Immer wieder greifen US-Behörden auf Daten zu, die in Rechenzentren in Europa gespeichert sind. Stand heute gibt es keine internationale Datenschutzrichtlinie, die solche Zugriffe verhindert oder sicherstellt, dass betroffene Unternehmen umgehend über einen solchen Eingriff informiert werden.
US-Behörden greifen auf Cloud-Daten zu
Gefragt, ob sein Unternehmen garantieren könne, dass Daten, die in einem Rechenzentrum in Europa gespeichert werden, unter keinen Umständen den Europäischen Wirtschaftsraum verlassen werden, auch nicht auf Grundlage des US Patriot Acts, antwortete der Manager des englischen Standorts eines Softwareunternehmens, das gesellschaftsrechtlich mit einem US-amerikanischen Softwarehersteller verbunden ist, weder jener amerikanische Softwarehersteller noch andere Unternehmen könnten diese Garantie geben. Nach Möglichkeit würden die Kunden von einem solchen Zugriff auf die Daten informiert.
Eine derartige Zugriffsmöglichkeit von US-Behörden auf Daten wurde nach Kenntnis des Autors damit zum ersten Mal von einem Vertreter eines renommierten US-amerikanischen Softwareherstellers öffentlich eingeräumt. Explizit.
Ein solcher Zugriff auf Daten kann selbst nach dem US Patriot Act nicht ausgeschlossen werden, wenn ein Cloud-Anbieter seinen Firmensitz in den USA hat, Geschäftsanteile an in Europa beheimateten (Tochter-) Gesellschaften hält, die Dienste als Cloud-Anbieter bereitstellen und/oder diese Daten von dem Cloud-Anbieter in den USA verarbeitet werden. Dass der Cloud-Anbieter seinen Kunden über einen solchen Zugriff informiert, darauf kann sich dieser nicht verlassen. Denn: Bestimmte US-Behörden können dem Cloud-Anbieter verbieten, diese Information an seinen Kunden weiterzugeben.
Auf Missstände aufmerksam machen
Leider hat die 82. Konferenz der Datenaufsichtsbehörden vom 28./29. September 2011 ihre Möglichkeit nicht genutzt, auf diese Missstände aufmerksam zu machen: Im Zusammenhang mit ihrer Entschließung zu „Datenschutzkonforme Gestaltung und Nutzung von Cloud Computing“ und der „Orientierungshilfe – Cloud Computing“ wurde der Aspekt eines möglichen Datenzugriffs von US-Behörden nicht einmal thematisiert. Die Orientierungshilfe übrigens wurde erarbeitet von den Arbeitskreisen Technik und Medien der Konferenz des Bundes und der Länder (Version 1.0, Stand: 26.09.2011). Ebenfalls nicht behandelt wurde, ob beziehungsweise wie ein solcher Vorgang in der datenschutzrechtlich zulässigen Gestaltung der Angebote von US-Cloud-Anbietern und ihren verbundenen, in Europa ansässigen Unternehmen, Berücksichtigung finden kann.
Die Stellungnahme des Deutschen Anwaltsvereins durch den Ausschuss Informationsrecht zur Konsultation der EU-Kommission zum Cloud Computing vom August 2011 führt unter anderem aus, dass es wichtig wäre, zumindest mit einer ganzen Reihe weiterer Staaten (insbesondere der Vereinigten Staaten) zu einem Übereinkommen über datenschutzrechtliche Mindeststandards zu kommen, die dann überall gesetzlich durchgesetzt werden; andernfalls drohten zum Beispiel staatliche Zugriffe ausländischer Behörden am Sitz des Dienstleisters.
Soweit bekannt ist, will sich eine Gruppe von EU-Abgeordneten nicht damit abfinden, dass US-Behörden auf Cloud-Daten europäischer Unternehmen zugreifen können. Diese Gruppe hat eine parlamentarische Anfrage an die EU-Kommission gerichtet, um die Rechtslage zu klären. Die Antwort der EU-Kommission macht klar deutlich, dass die USA unter Berufung auf nationales Recht keinen Zugriff auf Daten erhalten können, die von europäischen Unternehmen auf dem Gebiet der EU gespeichert sind. Sie klärt aber nicht die Lage von Unternehmen, die in der EU tätig sind und gleichzeitig eine Präsenz, sei es der Hauptsitz oder andere Aktivitäten, in den USA haben. Dies monieren die Abgeordneten.
Fazit
Nur internationale Vereinbarungen über Mindeststandards zum Datenschutz werden zur Rechtssicherheit des Cloud Computing beitragen und damit das Cloud Computing erleichtern.
Ehe sie sich für eine „Datenverarbeitung in der Wolke“ entscheiden, sollten Verantwortliche zunächst prüfen, ob dies für sie zumindest aus (datenschutz-) rechtlicher Sicht das passende Geschäftsmodell ist. In jedem Fall sollten sie bei der Wahl des für sie in Betracht kommenden Cloud-Anbieters auf den Sitz des Unternehmens und den Ort der Datenverarbeitung achten.
Generell sollte der Cloud-Anwender klären, ob sein potentieller Anbieter offene, transparente und detaillierte Informationen bietet. Auch die rechtlichen Rahmenbedingungen der von ihm angebotenen Dienstleistungen sind zu klären. Dies gilt vor allem für Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Kontrollierbarkeit, Transparenz und Beinflussbarkeit der Datenverarbeitung. Darüber hinaus sind transparente, detaillierte und eindeutige vertragliche Regelungen zu den Cloud-Diensten und zur Datenverarbeitung zu vereinbaren.
Schließlich geht es nicht nur um die Verarbeitung von personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes. In der Cloud werden vertrauliche Daten und Betriebsgeheimnisse wie Finanzdaten, technische Daten und Strategiepläne verarbeitet. Auf sie könnte von US-Behörden zugegriffen werden, ohne dass der Cloud-Anwender über den Zugriff informiert wird, möglicherweise sogar, ohne jemals davon Kenntnis zu erlangen. Es gilt sie zu schützen.
Über den Autor:
Herr Rechtsanwalt Matthias Petzold ist spezialisiert im Recht der Informationstechnik, insbesondere im Urheberrecht, Softwarerecht, Lizenzrecht, IT-Vertragsrecht sowie in den Themen des Software-Lizenzmanagements und des Softwarelizenz-Audits. Er war als Syndikusanwalt mehr als 23 Jahre in leitender Funktion mit internationaler Verantwortung bei namhaften und global agierenden IT-Unternehmen tätig.
Kontaktdaten:
Matthias Petzold
IT-Recht Kanzlei
Alter Messeplatz 2
80339 München
Telefon: 089 / 130 14 33-0
Telefax: 089 / 130 14 33-60
E-Mail: m.petzold@it-recht-kanzlei.de
Internet: http://www.it-recht-kanzlei.de
