Cloud Computing

Datenschutz in China, Indien und USA

Finger weg von der Cloud im Ausland

16.02.2012, von Michael RathBritta  Rothe

USA - Problemfall Patriot Act

Vergrößern

Foto: wunschformat - Fotolia.com

Neuen Zündstoff erhielt die Diskussion um den Zugriff staatlicher Behörden durch die Verlautbarung von Google und Microsoft im Sommer 2011, dass sie unter Umständen verpflichtet seien, auch die in europäischen Rechenzentren gespeicherten Daten gegebenenfalls an US-Behörden weiterzugeben. Auf den Internetseiten von Microsoft heißt es dazu: "Unter bestimmten Umständen kann Microsoft Daten ohne Ihre vorherige Zustimmung weitergeben".

Diese Weitergabepflicht kann sich unter anderem aus dem so genannten Patriot Act ergeben, der nach den Terroranschlägen in September 2001 geschaffen wurde, um die Eingriffsbefugnisse der amerikanischen Sicherheitsbehörden zu erweitern. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden.

Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, sollen - so das US-Gesetz - auch die Tochterunternehmen die Verpflichtungen aus dem Patriot Act treffen. Nach Ermittlungen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) treffe diese Verpflichtung Unternehmen selbst dann zu, wenn noch nicht einmal die Konzernmutter ihren Sitz in den USA hat, sondern überhaupt eine irgendwie geartete Konzernverbindung in die USA besteht.

US-behördliche Zugriffsrechte auf europäische Daten ergeben sich darüber hinaus auch aus anderen Gesetzen, etwa dann, wenn es um Steuerermittlungen oder Wirtschaftskriminalität geht. So ermöglicht zum Beispiel auch der so genannte Foreign Intelligence Surveillance Act den Zugriff des Generalstaatsanwaltes und des Direktors der nationalen Geheimdienste auf Nicht-US-Daten, sofern sie die Sicherheit der USA gefährdet sehen. Aber auch außerhalb von Behörden kann sich die Frage der Herausgabe von Emails und Dateien stellen, so etwa bei einer E-Discovery.

Dies zeigt, dass Anwendern von Cloud-Lösungen mit US-Bezug nicht garantiert werden kann, dass die strengen deutschen beziehungsweise europäischen Datenschutzgrundsätze (hier: Vertraulichkeit der Daten und grundsätzliches Übermittlungsverbot in unsichere Drittstaaten) von den Cloud-Dienstleistern eingehalten werden können. Cloud-Anbieter mit gesellschaftsrechtlichen Verbindungen in die USA befinden sich also in einer Zwickmühle: entweder sie verstoßen gegen US-Recht oder gegen das Datenschutzrecht ihrer Cloud-Kunden und damit gegen vertragliche Obliegenheiten.

Jetzt den CIO Exklusiv Newsletter bestellen!
Kommentieren: Kommentieren
Empfehlungen der Redaktion:
5 K.o.-Kriterien für den Cloud-Einsatz
Cloud ist ein unreifer Service, er wurde primär für Privatkunden entwickelt. Für große Unternehmen sind entscheidende Fragen noch nicht geklärt, erläutert Alexander ...
» zum Artikel
Was nach der Cloud kommt
Virtualisierung und Cloud erlauben eine neue Service-Strategie: Mit Managed Services will der IT-Dienstleister in Richtung Applikationen expandieren.
» zum Artikel
Die rechtlichen Fallstricke bei Cloud Computing
Anwender, Anwalt und Anbieter an einem Tisch: Das bietet unser Webcast zu juristischen Fragen bei Cloud Computing.
» zum Artikel
Weitere Inhalte zu:
China-Cloud, Indien-Cloud, USA-Cloud, Cloud, Datenschutz