Cloud Computing


Datenschutz in China, Indien und USA

Finger weg von der Cloud im Ausland

16. Februar 2012
Von  und Britta  Rothe
Dr. Michael Rath ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Er berät in den Bereichen IT-Recht und Wettbewerbsrecht. Seine Tätigkeitsschwerpunkte sind die Erstellung und Verhandlung komplexer Software- und IT-Verträge einschließlich IT-Outsourcing, IT-Projektverträge, Lizenzverträge, Shared-Service-Vereinbarungen und Service-Level-Agreements.

USA - Problemfall Patriot Act

Foto: wunschformat/Fotolia

Neuen Zündstoff erhielt die Diskussion um den Zugriff staatlicher Behörden durch die Verlautbarung von GoogleGoogle und MicrosoftMicrosoft im Sommer 2011, dass sie unter Umständen verpflichtet seien, auch die in europäischen Rechenzentren gespeicherten Daten gegebenenfalls an US-Behörden weiterzugeben. Auf den Internetseiten von Microsoft heißt es dazu: "Unter bestimmten Umständen kann Microsoft Daten ohne Ihre vorherige Zustimmung weitergeben". Alles zu Google auf CIO.de Alles zu Microsoft auf CIO.de

Diese Weitergabepflicht kann sich unter anderem aus dem so genannten Patriot Act ergeben, der nach den Terroranschlägen in September 2001 geschaffen wurde, um die Eingriffsbefugnisse der amerikanischen Sicherheitsbehörden zu erweitern. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden.

Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, sollen - so das US-Gesetz - auch die Tochterunternehmen die Verpflichtungen aus dem Patriot Act treffen. Nach Ermittlungen des Unabhängigen Landeszentrums für DatenschutzDatenschutz Schleswig-Holstein (ULD) treffe diese Verpflichtung Unternehmen selbst dann zu, wenn noch nicht einmal die Konzernmutter ihren Sitz in den USA hat, sondern überhaupt eine irgendwie geartete Konzernverbindung in die USA besteht. Alles zu Datenschutz auf CIO.de

US-behördliche Zugriffsrechte auf europäische Daten ergeben sich darüber hinaus auch aus anderen Gesetzen, etwa dann, wenn es um Steuerermittlungen oder Wirtschaftskriminalität geht. So ermöglicht zum Beispiel auch der so genannte Foreign Intelligence Surveillance Act den Zugriff des Generalstaatsanwaltes und des Direktors der nationalen Geheimdienste auf Nicht-US-Daten, sofern sie die Sicherheit der USA gefährdet sehen. Aber auch außerhalb von Behörden kann sich die Frage der Herausgabe von Emails und Dateien stellen, so etwa bei einer E-Discovery.

Dies zeigt, dass Anwendern von Cloud-Lösungen mit US-Bezug nicht garantiert werden kann, dass die strengen deutschen beziehungsweise europäischen Datenschutzgrundsätze (hier: Vertraulichkeit der Daten und grundsätzliches Übermittlungsverbot in unsichere Drittstaaten) von den Cloud-Dienstleistern eingehalten werden können. Cloud-Anbieter mit gesellschaftsrechtlichen Verbindungen in die USA befinden sich also in einer Zwickmühle: entweder sie verstoßen gegen US-Recht oder gegen das Datenschutzrecht ihrer Cloud-Kunden und damit gegen vertragliche Obliegenheiten.