Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Kann ich überhaupt meinen Pflichten als in datenschutzrechtlicher Hinsicht verantwortliche Stelle in vollem Umfang nachkommen? Diese Fragen stellen sich vor allem diejenigen Unternehmen, die ihre Daten schon in die Cloud verschoben haben oder dies beabsichtigen. Dies gilt insbesondere, nachdem im Sommer 2011 nun auch "offiziell" bekannt wurde, dass beispielsweise US-Behörden nach dem so genannten Patriot Act auf Cloud-Daten europäischer Unternehmen zugreifen können.
Datenschutzrechtlicher Hintergrund
"Anwender dürfen Cloud-Services nur dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutzanforderungen und Informationssicherheitsanforderungen geprüft haben. Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung", lautet die offizielle Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, die am 28. und 29. September 2011 in München stattfand.
Diese von den Datenschützern postulierten Anforderungen sind allerdings insbesondere dann nicht mehr einzuhalten, wenn sich Anwender für Cloud-Angebote mit internationalen Verflechtungen entscheiden, weil sie sich dann unversehens ausländischen Rechtsordnungen gegenüber sehen. Damit kann etwa die Situation entstehen, dass der Cloud-Provider ausländischen Behörden Zugriffsrechte einräumen oder Daten in unsichere Drittstaaten übermitteln muss (Übermittlungsobliegenheit).
Unsichere Drittstatten sind datenschutzrechtlich die Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR; das sind die EU-Länder plus Norwegen, Island und Liechtenstein), bei denen laut EU-Kommission kein angemessenes Datenschutzniveau herrscht.
USA - Problemfall Patriot Act
Neuen Zündstoff erhielt die Diskussion um den Zugriff staatlicher Behörden durch die Verlautbarung von Google und Microsoft im Sommer 2011, dass sie unter Umständen verpflichtet seien, auch die in europäischen Rechenzentren gespeicherten Daten gegebenenfalls an US-Behörden weiterzugeben. Auf den Internetseiten von Microsoft heißt es dazu: "Unter bestimmten Umständen kann Microsoft Daten ohne Ihre vorherige Zustimmung weitergeben".
Diese Weitergabepflicht kann sich unter anderem aus dem so genannten Patriot Act ergeben, der nach den Terroranschlägen in September 2001 geschaffen wurde, um die Eingriffsbefugnisse der amerikanischen Sicherheitsbehörden zu erweitern. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden.
Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, sollen - so das US-Gesetz - auch die Tochterunternehmen die Verpflichtungen aus dem Patriot Act treffen. Nach Ermittlungen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) treffe diese Verpflichtung Unternehmen selbst dann zu, wenn noch nicht einmal die Konzernmutter ihren Sitz in den USA hat, sondern überhaupt eine irgendwie geartete Konzernverbindung in die USA besteht.
US-behördliche Zugriffsrechte auf europäische Daten ergeben sich darüber hinaus auch aus anderen Gesetzen, etwa dann, wenn es um Steuerermittlungen oder Wirtschaftskriminalität geht. So ermöglicht zum Beispiel auch der so genannte Foreign Intelligence Surveillance Act den Zugriff des Generalstaatsanwaltes und des Direktors der nationalen Geheimdienste auf Nicht-US-Daten, sofern sie die Sicherheit der USA gefährdet sehen. Aber auch außerhalb von Behörden kann sich die Frage der Herausgabe von Emails und Dateien stellen, so etwa bei einer E-Discovery.
Dies zeigt, dass Anwendern von Cloud-Lösungen mit US-Bezug nicht garantiert werden kann, dass die strengen deutschen beziehungsweise europäischen Datenschutzgrundsätze (hier: Vertraulichkeit der Daten und grundsätzliches Übermittlungsverbot in unsichere Drittstaaten) von den Cloud-Dienstleistern eingehalten werden können. Cloud-Anbieter mit gesellschaftsrechtlichen Verbindungen in die USA befinden sich also in einer Zwickmühle: entweder sie verstoßen gegen US-Recht oder gegen das Datenschutzrecht ihrer Cloud-Kunden und damit gegen vertragliche Obliegenheiten.
China - Schutz nur in der Sonderzone
Auch bei der Auswahl von Cloud-Dienstleistern, die ihren Sitz in anderen unsicheren Drittländern haben, besteht die Gefahr, dass auf europäische Daten, vorrangig durch Behörden der inneren Sicherheit wie Polizei, Geheimdienste und Finanzbehörden Zugriff genommen wird. Dabei gilt der Grundsatz, je niedriger das Datenschutzniveau dieser Länder selbst ist, desto größer ist die Gefahr behördlicher Zugriffe und damit auch der etwaigen Gefährdung der Betroffeneninteressen. Dies gilt umso mehr für diktatorische Länder, die ihre Einwohner umfangreich überwachen.
Es liegt auf der Hand, dass dort gespeicherte beziehungsweise zu verarbeitende Daten nicht vertraulich bleiben. Gesetzliche Regelungen in Ländern außerhalb der EU und EWR gehen vielmehr auch nach Ansicht des ULD teilweise so weit, dass Cloud-Anbieter unter Androhung rechtlicher Sanktionen verpflichtet werden, "Schutzvorkehrungen gegen unberechtigten Zugriff entweder völlig zu unterlassen oder auf behördliche Aufforderung aufzuheben".
Die Gefahr, dass sogar auf in europäischen Rechenzentren gespeicherte Daten Zugriff genommen wird (Verarbeitungsort), ist daher nicht auszuschließen. Mangelnde Informationspolitik und Intransparenz dieser Länder tragen zusätzlich dazu bei, dass Cloud-Anbieter aus diesen Ländern als in datenschutzrechtlicher Hinsicht "insecure" eingestuft werden.
Gute Hinweise darauf, wie es um den Datenschutz in den Ländern bestellt ist, liefert ein Blick länderspezifischer Ereignisse der vergangenen Jahre. Sie unterstreichen die unbedingte Notwendigkeit hiesiger Unternehmen, bei der Inanspruchnahme internationaler Cloud-Lösungen Vorsicht walten zu lassen.
So machte beispielsweise China Mitte des letzten Jahres auf sich aufmerksam, als die Stadtverwaltung in Chongqing ankündigte, eine filterfreie "Sonderzone" für Cloud-Dienste (Rechenzentren) anzubieten. Diese Sonderzone soll sich über rund zehn Quadratkilometer erstrecken und das einzige Gebiet in China sein, das durch Glasfaserkabel direkt und ungefiltert mit dem Internet im Ausland verbunden ist. Dabei sollen jedoch lediglich ausländische Unternehmen in den überwachungsfreien, zensurfreien Genuss kommen. China will dadurch auch im Cloud Computing international wettbewerbsfähig sein.
Indien - nahezu ohne Datenschutz
Da Indien faktisch keinen gesetzlichen Datenschutz hat (der einzige Versuch zur Schaffung eines Gesetzes auf Privatheit scheiterte 2006 im Oberhaus), ist auch die indische Cloud als besonders heikel einzustufen. Die Überwachungsmethoden haben sich insbesondere nach dem Terrorangriff in Bombay in 2009 noch deutlich verschärft (hier benutzten die Attentäter Blackberrys als anonymes Kommunikationsmittel).
So versuchte Anfang 2011 die indische Regierung nach vorangegangenen gescheiterten Versuchen erneut, uneingeschränkten Zugriff zu den indischen Blackberry-Kundendaten zu bekommen und droht offenbar seitdem dem kanadischen Blackberry-Hersteller RIM mit der Abstellung der E-Mail- und Messenger-Dienstleistungen. RIM hatte sich diesbezüglich bisher verweigert und angeboten, technische Lösungen zu entwickeln. Die indische Hackergruppe "Lords of Dharmaraja" hat nun zu Jahresanfang ein Dokument veröffentlicht ("Taktisches Netzwerk für Handy-Überwachung"), aus dem hervorgehen soll, dass führende Software-Anbieter dem indischen Staat Abhörschnittstellen bereitstellen.
Genannt werden unter anderem RIM, Apple und Nokia. Sie sollen zugunsten des indischen TANCS-Programms (Tactical Network for Cellular Surveillance) und CBI (Central Bureau of Investigation) Vereinbarungen unterzeichnet haben sollen, um das Abhören von Mobilfunk- und Datenverkehr in Indien zu ermöglichen. Im Gegenzug soll den Softwareherstellern der Zugang zum indischen Markt gewährt worden sein.
Die Software-Hersteller wehren sich gegen die unterstellte Beteiligung am "indischen Lauschangriff". Die Hacker-Community in Indien droht nun mit weiteren Veröffentlichungen. Die Echtheit des veröffentlichten Dokuments und der darin enthaltenen Informationen ist derzeit noch nicht bewiesen.
Finger weg von unsicheren Drittstaaten
Umfassende Zugriffe auf mobile Daten sollen darüber hinaus auch (wenn man diesen Quellen vertrauen darf) auch in Länder wie zum Beispiel China, Bahrain, Pakistan, Libanon, die Vereinigten Arabischen und Saudi Arabien, Emirate, der Libanon, Algerien und in Indonesien möglich sein. Beispielhaft für Zensur- und Abhörmethoden in unsicheren Staaten sei hier der Iran genannt. Die staatlichen Behörden erweitern insbesondere ständig ihre Internet-Kontroll- und Filtersysteme, um eine umfassende Kontrolle über das Internet zu gelangen.
Auch wenn dieses ausgeklügelte Filtersystem vorrangig der Kontrolle von Meinungsäußerungen dient, ist nicht auszuschließen, dass über dieses Installationen auch Zugriffe auf fremde, ausländische Daten stattfinden, die in den Clouds iranischer Anbieter verarbeitet werden.
Die Beispiele zeigen, dass bei Cloud-Anbietern mit Sitz in unsicheren Drittstaaten aus datenschutzrechtlicher Sicht Vorsicht geboten ist. Die Unternehmen können die Vertraulichkeit und Integrität der anvertrauten personenbezogenen Daten aufgrund der oben geschilderten Hintergründe nicht rechtssicher gewährleisten. Auch die beispielsweise durch den Patriot Act veranlasste Datenweitergabe aus dem Gebiet der EU und dem EWR hinaus in ein unsicheres Drittland stellt in der Regel einen Verstoß gegen deutsches und europäisches Datenschutzrecht dar.
Was tun? Tipps zur datenschutzrechtlichen Vorsorge
-
Nutzen Sie nur europäische Clouds, um Konflikte mit dem hiesigen Datenschutz zu vermeiden.
-
Bei internationalen Cloud-Modellen mit Bezug zu unsicheren Drittstaaten müssen ausreichende Garantien des Cloud-Dienstleisters eingefordert werden.
-
Machen Sie gegebenenfalls von dem Ihnen möglicherweise zustehenden Sonderkündigungsrecht Gebrauch. Als erste Orientierungshilfe gibt es dazu es ein Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ULD, vom 15. November 2011.
-
Prüfen Sie bevor sie sich für einen Cloud-Dienstleisters entscheiden dessen Beteiligungsverhältnisse in möglicherweise unsichere Drittstaaten.
-
Gestalten Sie Ihre Verträge mit den Cloud-Anbietern auch in datenschutzrechtlicher Hinsicht rechtssicher, indem Sie (neben den Mindestanforderungen aus Paragraf 11 BDSG) auch den Speicher- und Verarbeitungsort Ihrer Daten genau festlegen und Übermittlungsverbote Ihrer Daten in unsichere Drittstaaten vereinbaren und mit Vertragsstrafen verbinden. (Computerwoche)