Suchen

Diskussion um Datenschutz in der Cloud „Der beste Schutz ist immer noch der lokale Anbieter“

Redakteur: Michael Hase

Mit dem neuen Vertragswerk für Office 365 hat Microsoft einen Beitrag zur Diskussion um Datenschutz in der Cloud geliefert. Auch andere Anbieter begrüßen die Umsetzung europäischer Bestimmungen zum Datenschutz in den Vertragsdokumenten. Es bestehen aber Zweifel, ob sie US-Behörden davon abhalten, im Zuge des Patriot Acts auf Kundendaten zuzugreifen.

Firmen zum Thema

Joseph Reger, CTO von Fujitsu, hält die Rechtssicherheit bei einem europäischen Cloud-Provider für höher.
Joseph Reger, CTO von Fujitsu, hält die Rechtssicherheit bei einem europäischen Cloud-Provider für höher.

IT-Anwender müssen prinzipiell selbst dafür Sorge tragen, dass sie die Bestimmungen des Datenschutzes einhalten. Das gilt auch dann, wenn sie Daten in eine Public Cloud verlagern. Um Kunden dabei zu unterstützen, dass sie bei der Nutzung des Cloud-Dienstes Office 365 die datenschutzrechtlichen Vorgaben einhalten, hat Microsoft neue Vertragsdokumente entwickelt. Bei deren Entwurf ließ sich das Unternehmen von der „Orientierungshilfe Cloud Computing“ leiten, die die Konferenz der Bundes- und Landesdatenschutzbeauftragten erarbeitet hat.

Strittig ist allerdings nach wie vor die Frage, ob ein solches Vertragswerk vor Zugriffen durch US-Behörden auf Basis des Patriot Acts schützt. Eingeführt nach den Anschlägen vom 11. September 2001, erlaubt das Gesetz amerikanischen Behörden den Zugriff auf Daten von US-Unternehmen und deren Kunden.

Der Patriot Act erstreckt sich auch auf Daten, die bei europäischen Tochtergesellschaften von US-Unternehmen liegen. Dadurch könnten auch deren Kunden mit dem Gesetz in Konflikt geraten. Müsste ein Cloud-Provider auf Basis des Patriot Acts personenbezogene Daten an US-Behörden übermitteln, würde der betreffende Kunde seine Datenschutzpflicht verletzen.

Vereinbarung über Auftragsdatenverarbeitung

Auf Basis der neuen Microsoft-Verträge schließen Office-365-Kunden mit dem Anbieter eine Vereinbarung über Auftragsdatenverarbeitung, eine Rechtsgrundlage zum Austausch personenbezogener Daten. Damit behalten die Anwender sämtliche Eigentumsrechte an ihren Daten. Die Vertragsdokumente umfassen neben deutschen datenschutzrechtlichen Bestimmungen auch die EU-Standardvertragsklauseln, die so genannten EU Model Clauses. Sie regeln den Datentransfer zwischen Unternehmen innerhalb und außerhalb der Europäischen Union.

Auf einer Veranstaltung zum Münchner IT-Gipfel bezeichnete Peter Bräutigam, Fachanwalt für Informationstechnologierecht bei der Kanzlei Noerr LLP, die Diskussion um den Patriot Act als „Marketing-Chimäre“. Auch in Europa könnten Geheimdienste und Ermittlungsbehörden auf Daten in der Cloud zugreifen. Hier wie dort seien es aber Institutionen demokratisch legitimierter Staaten, die nach rechtsstaatlichen Prinzipien handeln, um Verbrechen zu verhindern oder aufzuklären.

Inwiefern die Office-365-Verträge vor Zugriffen durch US-Behörden schützen können, beantwortete Bräutigam nicht. Gleichwohl betonte er, Microsoft nehme mit dem Vertragskonstrukt, das Standardklauseln mit einer Vereinbarung zur Auftragsdatenverarbeitung kombiniere, in der IT-Branche „eine Vorreiterrolle“ ein.

Lesen Sie mehr darüber, inwiefern geltendes Recht dem weltweiten Datenverkehr nicht mehr gerecht wird.

(ID:30889870)