Gesellschaftsrecht- liche Konstruktionen Sicherheitsrelevante Fragen | US-Konzern mit EU-Tochtergesellschaft | EU-dominierte Kapitalgesellschaft mit US-Unternehmen als Minderheitsgesellschafter | EU-Tochterunternehmen eines EU-Mutterkonzerns mit Geschäftstätigkeit in den USA nutzt US-Technologie | EU-Unternehmen ohne Geschäftsbeziehungen in die USA, aber mit US-Technologielieferant oder Auftragsdatenverarbeitung | EU-Unternehmen ohne Geschäftstätigkeit in den USA und ohne Technologielieferant oder Auftragsverarbeitung mit US-Bezug |
|---|---|---|---|---|---|
| 1.) Lässt sich ein Zugriff durch US-Geheimdienste (Executive Order 12333) ausschließen? | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt |
| 2.) Ist ausgeschlossen, dass eine US-Jurisdiktion für Herausgabeverlangen nach 702 FISA oder US Cloud Act eröffnet ist? | ✘ Datenzugriff über US-Mutterkonzern | ✘ Datenzugriff unter Umgehung der Geschäftsleitung oder durch Übernahme der Geschäfts-/Geschäftsleitung möglich | ✘ Herausgabeverlangen an Niederlassung, Tochtergesellschaft oder Angestellte in den USA möglich | ✘ Zugriff über leitende Angestellte oder einzelne IT-Komponenten, die vor dem Hintergrund möglicher Herausgabeverlangen im Produkt verankert | ✔ Kein Ansatzpunkt für US-Jurisdiktion vorhanden, da keine Geschäftsbeziehungen Technologiekomponenten aus den USA |
| 3.) Lässt sich eine Herausgabepflicht durch Verschlüsselung sicher verhindern? | ✘ Entschlüsselung verschlüsselter Daten ausschließlich nur bei bilateralen Verwaltungsabkommen ausgeschlossen (str.) | ✘ Entschlüsselung verschlüsselter Daten ausschließlich nur bei bilateralen Verwaltungsabkommen ausgeschlossen (str.) | ✘ Entschlüsselung verschlüsselter Daten ausschließlich nur bei bilateralen Verwaltungsabkommen ausgeschlossen (str.) | ✘ Herausgabepflicht kann sich auch auf verschlüsselte Daten erstrecken, die unter die Kontrolle des US-Partners gelangen | ✔ Bei Open-Source-Verschlüsselungssystem und Masterkey beim Kunden lassen sich Hintertüren zuverlässig(er) ausschließen |
| 4.) Lässt sich ein Zugriff bei Verschlüsselung mit US-Verschlüsselungssoftware oder Kontrolle der Schlüssel durch den Anbieter ausschließen? | ✘ Herausgabeverlangen kann sich auch auf Masterkey beim Anbieter/ in der Cloud erstrecken | ✘ Entschlüsselung von Daten oder Weitergabe verschlüsselter Daten kann Teil der Herausgabepflicht an US-Unternehmen sein | ✘ Entschlüsselung von Daten oder Weitergabe verschlüsselter Daten kann Teil der Herausgabepflicht des Unternehmens in den USA sein | ✘ Herausgabeverlangen kann sich auf Masterkey erstrecken | ✔ Keine US-Jurisdiktion = keine Herausgabepflicht |
| 5.) Lässt sich das Risiko ausschließen, dass ein US-Gericht einen Fall von "spoliation" oder "Missachtung des Gerichts" annimmt, wenn sich der Herausgabeverpflichtete der Pflicht durch ein Aussperren aus der Cloud? | ✘ US-Gerichte könnten Umgehung der Herausgabepflicht annehmen und sanktionieren | ✘ US-Gerichte könnten Umgehung der Herausgabepflicht annehmen und sanktionieren | ✘ US-Gerichte könnten Umgehung der Herausgabepflicht annehmen und sanktionieren | ✘ US-Gerichte könnten Umgehung der Herausgabepflicht annehmen und sanktionieren | ✔ Keine US-Jurisdiktion = keine Sanktionierbarkeit |
| 6.) Lässt sich eine Einschränkung der digitalen Lieferkette / Lizenzen ausschließen, wenn US-Exportkontrolle wegen Gefährdung der nationalen Sicherheit greift? | ✘ US-Exportkontrollrecht ermöglicht Einschränkungen in Fällen nationaler Sicherheit | ✘ US-Exportkontrollrecht ermöglicht Einschränkungen in Fällen nationaler Sicherheit | ✘ US-Exportkontrollrecht ermöglicht Einschränkungen in Fällen nationaler Sicherheit | ✘ US-Exportkontrollrecht ermöglicht Einschränkungen in Fällen nationaler Sicherheit | ✔ Keine US-Jurisdiktion und keine Verwendung von US-Technologie/ Auftragsverarbeitung |