Europäischer Datenschutz und US-amerikanische Gesetze sind nicht vereinbar. Das führte in vielen IT-Projekten längst zu der Praxis, dass eigene Systeme nicht mit Hilfe von Cloud-Diensten aus den USA geschaffen werden durften, sofern darin personenbezogene Daten erfasst werden sollten. Andererseits hatten auch Drittanbieter von Web-Services, die beispielsweise die Infrastruktur von Amazon nutzten, schlechte Karten als Dienstleister beauftragt zu werden, falls dort personenbezogene Daten erfasst wurden. Auch der Einsatz von Verschlüsselungstechniken half dabei nicht - sofern die Verschlüsselung der Daten erst in der amerikanischen Cloud erfolgte. Zu sehr hatten die Enthüllungen um die NSA und der Einfluss des amerikanischen Staates auf US-IT-Dienstleister die technischen Möglichkeiten aufgezeigt, die zum Datenabfluss auch tatsächlich genutzt werden.
Natürlich gilt bekanntlich "wo kein Kläger, da kein Richter". Das führt dazu, dass in manchen Unternehmen durchaus personenbezogene Daten unverschlüsselt auf den meist sehr günstigen US-amerikanischen Cloud-Diensten erfasst und gespeichert werden. Viele Dienste basieren zum Beispiel auf der kostengünstigen Infrastruktur-Plattform die Amazon oder Google anbieten.
Als Nutzer, was durchaus auch als Unternehmenskunde verstanden werden soll, der Dienste an Dritte auslagert, ist dies oftmals überhaupt nicht erkennbar. Nur vertraglich lässt sich zusichern, dass ein US-Dienst nicht genutzt wird. Hier sind Juristen gefragt, um deutsche Unternehmen rechtlich sauber aus der Schusslinie zu nehmen, sofern dies überhaupt möglich ist.
In einigen Artikeln zum Thema wird die Idee angesprochen, dass US-amerikanische Dienstleister nun verstärkt Data-Center in Europa bauen werden, um hier eine gewisse Rechtssicherheit gewährleisten zu können. Auf dem Papier mag das stimmig sein, aus technischer Sicht scheint dies jedoch in der Praxis unrealistisch.
Ein Administrator sitzt auch heute nicht mehr vor der eigentlichen physischen Maschine, um Wartungsarbeiten durchzuführen, sondern greift per komfortablem Fernzugriff auf das jeweilige System zu. Welchen Unterschied soll es da machen, in welchem Land die Daten eigentlich liegen?
Werden Data-Center in Europa, die von amerikanischen Unternehmen aufgebaut und betrieben werden, von Administratoren in den USA - die gegebenenfalls Weisungen von staatlichen Behörden befolgen müssen - durch technische und organisatorische Maßnahmen abgeschottet? Diese Vorstellung ist meiner Ansicht nach als völlig unrealistisch einzustufen. Selbst wenn dies vertraglich aufgrund von Datenschutzanforderungen zugesichert wird, fehlt jegliche Kontrollmöglichkeit technischer Art, ob dies auch tatsächlich umgesetzt wird.
Natürlich darf man Unternehmen aus anderen Ländern nicht unter Generalverdacht stellen, sich nicht an Verträge oder Gesetze in Drittländern zu halten. Aber aus der technischen Sicht, sind Ländergrenzen nicht vorhanden. Es braucht neue Ansätze, um den Anforderungen und der Vereinbarkeit von verschiedenen Datenschutzanforderungen gerecht zu werden. Systeme im Internet kennen keine Länderzuordnung und Data-Center in Europa sind keine Lösung des Problems. Eine Möglichkeit könnte der verstärkte Einsatz von Verschlüsselungstechniken auf Applikationsebene sein.