Was Experten raten
US-Behörden lesen Cloud-Daten mit
Keine guten Nachrichten für Cloud-Kunden - jedenfalls wenn sie Cloud-Services von einem US-amerikanischen Cloud-Provider beziehen. Ein Managing Director von MicrosoftMicrosoft in England hat bei der Vorstellung der Microsoft Cloud-Lösung Office 365Office 365 eingeräumt, dass sein Arbeitgeber auf Anforderung die Daten seiner Cloud-Kunden an das FBI oder andere US-Behörden weitergeben muss. Alles zu Microsoft auf CIO.de Alles zu Office 365 auf CIO.de
Im Ernstfall wird wohl nicht nur Microsoft die Daten seiner Kunden weitergeben. Alle amerikanischen Cloud-Anbieter unterliegen dem US-Patriot Act und können sich dessen Regelungen nicht entziehen. Dazu kommt: Wenn die amerikanischen Behörden den Cloud-Provider zum Schweigen verpflichten, wird der Kunde nie davon erfahren, dass auf seine Daten zugegriffen wurde.
"Wir können diese Garantie nicht geben"
Damit wird jetzt eine Diskussion neu entfacht, die schon länger schwelte. Bisher hatten Marktkenner und Analysten vielfach dazu geraten, beim Abschluss von Cloud-Verträgen mit außereuropäischen Anbietern verbindlich zu vereinbaren, wo die Daten verarbeitet werden. So könnten sie sicherstellen, dass – zumindest personenbezogene Daten - in einem RZ in Deutschland oder doch in Europa verarbeitet. Das sollte im Hinblick auf die deutschen Datenschutzgesetze, die traditionell erheblich strenger sind als in anderen Ländern, rechtliche Sicherheit gewährleisten.
Diese Ratschläge dürften sich jetzt als nutzlos erweisen: Bei der Vorstellung der Microsoft Cloud-Lösung Office 365 hatte Gordon Frazer, Managing Director von Microsoft in England, auf Nachfrage eines Journalisten eingeräumt, dass Microsoft letztlich keine Garantie dafür abgeben kann, dass die Kundendaten nicht weitergegeben werden. Skeptiker hatten immer wieder auf die unsichere Rechtslage hingewiesen. Neu ist lediglich, dass erstmals ein hochrangiger Manager eines Cloud-Providers die Konsequenzen in dieser Deutlichkeit ausspricht.
"Wir können diese Garantie nicht geben – und das kann auch kein anderes Unternehmen mit Hauptsitz in den USA“, erklärte Frazer. Schließlich müsse Microsoft sich als US-amerikanisches Unternehmen an die amerikanischen Gesetze halten. Und das gelte auch für alle internationalen Niederlassungen – und die dort gespeicherten Daten ausländischer Kunden. Zwar versicherte der britische Microsoft-Statthalter, dass Kunden im Falle einer Datenweitergabe informiert würden, wann immer dies möglich sei. Aber auch das könne er nicht verbindlich zusagen. Wenn die amerikanische Behörden Stillschweigen nach dem sogenannten „US National SecuritySecurity Letter“ anordneten, müsse auch eine Information der Kunden unterbleiben. Alles zu Security auf CIO.de