Nach Einschätzung von Thilo Weichert, Leiter des Unabhängigen Landeszentrums für DatenschutzDatenschutz Schleswig Holstein (ULD), stellt eine derartige Datenweitergabe aus dem Gebiet der EU einen Widerspruch zu europäischem Datenschutzrecht dar. Er schätzt die Rechtslage so ein, dass das Risiko der Datenweitergabe die Vertraulichkeit der - in diesem Fall - auf Microsoft-Servern gehosteten Daten und Anwendungen in Frage stellt und bestehenden Verträgen zur Datenverarbeitungsdienstleistung die Grundlage entziehe. Das schließe nach seiner Einschätzung Anbieter wie den Office-365- und Windows-Azure-Anbieter Microsoft als Kandidaten für personenbezogene IT-Dienstleistungen aus und begründe sogar ein Sonderkündigungsrecht. Alles zu Datenschutz auf CIO.de

Amerikanische Cloud-Provider in der Zwickmühle

Kunden amerikanischer Cloud-Provider bringt das nicht nur im Hinblick auf die Einhaltung von Datenschutzbestimmungen in eine schwierige Situation. Die wenigsten wird es beruhigen, dass es ausschließlich amerikanische Behörden sind, die Zugriff auf ihre Daten erhalten. Dass der große amerikanische Bruder auch mitlesen kann, wenn es etwa um geistiges Eigentum wie Blaupausen und Konstruktionszeichnungen oder auch um Unterlagen für internationale Ausschreibungen geht, dürfte vielen Managern die Haare zu Berge stehen lassen.

Amerikanische Cloud-Provider geraten damit in eine rechtliche Zwickmühle. Andreas Stein, Managing Director von Dells Services-Sparte, kommentierte dies gegenüber Heise-Online so: "Cloud-Anbieter befinden sich in einem Dilemma, sie können sich nur aussuchen, gegen welche Regelungen sie verstoßen: gegen die US-Bestimmungen oder gegen die hiesigen Datenschutzbestimmungen." Denn auf der einen Seite müssen sie ihren deutschen Kunden die Einhaltung der gesetzlichen Regelungen in Deutschland zusagen, auf der anderen Seite unterliegen sie dem US Patriot Act, der sie im Ernstfalle zwingt, eben diese Regelungen zu verletzen.

Ist das das Ende für Cloud Computing? Wohl nicht. „Den tatsächlichen Nutzen von Cloud Computing beeinträchtigt die amerikanische Rechtslage nicht“, schreibt Joseph Reger, CTO von Fujitsu Technologie Solutions, in einem Kommentar. „Allerdings ruft uns nur einmal mehr ins Gedächtnis, dass bei aller berechtigten Euphorie für die Cloud eines nicht aus dem Fokus geraten darf: eine sorgfältige Prüfung im Vorfeld eines Service-Vertrags.“ Dabei gelte es, sich ganz genau über den möglichen Provider und seine Bedingungen zu informieren und auch das Kleingedruckte zu lesen. Nur so könnten Unternehmen mögliche Folgen abschätzen – und Risiken entweder eliminieren oder eben in Kauf nehmen.

Seine Schlussfolgerung: „Europäische Unternehmen, die ihre Daten vor dem Zugriff von US-Behörden schützen wollen, bleibt nur eine Möglichkeit: sich für einen Anbieter zu entscheiden, der eben nicht dem USA Patriot Act unterliegt.“ In diese Kerbe schlägt auch der schleswig-holsteinische Datenschutzbeauftragte Weichert: Auch er rät Unternehmen, sich bei der Nutzung von Cloud-Diensten für personenbezogene Daten ausschließlich auf rein europäische Service-Provider zu beschränken.