und der EU über elektronische Beweismittel in strafrechtlichen Ermittlungen bekannt
Damit wird klar:
- E-ID-Daten mögen technisch „auf dem Gerät“ gespeichert sein – das Gerät selbst läuft aber auf Betriebssystemen von Apple oder Google.
- Updates, App-Verteilung, Push-Dienste, Schnittstellen zu Cloud-Diensten → alles wird über US-Plattformen kontrolliert.
- Microsoft Windows auf PCs fällt ebenso unter den CLOUD Act.
Das bedeutet: Egal ob in Zürich, Berlin oder Singapur – sobald die E-ID oder digitale Identität auf einem Gerät von Apple, Google oder Microsoft läuft, können US-Behörden über diese Gesetze an die eigenen Daten gelangen.
Aber das können die BigTech-Firmen doch sowieso schon!
Nun gibt es Zeitgenossen, die argumentieren, dass Big-Tech das ja sowieso schon mache. Das ist ist nur halb richtig, wie man der folgenden Tabelle zu Aktuellem Tracking vs. E-ID-Tracking entnehmen kann:
| Aspekt | Aktuell (ohne E-ID) | Mit E-ID | Mehr Präzision? |
|---|---|---|---|
| Datenqualität | Grob (IP, Cookies, Annahmen) | Verifiziert (staatlich bestätigte ID) | Ja – exakte Zuordnung zu Person |
| Jugendschutz-Beispiel | Ungenaue Checks (Kreditkarte, Fake-Daten) | Präzise Tokens („über 18“ + Meta) | Ja – detailliertere Logs |
| Profilbau | Pseudonyme Profile, fehleranfällig | Granulare Verhaltensprofile | Ja – für Werbung/Social Scoring |
| Rechtliche Risiken | CLOUD Act auf Metadaten | Erweiterte Anwendung auf verifizierte Daten | Ja – höheres Missbrauchsrisiko |
| Nutzerfreiheit | Anonymität möglich (VPN etc.) | Faktische Pflicht für Dienste | Nein – mehr Druck |
Antworten