Anfang des Jahres hatte das US-Handelsministerium schlug eine umfassende Regulierungsregel vor Dies würde die Anbieter von Cloud-Diensten dazu zwingen, personenbezogene Daten ihrer Benutzer zu erfassen und aufzubewahren, insbesondere der Benutzer mit Sitz außerhalb der Vereinigten Staaten.

Diese Regelung, die durch die Executive Orders von Präsident Joe Biden zum „Nationaler Notstand im Hinblick auf bedeutende böswillige Cyber-Aktivitäten“ würde eine umfangreiche Aufzeichnung und Sammlung von Benutzerdaten für alle Infrastructure-as-a-Service (IaaS)-Anbieter erfordern, also für Unternehmen, die sogenannte virtuelle Maschinen, Webserver, Cloud-Computing und -Speicher, virtuelle private Netzwerke (VPNs), Bitcoin- und Kryptowährungsknoten, künstliche Intelligenzmodelle und vieles mehr anbieten.

Ziel ist es, Dienste mit Kunden im Ausland abzuwehren, die böswillige ausländische Akteure und Hacker stoppen. Allerdings ist die Regelung so allgemein gehalten, dass jeder Cloud-Anbieter, der diese Informationen von seinen inländischen US-Benutzern nicht erfasst, zivil- und strafrechtlich belangt werden könnte.

Das Consumer Choice Center Übermittelte Kommentare um sich gegen die vorgeschlagene Regelung des Handelsministeriums zu stellen und verschiedene Änderungen und Modifikationen zu fordern, um Daten und die Privatsphäre der Verbraucher besser zu schützen.

Es ist unten zu finden:

Übertriebene KYC-Identitätsanforderungen für Cloud-Anbieter gefährden Verbraucher und bedrohen die freie Meinungsäußerung und den freien Handel im Internet

Sehr geehrter Unterstaatssekretär Alan F. Estevez,

Das Consumer Choice Center ist eine unabhängige, überparteiliche Interessenvertretung für Verbraucher, die sich für die Vorteile von Entscheidungsfreiheit, Innovation und Überfluss im Alltag einsetzt. 

Als Organisation, die Verbraucher im ganzen Land vertritt, sind wir zutiefst besorgt über die vorgeschlagene Regelung, die umfassende Know Your Customer (KYC)-Verfahren für alle Infrastructure as a Service (IaaS)-Anbieter vorschreibt, wie in Aktenzeichen DOC-2021-0007. 

Wenn diese Regeln in ihrer jetzigen Form in Kraft treten, werden sie unmittelbare Konsequenzen für Verbraucher und Online-Benutzer haben, die alle Arten von Online-Diensten, Servern, Cloud-Systemen und virtuellen Maschinen erstellen, verwenden und einsetzen. Dazu gehören Dienste, die es Benutzern ermöglichen, Server einzusetzen, auf denen sie ihre eigenen privaten Dokument- und Fotoinhalte hosten können, Bitcoin- und Kryptowährungsknoten, Modelle künstlicher Intelligenz, virtuelle private Netzwerke (VPNs) und mehr, gemäß den von IaaS-Anbietern angebotenen Servicebedingungen.

Diese Vorschriften sollen zwar einen direkteren Zugriff auf Informationen und Daten über böswillige ausländische Akteure ermöglichen, die die amerikanische Cloud-Infrastruktur nutzen. Stattdessen gefährden sie jedoch die Privatsphäre des Einzelnen, erleichtern den Verlust oder die böswillige Nutzung von Daten und verleihen Regierungsbehörden außerordentliche Machtbefugnisse, die im Widerspruch zur US-Verfassung und der Bill of Rights stehen.

Wir verstehen, dass die Absicht darin besteht, feindliche ausländische Akteure ins Visier zu nehmen, doch die Anforderungen an US-Dienstleister erfordern zwangsläufig, dass auch jeder Amerikaner diese Informationen bereitstellt.

Die Anforderung, dass Dienstanbieter umfassende persönliche und finanzielle Informationen über ihre Kunden aufbewahren müssen, stellt nicht nur einen eklatanten Verstoß gegen die Privatsphäre dar, sondern birgt auch ein erhebliches Risiko, da Tausende von IaaS-Anbietern im Besitz riesiger Mengen persönlicher Daten sind, die gehackt oder weitergegeben werden könnten.

Darüber hinaus verfügen die Strafverfolgungsbehörden bereits über genügend Instrumente und Befugnisse, um rechtliche Schritte einzuleiten und Durchsuchungsbefehle zu erwirken und Informationen abzugreifen.

Wir sind der Ansicht, dass dieser Gesetzesvorschlag die Möglichkeiten der Amerikaner, Online-Dienste ihrer Wahl zu nutzen, viel zu sehr einschränkt und ihre Möglichkeit, Server und Cloud-Dienste zu nutzen, ohne ihre Privatsphäre und persönlichen Daten erheblich zu gefährden, einschränken würde.

Darüber hinaus werden die umfassenden Informationen, die ein Dienst verlangt, der seinen Benutzern die Möglichkeit bieten möchte, eine virtuelle Maschine, einen Server, ein KI-Modell oder mehr auszuführen, die meisten Amerikaner zwangsläufig dazu bewegen, die Nutzung inländischer Dienste vollständig abzulehnen. Dies wird wirtschaftliche Konsequenzen haben, die in den Kosten der Umsetzung der vorgeschlagenen Regelung nicht berücksichtigt sind.

Wir empfehlen, diese Regelung vollständig zu überarbeiten und dabei die erheblichen Datenschutzrisiken zu beseitigen, die eine KYC-Erfassung bei IaaS-Anbietern für inländische Benutzer mit sich bringen würde. Zudem würden wir die verfassungswidrige Doppelung und außergesetzliche Befugnisse beseitigen, die den Strafverfolgungsbeamten eingeräumt würden.

Nachfolgend führen wir die beiden wichtigsten Problembereiche für US-Verbraucher auf.

KYC-Anforderungen für ausländische Benutzer, anwendbar auf inländische Benutzer

Wie bereits erwähnt in der Hintergrund Wie in den Zusatzinformationen zu der Regelung angegeben, würden diese neuen Befugnisse von den Dienstanbietern verlangen, die Benutzer nach ihrem Herkunftsland zu segmentieren:

Um diesen Bedrohungen zu begegnen, erließ der Präsident die EO 13984 mit dem Titel „Ergreifen zusätzlicher Schritte zur Bewältigung des nationalen Notstands im Hinblick auf erhebliche böswillige Cyber-Aktivitäten“. Diese erteilt dem Ministerium die Befugnis, von US-amerikanischen IaaS-Anbietern die Überprüfung der Identität ausländischer Nutzer von US-amerikanischen IaaS-Produkten zu verlangen, Standards und Verfahren herauszugeben, auf deren Grundlage das Ministerium entscheiden kann, ob IaaS-Anbieter von einer derartigen Verpflichtung ausgenommen werden, ausländischen Nutzern von US-amerikanischen IaaS-Produkten Aufzeichnungspflichten aufzuerlegen und unter entsprechenden Umständen den Zugriff bestimmter ausländischer Akteure auf US-amerikanische IaaS-Produkte zu beschränken.

Damit IaaS-Anbieter den Standort eines Benutzers jedoch effektiv ermitteln können, sind sie gesetzlich dazu verpflichtet – und riskieren damit zivil- und strafrechtliche Konsequenzen – den Standort eines Benutzers und die dazugehörigen persönlichen Daten unabhängig von seinem Standort zu protokollieren, zu kategorisieren und zu dokumentieren, um zu ermitteln, ob ein potenzieller Benutzer als „ausländischer Benutzer“ oder als Nutznießer gilt.

Dies wird zu einer verstärkten Erfassung von Informationen über Bankkonten und Finanztransaktionen führen und weit verbreitete „Know Your Customer“-Anforderungen (KYC) nach sich ziehen, die in diesem Ausmaß noch nie auf Online-Dienste angewendet wurden.

Wir sind der Ansicht, dass diese vorgeschlagene Regelung über die Zustimmung des Kongresses hinaus die Befugnisse der Behörden – sei es des Handelsministeriums oder der erwähnten Executive Orders – bei weitem überschreitet und erhebliche Risiken für normale Benutzer und Kunden sowohl im Ausland als auch innerhalb der Vereinigten Staaten schaffen würde.

Darüber hinaus bedeutet die breite Anwendung und Definition eines abgedeckten Dienstes – „jedes einem Verbraucher angebotene Produkt oder jeder einem Verbraucher angebotene Dienst, einschließlich kostenloser Angebote oder „Test“-Angebote, das/der Verarbeitung, Speicherung, Netzwerke oder andere grundlegende Computerressourcen bereitstellt und mit dem der Verbraucher nicht vordefinierte Software, einschließlich Betriebssysteme und Anwendungen, einsetzen und ausführen kann“ – im Wesentlichen, dass jeder Cloud-Dienst in den Geltungsbereich dieser Verordnung fällt.

Das Risiko von Datenschutzverletzungen

Da Dienstanbieter verpflichtet wären, ein robustes Kundenidentifizierungsprogramm zu unterhalten, wie in § 7.302 beschrieben, würden alle Cloud-Anbieter dadurch verpflichtet, den vollständigen Namen, die Adresse, die Kreditkartennummer, virtuelle Währungsnummern, E-Mail-Adressen, Telefonnummern, IP-Adressen usw. aller potenziellen Kunden ihres Dienstes zu erfassen und aufzubewahren.

Obwohl wir anerkennen, dass private Cloud-Anbieter und IaaS-Unternehmen über die Freiheit verfügen, selbst zu bestimmen, wie sie ihre Kundenidentifizierungsprogramme strukturieren, sind wir der Ansicht, dass die Anforderung, diese Informationen zu erfassen und lokal zu speichern, ein hohes Risiko birgt, dass diese Informationen unbefugt abgerufen werden können, sei es durch Hacks, Lecks oder andere böswillige Aktivitäten. 

Da die Dienstanbieter diese Informationen über Jahre hinweg katalogisieren müssen, werden sie für böswillige Akteure unweigerlich zu einem begehrten Ziel. Den Strafverfolgungsbehörden, die sich diese Informationen bereits durch rechtskräftige Haftbefehle verschaffen können, nützen sie dagegen nur wenig.

Außerordentliche und doppelte Befugnisse

Strafverfolgungsbehörden auf Bundes-, Landes- und lokaler Ebene verfügen bereits über die rechtlichen Mittel, um mit rechtmäßig erlangten Haftbefehlen Vorladungen an Daten von Cloud-Anbietern oder VPN-Anbietern zu senden oder diese um Angaben zu ihren Daten zu bitten. 

Dass IaaS-Anbieter nicht nur dazu verpflichtet wären, diese Informationen aufzubewahren, sondern auch die Strafverfolgungsbehörden präventiv zu „benachrichtigen“, ohne dass ein richterlicher Beschluss vorliegt oder ein Verbrechensverdacht besteht, verstößt gegen den vierten Verfassungszusatz und die Due Process-Klausel in der Auslegung des fünften und vierzehnten Verfassungszusatzes.

In Abschnitt § 7.306(d) wird als Voraussetzung für die Ausnahme von diesen Anforderungen die „freiwillige Zusammenarbeit“ mit den Strafverfolgungsbehörden festgelegt. Anschließend werden die Anbieter dazu verpflichtet, den Zugriff auf „forensische Informationen für die Untersuchung identifizierter böswilliger Cyber-Aktivitäten“ zu ermöglichen. 

Wir sind der Ansicht, dass diese Vorgehensweise leicht missbraucht werden könnte, da sie Unternehmen die Möglichkeit eröffnen würde, Kundeninformationen über das erforderliche und gesetzlich zulässige Maß hinaus an Behörden weiterzugeben. Zudem würden dadurch Firmen und Unternehmen Anreize geboten, Informationen über ihre Kunden freiwillig an Behörden, Strafverfolgungsbehörden usw. weiterzugeben.

Wir sind der Meinung, dass dieser Gesetzesvorschlag in der vorliegenden Form übereilt vorgelegt wurde und wahrscheinlich zu erheblichen Schäden und Risiken für die Daten und Privatsphäre der Verbraucher sowie deren Freiheit, sich am freien Handel zu beteiligen, führen wird. Wir fordern, dass dieser Gesetzesvorschlag unter Berücksichtigung dieser Bedenken neu geschrieben wird.

Mit freundlichen Grüßen,

Yael Ossowski

Stellvertretender Direktor,

Verbraucherwahlzentrum