Keine guten Nachrichten für Cloud-Kunden - jedenfalls wenn sie Cloud-Services von einem US-amerikanischen Cloud-Provider beziehen. Ein Managing Director von Microsoft in England hat bei der Vorstellung der Microsoft Cloud-Lösung Office 365 eingeräumt, dass sein Arbeitgeber auf Anforderung die Daten seiner Cloud-Kunden an das FBI oder andere US-Behörden weitergeben muss.
Im Ernstfall wird wohl nicht nur Microsoft die Daten seiner Kunden weitergeben. Alle amerikanischen Cloud-Anbieter unterliegen dem US-Patriot Act und können sich dessen Regelungen nicht entziehen. Dazu kommt: Wenn die amerikanischen Behörden den Cloud-Provider zum Schweigen verpflichten, wird der Kunde nie davon erfahren, dass auf seine Daten zugegriffen wurde.
"Wir können diese Garantie nicht geben"
Damit wird jetzt eine Diskussion neu entfacht, die schon länger schwelte. Bisher hatten Marktkenner und Analysten vielfach dazu geraten, beim Abschluss von Cloud-Verträgen mit außereuropäischen Anbietern verbindlich zu vereinbaren, wo die Daten verarbeitet werden. So könnten sie sicherstellen, dass – zumindest personenbezogene Daten - in einem RZ in Deutschland oder doch in Europa verarbeitet. Das sollte im Hinblick auf die deutschen Datenschutzgesetze, die traditionell erheblich strenger sind als in anderen Ländern, rechtliche Sicherheit gewährleisten.
Diese Ratschläge dürften sich jetzt als nutzlos erweisen: Bei der Vorstellung der Microsoft Cloud-Lösung Office 365 hatte Gordon Frazer, Managing Director von Microsoft in England, auf Nachfrage eines Journalisten eingeräumt, dass Microsoft letztlich keine Garantie dafür abgeben kann, dass die Kundendaten nicht weitergegeben werden. Skeptiker hatten immer wieder auf die unsichere Rechtslage hingewiesen. Neu ist lediglich, dass erstmals ein hochrangiger Manager eines Cloud-Providers die Konsequenzen in dieser Deutlichkeit ausspricht.
"Wir können diese Garantie nicht geben – und das kann auch kein anderes Unternehmen mit Hauptsitz in den USA“, erklärte Frazer. Schließlich müsse Microsoft sich als US-amerikanisches Unternehmen an die amerikanischen Gesetze halten. Und das gelte auch für alle internationalen Niederlassungen – und die dort gespeicherten Daten ausländischer Kunden. Zwar versicherte der britische Microsoft-Statthalter, dass Kunden im Falle einer Datenweitergabe informiert würden, wann immer dies möglich sei. Aber auch das könne er nicht verbindlich zusagen. Wenn die amerikanische Behörden Stillschweigen nach dem sogenannten „US National Security Letter“ anordneten, müsse auch eine Information der Kunden unterbleiben.
Nach Einschätzung von Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD), stellt eine derartige Datenweitergabe aus dem Gebiet der EU einen Widerspruch zu europäischem Datenschutzrecht dar. Er schätzt die Rechtslage so ein, dass das Risiko der Datenweitergabe die Vertraulichkeit der - in diesem Fall - auf Microsoft-Servern gehosteten Daten und Anwendungen in Frage stellt und bestehenden Verträgen zur Datenverarbeitungsdienstleistung die Grundlage entziehe. Das schließe nach seiner Einschätzung Anbieter wie den Office-365- und Windows-Azure-Anbieter Microsoft als Kandidaten für personenbezogene IT-Dienstleistungen aus und begründe sogar ein Sonderkündigungsrecht.
Amerikanische Cloud-Provider in der Zwickmühle
Kunden amerikanischer Cloud-Provider bringt das nicht nur im Hinblick auf die Einhaltung von Datenschutzbestimmungen in eine schwierige Situation. Die wenigsten wird es beruhigen, dass es ausschließlich amerikanische Behörden sind, die Zugriff auf ihre Daten erhalten. Dass der große amerikanische Bruder auch mitlesen kann, wenn es etwa um geistiges Eigentum wie Blaupausen und Konstruktionszeichnungen oder auch um Unterlagen für internationale Ausschreibungen geht, dürfte vielen Managern die Haare zu Berge stehen lassen.
Amerikanische Cloud-Provider geraten damit in eine rechtliche Zwickmühle. Andreas Stein, Managing Director von Dells Services-Sparte, kommentierte dies gegenüber Heise-Online so: "Cloud-Anbieter befinden sich in einem Dilemma, sie können sich nur aussuchen, gegen welche Regelungen sie verstoßen: gegen die US-Bestimmungen oder gegen die hiesigen Datenschutzbestimmungen." Denn auf der einen Seite müssen sie ihren deutschen Kunden die Einhaltung der gesetzlichen Regelungen in Deutschland zusagen, auf der anderen Seite unterliegen sie dem US Patriot Act, der sie im Ernstfalle zwingt, eben diese Regelungen zu verletzen.
Ist das das Ende für Cloud Computing? Wohl nicht. „Den tatsächlichen Nutzen von Cloud Computing beeinträchtigt die amerikanische Rechtslage nicht“, schreibt Joseph Reger, CTO von Fujitsu Technologie Solutions, in einem Kommentar. „Allerdings ruft uns nur einmal mehr ins Gedächtnis, dass bei aller berechtigten Euphorie für die Cloud eines nicht aus dem Fokus geraten darf: eine sorgfältige Prüfung im Vorfeld eines Service-Vertrags.“ Dabei gelte es, sich ganz genau über den möglichen Provider und seine Bedingungen zu informieren und auch das Kleingedruckte zu lesen. Nur so könnten Unternehmen mögliche Folgen abschätzen – und Risiken entweder eliminieren oder eben in Kauf nehmen.
Seine Schlussfolgerung: „Europäische Unternehmen, die ihre Daten vor dem Zugriff von US-Behörden schützen wollen, bleibt nur eine Möglichkeit: sich für einen Anbieter zu entscheiden, der eben nicht dem USA Patriot Act unterliegt.“ In diese Kerbe schlägt auch der schleswig-holsteinische Datenschutzbeauftragte Weichert: Auch er rät Unternehmen, sich bei der Nutzung von Cloud-Diensten für personenbezogene Daten ausschließlich auf rein europäische Service-Provider zu beschränken.
Also das Aus für amerikanische Cloud-Anbieter in Europa? Zumindest kann zurzeit wohl niemand mit gutem Gewissen einem Unternehmen zu Cloud-Services eines amerikanischen Anbieters raten – jedenfalls wenn es um personenbezogene Daten oder geistiges Eigentum geht. Dabei sind es die amerikanischen Cloud-Provider, die zu allererst auf eine Klärung der Rechtslage und eine Lösung für des Dilemmas drängen sollten. Denn für HP, Microsoft, IBM, Amazon, Google oder auch Salesforce.com, bei denen das gesamte Geschäftsmodell oder doch große Teile davon auf Cloud Computing basieren, dürfte es kaum eine Alternative sein, sich mit ihren Cloud-Services aus der EU zurück zu ziehen.
Darüber, wie eine rechtlich saubere Lösung aussehen könnte, wird vielfach spekuliert. Ob es amerikanischen Unternehmen möglich ist, rechtlich unabhängige europäische Tochterunternehmen zu gründen, die nicht dem US Patriot Act unterliegen ist ebenso umstritten wie vertragliche Regelungen, die Cloud Services als „Auftragsdatenverarbeitung“ deklarieren.
Cloud-Standardverträge erfüllen nicht die Anforderungen des EU-Rechts
Rechtsanwalt Arnd Böken von der Berliner Kanzlei Graf von Westphalen etwa vertritt im Handelsblatt folgende These: Wird vertraglich die Auftragsdatenverarbeitung in einer „EU-Cloud“ vereinbart - das heißt ausschließlich an europäischen RZ-Standorten - bleibe der Cloud-Kunde alleiniger Herr der Datenverarbeitung. Der Cloud-Provider werde dann lediglich im Auftrag und auf Weisung tätig. Ebenso wie die meisten europäischen Cloud-Provider böten auch einige amerikanische Cloud-Provider solche EU-Clouds an.
„Verfügt das deutsche Unternehmen über einen solchen Vertrag, ist eine Weitergabe von Daten durch den Cloud-Provider an US-Behörden ausgeschlossen“, schreibt Anwalt Böken. Ein Zugriff von US-Behörden auf die Daten sei dann nur im Wege der Rechtshilfe über eine europäische Behörde möglich. Die Standardverträge vieler US-Anbieter erfüllten allerdings diese Anforderungen des deutschen Rechts an die Auftragsdatenverarbeitung nicht.
Zwar mag dieses Vorgehen für europäische Unternehmen eine gewisse Sicherheit im Hinblick auf die deutschen und europäischen Gesetze bringen. Ob diese rechtliche Einschätzung im Ernstfall Bestand hat und amerikanische Behörden diese teilen, wird sich möglicherweise niemals erweisen. Denn ob Zugriffe auf die Daten europäischer Kunden stattfinden oder sogar schon stattgefunden haben, unterliegt eben auch der Geheimhaltung, wenn die amerikanischen Behörden das anordnen.