Analysen
18. Juli 2011
AUTOR: Businesscloud.de

Datenweitergabe an die USA: Angst vor Online-Sheriff

Cloud-Computing ist Vertrauenssache. Das gilt natürlich auch für andere IT-Disziplinen, etwa wenn ein Unternehmen oder eine Behörde ihren IT-Dienstleister damit betraut, die IT-Infrastruktur zu erneuern oder auf den Client-Rechnern eine neue Betriebssystem-Version einzuspielen. Der kleine feine Unterschied im Vergleich zur Cloud-Services ist jedoch, dass der Dienstleister in diesem Fall keinen Zugriff auf die Daten des Kunden erhält. Die Angst vor der Datenweitergabe an den "Daten-Sheriff" geht unter europäischen Kunden von US-Cloud-Computing-Anbietern um. (Bild: Andrea Damm / Pixelio.de) Anders bei Cloud-Computing-Dienstleistungen: Da speichern Anwender Geschäftsinformationen auf Storage-Systemen eines Cloud-Service-Providers oder führen mithilfe von dessen Systemen Datensicherungen (Backup). Oder sie nutzen Anwendungen und Rechenkapazitäten, die in der "Wolke" vorgehalten werden. Auch in diesem Fall kommt es – notgedrungen – zu einem Austausch von Informationen zwischen Kunde und Service-Provider. Das ist an sich nichts Schlimmes, solange die hier zu Lande geltenden Datenschutzbestimmungen zum Zuge kommen, mag so mancher Cloud-Computing-Nutzer denken. Doch genau hier steckt der Teufel im Detail, wie sich jetzt herausstellte. Denn wie die britische Rechtsanwaltskanzlei Pinsent Masons in einem Beitrag in ihrem IT-Rechts-Blog Out-Law.com mitteilt, können amerikanische Behörden persönliche Daten von Nutzern von Cloud-Computing-Diensten in Europa abfragen - ohne dass die Betroffenen etwas davon erfahren. Eine Verpflichtung für die Behörden, die entsprechenden Unternehmen oder Personen über die Datenweitergabe in Kenntnis zu setzen, gibt es schlichtweg nicht.

Alle amerikanischen Anbieter von Cloud-Diensten sind betroffen

Die Voraussetzung zur geheimen Datenweitergabe, dass die User einen Cloud-Service verwenden, den eine Firma mit Sitz in den USA bereitstellt. Das Fatale ist, dass einige der größten Anbieter solcher IT-Services ihren Firmensitz in den Vereinigten Staaten haben, etwa Microsoft, Amazon, Google und Oracle. Sie alle unterliegen dem "Patriot Act". Dieses Gesetz wurde nach den Anschlägen vom 11. September 2011 verabschiedet und ermächtigt US-Strafverfolgungsbehörden, auf Kundendaten von einheimischen Firmen zuzugreifen, egal, ob diese Informationen auf Servern und Speichersystemen in den USA oder im Ausland lagern. Safe-Harbour-Abkommen hin oder her: US-Firmen sind durch das Patriot Act verpflichtet, auch ohne Wissen ihrer Kunden Daten an amerikanische Behörden herauszugeben. Anbieter von Cloud-Computing-Diensten wie Microsoft und Co. sind somit zur Datenweitergabe verpflichtet, auch wenn diese beispielsweise in einem Cloud-Data-Center in Frankfurt oder Amsterdam lagern. Das wird anhand der Datenschutzbestimmungen deutlich, die Microsoft für seine Online-Services veröffentlicht hat. In den FAQ unter "Question: Can Microsoft Online Services use or disclose my data without my permission?" ist dort nachzulesen, dass Microsoft in bestimmten Fällen persönliche Daten auch ohne Einwilligung und Wissen des Nutzers weitergeben darf. Dies gilt auch für Cloud-Computing-Dienste wie etwa das Platform-as-a-Service-Angebot "Azure" oder den Cloud-Office-Service "Office 365".

Widerspruch zu europäischen Datenschutzbestimmungen

Doch diese Passage, so Pinsent Masons, widerspricht den Datenschutzregelungen der Europäischen Union. Die sehen vor, dass Nutzer von Online-Services darüber informiert werden müssen, wenn ihre Daten an Dritte weitergeleitet werden. Das Problem besteht für US-Firmen darin, dass sie gewissermaßen zwischen Baum und Borke sitzen: Auf der einen Seite unterliegen sie amerikanischem Recht, auf der anderen Seite sollen sie Rechtregeln befolgen, die in Ländern gelten, in denen sie ihre Produkte anbieten. Laut einer Studie von PwC sehen deutsche Mittelständler, die bereits Cloud-Services einsetzen, in dem Verlust über die Kontroller der Daten ein Risiko. (Quelle: PwC) Interessanter Weise haben die Europäische Kommission und das amerikanische Handelsministerium bereits Regelungen getroffen, welche die Weiterleitung von Daten von EU-Bürgern an  US-Behörden betreffen, etwa von Flug- und Bankdaten. Allerdings müssen US-Firmen, die dies tun, die Vorgaben der Europäischen Datenschutz-Direktive erfüllen. Unternehmen, die sich dazu verpflichtet haben, sind in der Safe-Harbour-Liste aufgeführt, darunter auch Microsoft, Amazon und Google. Das Patriot Act hebelt diese schöne Regelung nun offenkundig im Bereich Cloud-Computing aus.

Cloud-Skeptiker fühlen sich bestätigt

Cloud-Skeptiker dürften sich durch die eigenwillige Interpretation von Datenschutz in der Cloud durch die USA bestätigt sehen. Laut einer Studie der Beratungsgesellschaft PwC zum Thema Cloud-Computing bei mittelständischen Unternehmen in Deutschland stellt für 44 Prozent der Befragten, die bereits Cloud-Services nutzen, der Verlust über die Kontrolle der eigenen Daten einen Nachteil dar. Für 34 Prozent ist es der unzureichende Datenschutz. Für 30 Prozent der Nutzer von Cloud-Computing-Diensten in Deutschland ist nach einer Untersuchung von Deloitte der Faktor "Lage, Örtlichkeit" bei der Wahl eines Cloud-Service-Providers wichtig. Dieser Wert dürfte angesichts der Debatte um die Datensicherheit steigen. (Quelle: Deloitte) Die Resultate einer vergleichbaren Untersuchung veröffentlichte Deloitte Anfang 2011. Fast 60 Prozent der deutschen Unternehmen, die noch keine Cloud-Lösungen einsetzen, führten als Argumente ebenfalls den Kontrollverlust und mangelndes Vertrauen in den Schutz und die Verfügbarkeit von Daten an. Gerade für Mittelständler, die bekanntlich zu den innovativsten Unternehmen in Deutschland zählen, dürfte die Aussicht, dass Geschäfts- und Kundeninformationen möglicherweise von amerikanischen Behörden "abgesaugt" werden, ein Schreckensszenario darstellen.

Lösung: Cloud-Anbieter aus Europa nutzen

Aber die Diskussion um die Weitergabe von Daten durch amerikanische Cloud-Service-Provider sollte Unternehmen in Deutschland nicht davon abhalten, sich mit Cloud-Computing zu beschäftigen. Die Lösung ist relativ einfach: einen Provider auswählen, der seinen Firmensitz in Deutschland oder einem EU-Mitgliedsland hat. Diese Anbieter unterhalten nicht nur, wie auch Microsoft, Google, Amazon und Co., Rechenzentren in der Bundesrepublik oder einem EU-Land. Sie sind auch an das hier geltende Recht gebunden. Und das besagt, dass die Weitergabe von Daten nicht ohne Wissen des Betreffenden erfolgen darf. Gute Karten also für Cloud-Computing-Anbieter wie etwa Pironet NDH, Fujitsu und andere Service-Provider, die ihren Sitz in Deutschland haben. Sie können mit gutem Gewissen damit werben, dass sie keine Daten von Kunden an den "Großen Bruder" jenseits des Atlantiks weiterreichen (müssen).

Nachtrag: Beitrag auf Silicon.de belegt große Skepsis bei europäischen CIOs gegenüber US-Clouds

Silicon.de berichtet in einem Beitrag vom 3. August 2011, dass CIOs in Europa Cloud-Angebote von US-Providern konsequent meiden, selbst wenn diese Provider ihre Dienste in europäischen Rechenzentren produzieren. Lesen Sie dazu den Beitrag auf Silikon.de...

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Köln, den 2. August 2016 – Der ERP-Spezialist proALPHA stellt die Cloud-Variante seines ERP-Systems ab sofort über die Hosted ... Weiterlesen
München/Köln, den 30. Juni 2016 – In der umfassendsten Analyse des deutschen Marktes für Cloud-Computing-Services im B2B-Bereich ... Weiterlesen
Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen
München/Köln, 19. April 2016 – Der IT-Konzern CANCOM hat einen neuartigen Marktplatz für Softwareanwendungen aus der Cloud ... Weiterlesen