Unternehmen, die ihre Daten in die Cloud auslagern, sollten genaustens hinterfragen, wo die Daten letztendlich gespeichert sind. Denn deutsche Unternehmen, die Datenbestände an US-amerikanische Cloud-Anbieter auslagern, laufen Gefahr, dass die Daten von den Ermittlungsbehörden der USA konfisziert werden. Auf dieses Gefährdungspotenzial weist die Nationale Initiative für Informations- und Internetsicherheit e.V. (NIFIS e.V.) hin.

Der Haken ist nämlich: US-Anbieter wie Apple, Google, IBM oder Microsoft unterliegen dem so genannten »Patriot Act«. Und der erlaubt US-amerikanischen Ermittlungsbehörden weitgehenden Zugriff auf alle Kundendaten. Dies gilt ausdrücklich auch dann, wenn die Daten außerhalb des Territoriums der Vereinigten Staaten gespeichert werden.

Geknebelt: US-Behörden Daten fragen ab – Kunde erfährt nichts

»Wenn die US-Anbieter gerne auf ihre europäischen Rechenzentren hinweisen, dann ändert dies nichts daran, dass alle dort abgelegten Kundendaten im Zugriff der US-Behörden liegen«, erklärt Rechtsanwalt Dr. Thomas Lapp, der auch Vorsitzender der NIFIS ist. »Ein solcher Zugriff verstößt eigentlich gegen europäisches Datenschutzrecht.«

Häufig wird die Datenübernahme durch die US-Behörden mit einer so genannten Gag-Order (engl. Gag = Knebelung) versehen; das bedeutet, dass Apple, Google, IBM oder Microsoft den betroffenen deutschen Firmen nicht einmal Auskunft darüber geben dürfen – also sozusagen geknebelt werden –, dass ihre Daten in den USA an die Behörden weitergereicht wurden.

Es gibt immer noch ungeklärte grundlegende rechtliche Fragen zwischen EU und USA

»Vom Geschäftsführer oder Vorstand eines deutschen Unternehmens kann man erwarten, dass ihm diese Zusammenhänge klar sind, wenn er zulässt, dass Daten seiner Kunden an einen US-Cloud-Anbieter ausgelagert werden«, erklärt Dr. Lapp. »Das heißt im Umkehrschluss, dass er dafür auch nach deutschem Recht im Zweifelsfall haftbar gemacht werden kann. Angesichts dieser Rechtslage ist möglicherweise die Auslagerung an einen deutschen Cloud-Anbieter sicherer. Grundlegende rechtliche Fragen hierzu müssen zwischen der EU und den USA noch geklärt werden und klare Vereinbarungen zu gemeinsamen Datenschutz-Prinzipien getroffen werden.«

NIFIS verschweigt: Auch europäische Cloud-Serivce-Provider kann Patriot Act treffen

Allerdings lässt der NIFIS in seiner Meldung eine Sache geflissentlich außen vor: Der Patriot Act gilt nicht nur für US Firmen, sondern für alle Firmen, die zumindest eine signifikante US-Niederlassung aufweisen. Das dürfte damit auch den ein oder anderen größeren europäischen Cloud-Serivce-Provider oder durchaus auch ein größeres Softwarehaus betreffen.

Die Sachlage ist damit ganz klar. »Europäischen Unternehmen, die ihre Daten vor dem Zugriff von US-Behörden schützen wollen, bleibt nur eine Möglichkeit: sich für einen Anbieter zu entscheiden, der eben nicht dem USA Patriot Act unterliegt«, betont beispielsweise Dr. Joseph Reger, Chief Technology Officer bei Fujitsu Technology Solutions. »Beauftragt ein europäischer Kunde einen europäischen Provider, und speichert dieser die Daten in Europa, so greift europäisches Recht.« Reger empfiehlt deshalb schlicht und einfach »eine sorgfältige Prüfung im Vorfeld eines Service-Vertrags«.

.