Mit zunehmender Beliebtheit von Cloud-Storage bieten auch immer mehr ausländische Anbieter ihre Leistungen auf dem deutschen Markt an. Doch für deutsche Unternehmen ergeben sich möglicherweise bei der Nutzung US-amerikanischer Cloud-Services teilweise erhebliche rechtliche Probleme. Denn US-Geheimdienste dürfen mitlesen.

Das Problem gestaltet sich so: US-Anbieter wie Apple, Amazon, Google, IBM oder Microsoft unterliegen dem so genannten »Patriot Act«, der nach den 9/11-Terroranschlägen geschaffen wurde. Und der erlaubt US-amerikanischen Ermittlungsbehörden weitgehenden Zugriff auf alle Kundendaten. Dies gilt ausdrücklich auch dann, wenn die Daten außerhalb des Territoriums der Vereinigten Staaten gespeichert werden.

»Wenn die US-Anbieter gerne auf ihre europäischen Rechenzentren hinweisen, dann ändert dies nichts daran, dass alle dort abgelegten Kundendaten im Zugriff der US-Behörden liegen«, erklärt Rechtsanwalt Dr. Thomas Lapp, der auch Vorsitzender des NIFIS (Nationale Initiative für Informations- und Internetsicherheit e.V.) ist. »Ein solcher Zugriff verstößt eigentlich gegen europäisches Datenschutzrecht.«

Sorgfältige Prüfung im Vorfeld eines Service-Vertrags nötig

Aber abgesehen davon: Ein Geschäftsführer oder Vorstand eines deutschen Unternehmens kann haftbar gemacht werden, wenn zumindest personenbezogene Daten so behandelt werden und im Ausland landen. Angesichts dieser Rechtslage ist es möglicherweise sicherer, die Daten an einen rein deutschen bzw. europäischen Cloud-Anbieter auszulagern.

»Europäischen Unternehmen, die ihre Daten vor dem Zugriff von US-Behörden schützen wollen, bleibt nur eine Möglichkeit: sich für einen Anbieter zu entscheiden, der eben nicht dem USA Patriot Act unterliegt«, betont beispielsweise Dr. Joseph Reger, Chief Technology Officer bei Fujitsu Technology Solutions. Er empfiehlt deshalb schlicht und einfach »eine sorgfältige Prüfung im Vorfeld eines Service-Vertrags«.

Es wird ein Zertifikat für europäische Anbieter von Daten-Clouds angestrebt

Die Telekom-Tochter T-Systems hat diese Diskrepanz bereits erkannt. Vor wenigen Monaten startete man eine Initiative, um Regierungen zu einem Zertifikat für europäische Anbieter von Daten-Clouds zu bewegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll angeblich schon Gespräche auf Europäischer Ebene führen, um die Grundlagen für künftige Standards festlegen zu können.

Der US-Wirtschaftsdienst Bloomberg hat sich darüber schon ereifert über das T-Systems-Anliegen. Auf jeden Fall soll der Zuspruch seither für die Telekom-Cloud enorm sein, hieß es beispielsweise auf der »SNW Europe 2011« in Frankfurt.

Versprochen: die Daten bleiben in Deutschland

Auch andere haben das Dilemma erkannt. Barracuda Networks kündigte kürzlich an, ein neues Cloud-Rechenzentrum in Frankfurt zu eröffnen, bei dem den Kunden versprochen wird, dass die Daten des »Barracuda Backup Cloud«-Services explizit nur in Deutschland gehostet werden (speicherguide.de berichtete).

Auch die Anbieter von hochsicheren Archivierungs- und Informationsmanagement-Appliances reagieren, wie beispielsweise Artec IT Solutions. »Als Anbieter von Lösungen für die Archivierung und das digitale Informationsmanagement können wir Unternehmen nur eindringlich dazu raten, sehr genau zu prüfen, mit welchem Anbieter sie sich in Sachen Cloud-Speicher einlassen«, sagt Jerry J. Artishdad, Managing Director von Artec. »Wie von den Datenschutzbeauftragten des Bundes und der Länder kürzlich ganz klar herausgestellt, stellt die Speicherung unternehmensrelevanter Daten in US-Rechenzentren aus rechtlicher Sicht eine große Herausforderung dar.«

Europäische Anbieter dürfen Patriot Act trotzen

Neben T-System dürften auch noch europäische Hosting-Unternehmen wie die französischen Atos SA und Cap Gemini SA sowie die hiesigen Strato und 1&1 von dem Umstand profitieren, dass europäische Unternehmen nun US-Hosting-Anbieter misstrauen. »Europäische Cloud-Anbieter können von US-Behörden nicht gezwungen werden, Daten von Nicht-Amerikanern herauszugeben – es sei denn, der Kunde gibt sein ausdrückliches Einverständnis«, betont Fujitsu-CTO Reger. »Das Gesetz ist hier eindeutig, es gibt keine rechtlichen Streitpunkte. Beauftragt ein europäischer Kunde einen europäischen Provider und speichert dieser die Daten in Europa, so greift europäisches Recht.«

.