Diskussion um Datenschutz in der Cloud „Der beste Schutz ist immer noch der lokale Anbieter“

Redakteur: Michael Hase

Mit dem neuen Vertragswerk für Office 365 hat Microsoft einen Beitrag zur Diskussion um Datenschutz in der Cloud geliefert. Auch andere Anbieter begrüßen die Umsetzung europäischer Bestimmungen zum Datenschutz in den Vertragsdokumenten. Es bestehen aber Zweifel, ob sie US-Behörden davon abhalten, im Zuge des Patriot Acts auf Kundendaten zuzugreifen.

Firmen zum Thema

Joseph Reger, CTO von Fujitsu, hält die Rechtssicherheit bei einem europäischen Cloud-Provider für höher.
Joseph Reger, CTO von Fujitsu, hält die Rechtssicherheit bei einem europäischen Cloud-Provider für höher.

IT-Anwender müssen prinzipiell selbst dafür Sorge tragen, dass sie die Bestimmungen des Datenschutzes einhalten. Das gilt auch dann, wenn sie Daten in eine Public Cloud verlagern. Um Kunden dabei zu unterstützen, dass sie bei der Nutzung des Cloud-Dienstes Office 365 die datenschutzrechtlichen Vorgaben einhalten, hat Microsoft neue Vertragsdokumente entwickelt. Bei deren Entwurf ließ sich das Unternehmen von der „Orientierungshilfe Cloud Computing“ leiten, die die Konferenz der Bundes- und Landesdatenschutzbeauftragten erarbeitet hat.

Strittig ist allerdings nach wie vor die Frage, ob ein solches Vertragswerk vor Zugriffen durch US-Behörden auf Basis des Patriot Acts schützt. Eingeführt nach den Anschlägen vom 11. September 2001, erlaubt das Gesetz amerikanischen Behörden den Zugriff auf Daten von US-Unternehmen und deren Kunden.

Der Patriot Act erstreckt sich auch auf Daten, die bei europäischen Tochtergesellschaften von US-Unternehmen liegen. Dadurch könnten auch deren Kunden mit dem Gesetz in Konflikt geraten. Müsste ein Cloud-Provider auf Basis des Patriot Acts personenbezogene Daten an US-Behörden übermitteln, würde der betreffende Kunde seine Datenschutzpflicht verletzen.

Vereinbarung über Auftragsdatenverarbeitung

Auf Basis der neuen Microsoft-Verträge schließen Office-365-Kunden mit dem Anbieter eine Vereinbarung über Auftragsdatenverarbeitung, eine Rechtsgrundlage zum Austausch personenbezogener Daten. Damit behalten die Anwender sämtliche Eigentumsrechte an ihren Daten. Die Vertragsdokumente umfassen neben deutschen datenschutzrechtlichen Bestimmungen auch die EU-Standardvertragsklauseln, die so genannten EU Model Clauses. Sie regeln den Datentransfer zwischen Unternehmen innerhalb und außerhalb der Europäischen Union.

Auf einer Veranstaltung zum Münchner IT-Gipfel bezeichnete Peter Bräutigam, Fachanwalt für Informationstechnologierecht bei der Kanzlei Noerr LLP, die Diskussion um den Patriot Act als „Marketing-Chimäre“. Auch in Europa könnten Geheimdienste und Ermittlungsbehörden auf Daten in der Cloud zugreifen. Hier wie dort seien es aber Institutionen demokratisch legitimierter Staaten, die nach rechtsstaatlichen Prinzipien handeln, um Verbrechen zu verhindern oder aufzuklären.

Inwiefern die Office-365-Verträge vor Zugriffen durch US-Behörden schützen können, beantwortete Bräutigam nicht. Gleichwohl betonte er, Microsoft nehme mit dem Vertragskonstrukt, das Standardklauseln mit einer Vereinbarung zur Auftragsdatenverarbeitung kombiniere, in der IT-Branche „eine Vorreiterrolle“ ein.

Lesen Sie mehr darüber, inwiefern geltendes Recht dem weltweiten Datenverkehr nicht mehr gerecht wird.

Moderne gesetzliche Rahmenparameter müssen her

Axel Oppermann, Advisor bei der Experton Group, fordert ausdrücklich eine aktive Diskussion über das Thema. Die Orientierungshilfe der Bundes- und Landesdatenschutzbeauftragten zur Nutzung von Cloud-Services sei dazu ebenso ein richtiger und wichtiger Schritt wie die aktive Rolle von Microsoft.

Oppermann zufolge werden Daten und deren Verarbeitung zunehmend zum integralen Bestandteil des Welthandels. Diese Dynamik lasse sich ohne umfassende Regularien, ohne moderne gesetzliche Rahmenparameter nicht beherrschen. „Oftmals stammen Gesetze und Verordnungen aber noch aus Zeiten, in denen der einzige Zugang des Endgeräts zur Außenwelt über Diskette oder angeschlossenen Drucker erfolgte.“

Lorenz Meis, Chief Operating Officer (COO) beim Luxemburger Service-Provider LuxCloud, begrüßt ebenfalls die Umsetzung europäischer und deutscher Datenschutzbestimmungen in Cloud-Verträgen. „Das sorgt für Rechtssicherheit bei der Nutzung der Dienste.“ Ob solche Vertragswerke zuverlässig vor Zugriffen auf Basis des Patriot Acts schützen, bezweifelt Meis allerdings. Mehr Klarheit verspricht sich der Manager von der Neuregelung der EU-Datenschutzverordnung, die im kommenden Jahr ansteht.

Vertragliche Regelungen lassen sich umgehen

Rafael Laguna, CEO des Software-Herstellers Open-Xchange, ist davon überzeugt, dass sich vertragliche Regelungen durch Regierungsstellen in den USA umgehen lassen, auch wenn die Behörden eine höhere Eskalation betreiben müssten: „Der beste Schutz ist immer noch der lokale Anbieter, der nur den lokalen Gesetzen unterliegt.“ Wem der Zugriff auf Daten durch den Patriot Act ein Dorn im Auge sei oder wer sich einen solchen Zugriff rechtlich nicht erlauben darf, „der sollte einen lokalen Provider wählen. Ganz einfach!“

Nach Lagunas Worten macht die Diskussion eines deutlich: Wie wichtig es sei, dass der Anwender die Wahl hat, wo er eine Software betreiben lässt, wo seine Daten sind, wer darauf Zugriff hat, welche Service-Levels er bekommt und wie er die Daten von einem Provider zu einem anderen migrieren kann - im Zweifel zurück ins eigene Rechenzentrum.

Auch Joseph Reger, Chief Technology Officer (CTO) bei Fujitsu, hält die Herkunft des Providers für ein essenzielles Kritierium: „Es gibt einen handfesten Unterschied, ob ein Kunde seine Daten zu einem US-Provider oder einem Nicht-US-Provider auslagert.“ Wie groß der Unterschied im Detail sei, darüber werden nach Regers Worten derzeit juristische Debatten geführt. „Die Frage ist aber letztlich: Gibt es eine höhere Rechtssicherheit bei einem europäischen Provider – und ich meine: Ja, die gibt es.“

?

(ID:30889870)