Dies gilt insbesondere, nachdem bereits im Sommer 2011 "offiziell" bekannt wurde, dass US-Behörden nach dem so genannten Patriot Act auf Cloud-Daten europäischer Unternehmen zugreifen können. Die Datenschutzbeauftragten des Bundes und der Länder sehen die Cloud demgemäß weiterhin kritisch, sehen die Verantwortung aber allein beim Nutzer: "Anwender dürfen Cloud-Services (nur) dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutzanforderungen und Informationssicherheitsanforderungen geprüft haben. Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung".

USA: Patriot Act und E-Discovery

Unter gewissen Umständen können US-Provider verpflichtet sein, auch die in europäischen Rechenzentren gespeicherten Daten an US-Behörden weiterzugeben. Diese Pflicht kann sich unter anderem aus dem Patriot Act ergeben, der nach den Terroranschlägen in September 2001 geschaffen wurde, um die Eingriffsbefugnisse der amerikanischen Sicherheitsbehörden zu erweitern. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden. Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, sollen (so das US-Gesetz) auch die Tochterunternehmen die Verpflichtungen aus dem Patriot Act treffen.

US-behördliche Zugriffsrechte auf europäische Daten ergeben sich darüber hinaus auch aus anderen Gesetzen, etwa dann, wenn es um Steuerermittlungen oder Wirtschaftskriminalität geht. So ermöglicht zum Beispiel auch der so genannte FISA ("Foreign Intelligence Surveillance Act") den Zugriff des Generalstaatsanwaltes und des Direktors der nationalen Geheimdienste auf Nicht-US-Daten, sofern sie die Sicherheit der USA gefährdet sehen. Aber auch außerhalb von Behörden kann sich die Frage der Herausgabe von Emails und Dateien stellen, so etwa bei einer E-Discovery.

Microsoft präsentiert die "deutsche Cloud" und den "deutschen Datentreuhänder"

In zeitlicher Hinsicht ist es Zufall und hängt nicht unmittelbar mit dem eingangs dargestellten Facebook-Urteil zusammen, dass es nun ein neues Cloud-Angebot von Microsoft gibt. Dennoch verspricht Microsoft mit der "deutschen Cloud" und der neuen Institution eines "Datentreuhänders" Abhilfe gegen den Zugriff von US-Behörden. Ab dem 2. Halbjahr 2016 sollen stufenweise die neuen Cloud-Dienste in Deutschland ausgerollt werden. Dabei sollen Azure, Office 365 und CRM online aus deutschen Rechenzentren heraus angeboten werden. Das Novum: Es wird nicht nur Rechenzentren in Deutschland geben, die durch einen deutschen Provider betrieben werden, sondern auch einen deutschen "Datentreuhänder".

Dieser Datentreuhänder verwaltet die Daten der Kunden und wird sämtliche Zugänge zu den Kundendaten absichern, und zwar auch gegenüber Microsoft. So soll sichergestellt werden, dass beispielsweise auch Microsoft selbst nicht auf die Kundendaten zugreifen kann. Allein der Datentreuhänder und die Kunden hätten danach den physikalischen und logischen Zugriff auf die Daten.

Wenn aber diese faktische Zugriffsmöglichkeit für den US-Provider Microsoft nicht besteht, greifen gegenüber Microsoft auch die Eingriffsbefugnisse nach dem Patriot Act oder die Herausgabeansprüche bei einer E-Discovery nach Rule 26 FRCP ("Federal Rules of Civil Procedure") ins Leere. Dies funktioniert aber nur, wenn der Datentreuhänder wirklich "neutral" ist und keinerlei (gesellschaftsrechtliche oder vertragliche) Verbindungen zu Microsoft hat, über die letztlich doch ein etwaiger Herausgabeanspruch der Behörden oder des Gerichtes durchgesetzt werden könnte.

Zugleich steht der Datentreuhänder bei Wahl dieser Option auch mit dem (deutschen) Kunden in einer vertraglichen Beziehung und auch in diesem Rechtsverhältnis sind dann die Befugnisse zur Herausgabe der Daten streng limitiert. Der Datentreuhänder fungiert dabei als Auftragsdatenverarbeiter im Sinne der deutschen Datenschutzgesetze. Technisch wird diese Lokalisierung der Daten dadurch erreicht, dass die Kundendaten nur in Deutschland vorhanden sind und auch nicht etwa im Rahmen eines Back-Ups in ein anderes Land gespiegelt werden.