Uncle Sam’s langer Arm reicht bis nach Europa
Nicht zuletzt der US Patriot Act sorgt bei heimischen Unternehmen weiterhin für Unbehagen. Europäische Cloud-Anbieter hingegen könnten von der invasiven amerikanischen Rechtssprechung profitieren und Wettbewerbsvorteile ableiten.
Laut einem kürzlich veröffentlichten Dossier der Initiative NIFIS e.V. machen 64 Prozent der befragten Führungskräfte Bedenken bezüglich der Sicherheit von Cloud-Computing geltend. Dieses Ergebnis deckt sich mit dem anderer Studien. Generell können Sicherheitsbedenken als das Haupthemmnis für die Adoption von Cloud-Computing in Deutschland gesehen werden. Erschwerend hinzu kommt, dass Angebote amerikanischer Cloud-Provider generell der US-Gesetzgebung unterliegen und somit unmittelbar vom US Patriot Act betroffen sind.
Vor allem sicherheitssensible deutsche Unternehmen tun sich nach wie vor schwer mit Cloud-Services amerikanischer Anbieter. Der im Jahr 2001 verabschiedete Patriot Act ermöglicht US-Behörden unter gewissen Umständen, Einsicht in Datenbestände von Kunden zu nehmen. Besonders brisant: Es spielt dabei offenbar keine Rolle, ob die Daten auf amerikanischem Territorium oder in Europa gelagert werden. Dies musste im Juni letzten Jahres auch Gordon Frazer von Microsoft UK bei der Einführungspräsentation von Office 365 öffentlich zugeben. Das Medienecho auf die ‚Beichte‘ des britischen Microsoftvorstandes ließ nicht lange auf sich warten und riss in der Folgezeit auch andere US-Provider mit in den Sog der negativen Presse.
Während amerikanische Unternehmen wie Microsoft und Amazon Wettbewerbsnachteile beklagen und Protektionismus zu Gunsten von EU-Providern wittern, dürften sich europäische Unternehmen der Cloud-Computing-Branche die Hände reiben. Sie werben bereits ausdrücklich mit heimischen Serverstandorten, Sicherheitszertifikaten und der strikten Einhaltung nationaler Datenschutzrichtlinien. Eine detaillierte Aufstellung deutscher und internationaler Cloud-Provider gibt es auf Clouds.de.
Auch in Europa keine hundertprozentige Absicherung
Generell gilt: Solange relevante Verflechtungen mit einem in den USA ansässigen Unternehmen existieren, findet der Patriot Act auch in Europa Anwendung. Wer also seine Daten den Fängen der amerikanischen Datenkrake entziehen will, sollte sicherstellen, dass sein europäischer Anbieter kein Tochterunternehmen einer US- Gesellschaft ist oder anderweitige Vertretungen in den USA unterhält. Bestimmt kein einfaches Unterfangen, bedenkt man die globale Ausrichtung der IT-Branche.
Besondere Vorsicht ist geboten bei vermeintlich europäischen Software-as-a-Service-(SaaS)-Produkten. Hier vertrauen zum Beispiel viele deutsche Anbieter auf die günstigeren Infrastruktur-Lösungen von US-Firmen. An entsprechender Transparenz mangelt es häufig. Des Weiteren können, zumindest theoretisch, US-Behörden über Internationale Rechtshilfe (Vereinbarungen mit einem anderen Staat) Einblicke in ausländische Datenbestände erbitten. In der Praxis finden solche Maßnahmen vor allem bei der Fahndung nach Steuerhinterziehern Anwendung.
Maßnahmen für die datenschutzkonforme Nutzung von Cloud-Services
Unabhängig von der Nutzungsart von Cloud-Computing unterliegen deutsche Unternehmen nach wie vor dem deutschen Datenschutzrecht. Für die Verarbeitung personenbezogener Daten (wie zum Beispiel Kundendaten) gelten besondere Richtlinien, die im Bundesdatenschutzgesetz (BDSG) festgehalten sind. Für besonders sicherheitsbedürftige Daten, wie etwa Gesundheitsbefunde, gelten strengere Auflagen; ihre Verarbeitung in außereuropäischen Clouds ist rechtlich kaum durchsetzbar.
Die gute Nachricht: Ein im Jahr 2009 verabschiedeter Zehn-Punkte-Katalog kann für ein höheres Maß an Datenschutzkonformität sorgen. Die sogenannte Auftragsdatenverarbeitung soll das Outsourcing von Datenverarbeitung datenschutzrechtlich absichern. Nach dem Aufsetzen eines entsprechenden Vertrages mit einem Anbieter können Daten relativ problemlos in die Cloud verschoben werden. Der Cloud-Anbieter verarbeitet die Daten hierbei nach strikter Anweisung im Auftrag des antragstellenden Unternehmens innerhalb des Europäischen Wirtschaftsraums.
Kurz gesagt wird somit der eigentlich externe Anbieter rechtlich in die Nähe eines internen Rechenzentrums gerückt. Voraussetzung für die Datenverarbeitung im Auftrag ist ein schriftlicher Vertrag, der unter anderem den Umfang der Datenverarbeitung und die verwendeten Programme festlegt. Die umfangreichen Vorgaben eines solchen Vertrages zu erfüllen, erweist sich in der Praxis für viele Unternehmen leider jedoch als schwierig.
Schon seit den frühen Anfängen der IT greifen Unternehmen auf die Verschlüsselung besonders sensibler Daten zurück. Auch im Zusammenhang mit Cloud-Computing kann eine solche, bewährte Strategie durchaus nützlich sein und im Zweifelsfall Dokumentenklau und Industriespionage zuvorkommen. Eine Reihe von Cloud-Anbietern hat sich bereits auf die gezielte Verschlüsselung von Unternehmensdaten spezialisiert.
Fazit
Trotz aller Umstände und den sicherlich einschneidenden Folgen des Patriot Acts muss die Nutzung von amerikanischen Cloud-Angeboten nicht pauschal ausgeschlossen werden. Wie so oft kommt es hier auf die individuelle Strategie und das Konzept des betreffenden Unternehmens an. Wichtig ist vor allem, dass das Unternehmen die Anforderungen seiner Kunden bezüglich der Sicherheit ihrer Daten richtig einschätzt. Geht es hauptsächlich um die Verarbeitung unkritischer Datenbestände, stellen US-Clouds wie Amazon EC2 oft die bessere Alternative dar.
In jedem Fall ist es empfehlenswert, Verträge vor Abschluss genau zu studieren und geltende Verträge periodisch auf Änderungen hinsichtlich des Datenschutzrechts zu kontrollieren. Im Zweifelsfall sollte Rechtsberatung eingeholt werden. Durch frühzeitige Planung und akkurate Einschätzung der Anforderungen lässt sich zumindest teilweise potenziellen Klagen von Kunden, Bußgeldern und teuren Gerichtsverfahren vorbeugen.
Es bleibt abzuwarten, was sich in Sachen Patriot Act und Europäischer Datenschutz noch ereignen wird. Bereits für dieses Jahr hat die verantwortliche EU-Kommission in Brüssel eine Gesetzesnovelle angekündigt – wem diese nützen wird, ist noch fraglich. Deutsche Unternehmen auf der Suche nach günstigen Cloud-Angeboten würden von einem erhöhten Wettbewerbsdruck auf dem europäischen Cloud-Computing-Markt aber sicher profitieren.