US-Zugriff auf Cloud-Daten? – Europa ist selbst nicht besser!

cloud 06
News

Das Thema Überwachung von in der Cloud gespeicherten Daten durch US-Behörden schlägt erneut eine große Welle, wie unter anderem SPIEGEL ONLINE berichtet.

Hintergrund ist eine vom EU-Parlament in Auftrag gegebene Studie „Fighting cyber crime and protecting privacy in the cloud“ zur Analyse des Anstiegs von Cyber-Kriminalität im Rahmen zunehmender Nutzung von Cloud-Computing.

Überwachung durch US-Behörden – nichts Neues

Nicht wirklich neu ist, dass die sog. Antiterrorgesetze der USA (Patriot Act und FISAA) den US-Behörden einen heimlichen Zugriff auf die Daten – auch europäischer Nutzer – bei US-Cloud-Anbietern ermöglichen. Dies betrifft bekanntlich nicht nur Daten, die in den USA verarbeitet werden, sondern auch in der EU bzw. dem EWR verarbeitete Daten, sofern der Cloud-Anbieter seinen Sitz in den USA hat.

Darüber hinaus ermöglichen die Antiterrorgesetze den Zugriff auf innereuropäisch verarbeitete Daten, wenn ein Cloud-Anbieter mit Sitz in der EU bzw. dem EWR rechtlich selbständige Tochterunternehmen in den USA haben, wobei in diesen Fällen zumindest kein unmittelbarer Zugriff auf innereuropäisch verarbeitete Daten – zumindest nicht ohne gewisse kriminelle Energie – erfolgen dürfte.

Europäische Behörden stehen in nichts nach

Neben den den US-amerikanischen Ermächtigungsgrundlagen existieren aber auch eine Reihe weitgehender Zugriffsermächtigungen für europäische Behörden, wie z.B. der britische Regulation of Investigatory Powers Act, nach welchem u.a. unter Androhung von Haftstrafen eine Herausgabe elektronischer Schlüssel verlangt werden kann, oder das FRA-Gesetz, das zu einer umfassenden Überwachung der Telekommunikation ermächtigt.

Sowohl die amerikanischen als auch die europäischen Regelungen ermächtigen zum Teil zu einer Überwachung ohne richterlichen Vorbehalt.

Sensibilisierung ist der erste Schritt

Sicher ist und nochmals von der Studie bestätigt, dass Cloud-Lösungen favorisiert werden und die Nutzung dieser Dienste durch Private und Unternehmen stetig zunimmt. Zurecht weist die Studie darauf hin – und dessen sollte sich der Cloud-Anwender auch bewusst sein -, dass die Speicherung von Daten in der Cloud generell mit einem gleichzeitigen Verlust der Kontrolle über diese Daten einhergeht, sofern keine ausreichenden Sicherheitsmaßnahmen getroffen werden.

Daher muss in jedem Fall gut überlegt sein, welche Daten in der Cloud gespeichert werden. Aus Sicht des Datenschutzes vergrößern sich die Bedenken,  je sensibler und vertraulicher die Daten sind.

Technische Schutzmaßnahmen

Zudem sollten vom Cloud-Anwender sichere technische Schutzmaßnahmen ergriffen werden. Im Vordergrund steht hier insbesondere die sichere Verschlüsselung von Daten sowohl während der Übertragung als auch während der Speicherung.

Welche Art der Verschlüsselung für eine konkrete Cloud-Lösung in Betracht kommt, hängt vor allem von der Art des Cloud-Services ab. Stellt ein Cloud-Anbieter z.B. nur eine IT-Infrastruktur zur Verfügung (Infrastructure as a Service -IaaS) und bedarf keines Datenzugriffs, empfiehlt sich eine Vollverschlüsselung mit dem Ergebnis, dass der Cloud-Anbieter über keine Möglichkeit zur Entschlüsselung verfügt (sehr lesenswert hierzu auch: Schröder/Haag – Internationale Anforderungen an Cloud Computing, ZD 8/2012, S. 362 ff. sowie Schröder/Haag – Stellungnahme der Art. 29-Datenschutzgruppe zum Cloudcomputing, ZD 11/2012, S. 495 ff.) .

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Auswahl eines Cloud Anbieters nach Aspekten des Datenschutzes
  • Einhaltung gesetzlicher Anforderungen bei Beauftragung internationaler Cloud Anbieter
  • Datenschutzvereinbarungen und Zertifizierungen für Cloud Anbieter

Informieren Sie sich hier über unser Leistungsspektrum: Outsourcing mit Cloud-Diensten

2 Kommentare zu diesem Beitrag

  1. Wovor hat die EU Angst? Welche Maßnahmen können die USA gegen uns verhängen, die sie nicht auch selbst auf eine Weise beeinträchtigen würde? Wenn Europa endlich den Mut finden würde, mit gleicher Entschlossenheit aufzutreten, müssen die USA bald erkennen, dass sie die EU (als Handels- und Diplomatiepartner) mindestens genauso braucht, wie wir die USA. Eine gleichberechtigte Zusammenarbeit sieht aktuell jedenfalls anders aus, wir müssen nur das Potential eines geeinten Europas (wozu auch eine Reform der EU-Strukturen überfällig wäre) endlich ausspielen.

  2. Hallo, Danke fuer diesen Artikel.

    Ich vermisse aber einen Link oder eine Recherche zu Clouddiensten die verschluesseln, d.h. eine Art Test mit Uebersicht. Existiert das schon irgendwo, wisst Ihr was darueber?

    Danke im voraus & Gruesse,
    Chris

    P.S.: Eure eigenen Seiten sind nicht https verschluesselt, bitte aendert das zuegig!
    Beispiele wie ihr eure eigene seite sicherer machen koenntet:
    Ixquick.de und duckduckgo.com !

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.