USA grabschen nach europäischen Cloud–Daten

usa 04
News

Die Cloud – spätestens seit der letzten CeBit ist sie in aller Munde. Doch jetzt zeigt sich erneut, dass die Daten in der Cloud nicht so sicher sind wie man es sich wünschen könnte.

Wie heise.de berichtete, müssen Cloud-Anbieter den US-Strafverfolgungsbehörden nach amerikanischem Recht nämlich Zugriff auf die in der Cloud gespeicherten Daten gewähren.

EU muss Zugriff auf Daten gewähren

Zugriff muss aufgrund amerikanischer Gesetze auch auf die Daten gewährt werden, die in europäischen Rechenzentren liegen.  Sobald Daten von einem Unternehmen gelagert, gespeichert oder verarbeitet werden, welches seinen Hauptsitz in den USA hat, müssen die dort geltenden Gesetze befolgt werden. Nach dem US-„Patriot Act“ dürfen die Strafverfolgungsbehörden weitreichend auf Daten zugreifen.

Problem dabei: Nicht immer werden die Betroffenen von der Datenweitergabe informiert. Denn in den USA kann das FBI ein Redeverbot für das betroffene Unternehmen aussprechen, so dass die Betroffenen unter Umständen nicht einmal erfahren, dass ihre Daten weitergegeben wurden.

Probleme aufgrund unterschiedlichen Datenschutzniveaus

Dass Datenweitergaben in andere Länder aufgrund der teilweise sehr unterschiedlichen Datenschutzniveaus ein schwieriges Thema ist, zeigt sich vor allem dann, wenn von Deutschland aus Daten ins Ausland übertragen werden. Denn unter anderem gelten auch die USA als „unsicheres Drittland“ (solange sich das betroffene Unternehmen nicht den „safe harbor principles“ angeschlossen hat) und es sind bestimmte Maßnahmen zu ergreifen, um eine datenschutzkonforme Übermittlung zu gewährleisten.

Wenn es allerdings darum geht, dass Zugriff auf Daten gewährt werden soll, die in Deutschland liegen, stehen wir vor einem ganz anderen Problem: Denn wie soll das bei einem US-amerikanischen Unternehmen überhaupt verhindert werden und wie kann man sich davor schützen, dass die eigenen Daten plötzlich in den USA landen?

ULD: Widerspruch zum EU-Datenschutzrecht

Thilo Weichert, Chef des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD), sagte laut heise:

Diese Datenweitergabe aus dem EU-Gebiet heraus steht im Widerspruch zu europäischem Datenschutzrecht. Das Risiko einer Datenweitergabe stellt die Vertraulichkeit der auf Microsoft-Rechenzentren gehosteten Daten und Anwendungen infrage und entzieht bestehenden Verträgen zur Datenverarbeitungsdienstleistung die Grundlage. Unternehmen sollten sich daher bei der Nutzung von Cloud-Diensten für personenbezogene Daten ausschließlich auf rein europäische Service-Provider beschränken.

Einhaltung aller Gesetze – aber um welchen Preis?

Microsoft beteuert, dass alle geltenden Gesetze eingehalten werden. Fraglich ist in diesem Zusammenhang nur, welche Gesetze denn gemeint sind. Denn obwohl Microsoft ein US-Unternehmen ist, muss es auch die deutschen Gesetze einhalten – zumal es von seinen Auftraggebern darauf vertraglich verpflichtet worden sein wird. Dass dies zu einem erheblichen Konflikt zwischen beiden Rechtsordnungen führt, ist klar, die Lösung weiß aber auch selbst ein Unternehmen wie Microsoft anscheinend nicht. Insofern bleibt nur, sich dem Rat von Herrn Weichert anzuschließen und in Zukunft nur europäische Service-Provider zu beauftragen, um auf der sicheren Seite zu sein.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Auswahl eines Cloud Anbieters nach Aspekten des Datenschutzes
  • Einhaltung gesetzlicher Anforderungen bei Beauftragung internationaler Cloud Anbieter
  • Datenschutzvereinbarungen und Zertifizierungen für Cloud Anbieter

Informieren Sie sich hier über unser Leistungsspektrum: Outsourcing mit Cloud-Diensten

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.