Die Cloud – spätestens seit der letzten CeBit ist sie in aller Munde. Doch jetzt zeigt sich erneut, dass die Daten in der Cloud nicht so sicher sind wie man es sich wünschen könnte. Wie heise.de berichtete, müssen Cloud-Anbieter den US-Strafverfolgungsbehörden nach amerikanischem Recht nämlich Zugriff auf die in der Cloud gespeicherten Daten gewähren.
Der Inhalt im Überblick
EU muss Zugriff auf Daten gewähren
Zugriff muss aufgrund amerikanischer Gesetze auch auf die Daten gewährt werden, die in europäischen Rechenzentren liegen. Sobald Daten von einem Unternehmen gelagert, gespeichert oder verarbeitet werden, welches seinen Hauptsitz in den USA hat, müssen die dort geltenden Gesetze befolgt werden. Nach dem US-„Patriot Act“ dürfen die Strafverfolgungsbehörden weitreichend auf Daten zugreifen.
Problem dabei: Nicht immer werden die Betroffenen von der Datenweitergabe informiert. Denn in den USA kann das FBI ein Redeverbot für das betroffene Unternehmen aussprechen, so dass die Betroffenen unter Umständen nicht einmal erfahren, dass ihre Daten weitergegeben wurden.
Probleme aufgrund unterschiedlichen Datenschutzniveaus
Dass Datenweitergaben in andere Länder aufgrund der teilweise sehr unterschiedlichen Datenschutzniveaus ein schwieriges Thema ist, zeigt sich vor allem dann, wenn von Deutschland aus Daten ins Ausland übertragen werden. Denn unter anderem gelten auch die USA als „unsicheres Drittland“ (solange sich das betroffene Unternehmen nicht den „safe harbor principles“ angeschlossen hat) und es sind bestimmte Maßnahmen zu ergreifen, um eine datenschutzkonforme Übermittlung zu gewährleisten.
Wenn es allerdings darum geht, dass Zugriff auf Daten gewährt werden soll, die in Deutschland liegen, stehen wir vor einem ganz anderen Problem: Denn wie soll das bei einem US-amerikanischen Unternehmen überhaupt verhindert werden und wie kann man sich davor schützen, dass die eigenen Daten plötzlich in den USA landen?
ULD: Widerspruch zum EU-Datenschutzrecht
Thilo Weichert, Chef des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD), sagte laut heise:
Diese Datenweitergabe aus dem EU-Gebiet heraus steht im Widerspruch zu europäischem Datenschutzrecht. Das Risiko einer Datenweitergabe stellt die Vertraulichkeit der auf Microsoft-Rechenzentren gehosteten Daten und Anwendungen infrage und entzieht bestehenden Verträgen zur Datenverarbeitungsdienstleistung die Grundlage. Unternehmen sollten sich daher bei der Nutzung von Cloud-Diensten für personenbezogene Daten ausschließlich auf rein europäische Service-Provider beschränken.
Einhaltung aller Gesetze – aber um welchen Preis?
Microsoft beteuert, dass alle geltenden Gesetze eingehalten werden. Fraglich ist in diesem Zusammenhang nur, welche Gesetze denn gemeint sind. Denn obwohl Microsoft ein US-Unternehmen ist, muss es auch die deutschen Gesetze einhalten – zumal es von seinen Auftraggebern darauf vertraglich verpflichtet worden sein wird. Dass dies zu einem erheblichen Konflikt zwischen beiden Rechtsordnungen führt, ist klar, die Lösung weiß aber auch selbst ein Unternehmen wie Microsoft anscheinend nicht. Insofern bleibt nur, sich dem Rat von Herrn Weichert anzuschließen und in Zukunft nur europäische Service-Provider zu beauftragen, um auf der sicheren Seite zu sein.