Also das Aus für amerikanische Cloud-Anbieter in Europa? Zumindest kann zurzeit wohl niemand mit gutem Gewissen einem Unternehmen zu Cloud-Services eines amerikanischen Anbieters raten – jedenfalls wenn es um personenbezogene Daten oder geistiges Eigentum geht. Dabei sind es die amerikanischen Cloud-Provider, die zu allererst auf eine Klärung der Rechtslage und eine Lösung für des Dilemmas drängen sollten. Denn für HPHP, Microsoft, IBMIBM, AmazonAmazon, GoogleGoogle oder auch Salesforce.com, bei denen das gesamte Geschäftsmodell oder doch große Teile davon auf Cloud Computing basieren, dürfte es kaum eine Alternative sein, sich mit ihren Cloud-Services aus der EU zurück zu ziehen. Alles zu Amazon auf CIO.de Alles zu Google auf CIO.de Alles zu HP auf CIO.de Alles zu IBM auf CIO.de

Darüber, wie eine rechtlich saubere Lösung aussehen könnte, wird vielfach spekuliert. Ob es amerikanischen Unternehmen möglich ist, rechtlich unabhängige europäische Tochterunternehmen zu gründen, die nicht dem US Patriot Act unterliegen ist ebenso umstritten wie vertragliche Regelungen, die Cloud Services als „Auftragsdatenverarbeitung“ deklarieren.

Cloud-Standardverträge erfüllen nicht die Anforderungen des EU-Rechts

Rechtsanwalt Arnd Böken von der Berliner Kanzlei Graf von Westphalen etwa vertritt im Handelsblatt folgende These: Wird vertraglich die Auftragsdatenverarbeitung in einer „EU-Cloud“ vereinbart - das heißt ausschließlich an europäischen RZ-Standorten - bleibe der Cloud-Kunde alleiniger Herr der Datenverarbeitung. Der Cloud-Provider werde dann lediglich im Auftrag und auf Weisung tätig. Ebenso wie die meisten europäischen Cloud-Provider böten auch einige amerikanische Cloud-Provider solche EU-Clouds an.

„Verfügt das deutsche Unternehmen über einen solchen Vertrag, ist eine Weitergabe von Daten durch den Cloud-Provider an US-Behörden ausgeschlossen“, schreibt Anwalt Böken. Ein Zugriff von US-Behörden auf die Daten sei dann nur im Wege der Rechtshilfe über eine europäische Behörde möglich. Die Standardverträge vieler US-Anbieter erfüllten allerdings diese Anforderungen des deutschen Rechts an die Auftragsdatenverarbeitung nicht.

Zwar mag dieses Vorgehen für europäische Unternehmen eine gewisse Sicherheit im Hinblick auf die deutschen und europäischen Gesetze bringen. Ob diese rechtliche Einschätzung im Ernstfall Bestand hat und amerikanische Behörden diese teilen, wird sich möglicherweise niemals erweisen. Denn ob Zugriffe auf die Daten europäischer Kunden stattfinden oder sogar schon stattgefunden haben, unterliegt eben auch der Geheimhaltung, wenn die amerikanischen Behörden das anordnen.