Analysen
20. Mai 2014
AUTOR: Businesscloud.de
Zugegeben, amerikanische Anbieter von Cloud-Computing-Services haben es derzeit nicht gerade leicht. Zuerst die Sache mit dem Patriot Act, jenem Gesetz, das Firmen mit Hauptsitz in den USA verpflichtet, Kundendaten auf Antrag von US-Behörden herauszurücken. Und zwar auch solche Informationen, die auf IT-Systemen in Europa oder anderen Ländern lagern. Dann kam Edward Snowden mit „seiner“ NSA-Affäre und dezenten Hinweisen darauf, dass der amerikanische Geheimdienst Datenleitungen von amerikanischen Service-Providern anzapft oder gar mit deren Einverständnis Daten von deren Servern „absaugt“. Nein, nein – aber nicht bei uns, so die leicht hysterische Reaktion von Google, Yahoo, Microsoft, Amazon und Co. Kein Wunder, denn solche Nachrichten beziehungsweise Mutmaßungen sind schlecht fürs Geschäft, vor allem in Europa. BusinessCloud_US_Urteil

Schlappe für Microsoft: Ein Richter in New York verurteilte das Unternehmen dazu, E-Mails eines Kunden herauszugeben, die in Microsofts Cloud-Rechenzentrum in Dublin (Irland) lagerten.

Denn Unternehmen dort sehen sich in einer Zwickmühle: Auf der einen Seite hat die EU restriktive Datenschutzregelungen verabschiedet. Zudem fordern Compliance-Richtlinien, dass Unternehmen sorgsam mit „kritischen“ Informationen umgehen und sie vor dem Zugriff Unbefugter schützen. Auf der anderen Seite besteht die berechtigte Gefahr, dass eine Firma oder eine Organisation gewissermaßen den Bock zum Gärtner macht, wenn sie unternehmenskritische Daten einem amerikanischen Cloud-Service-Provider anvertraut.

„Unbedenklichkeitszertifikat“ von EU-Datenschützern

Microsoft ging sogar soweit, eine Art Ehrenerklärung abzugeben. Am 10. April stellte Brad Smith, Leiter der Rechtsabteilung von Microsoft, in einem Beitrag im Microsoft-Blog fest: „Dies ist eine wichtige Woche, was den Schutz der Privatsphäre unserer Kunden betrifft.“ In besagter Woche stellte die Arbeitsgruppe „Article 29 Working Party“ der EU fest, dass die Verträge von Microsoft im Bereich Cloud Computing im Einklang mit den EU-Datenschutzregelungen sind. Der Arbeitsgruppe gehören Vertreter der Datenschutzbehörden der Mitgliedsstaaten der Europäischen Union an. Die Einschätzung der Datenschutzbehörden betrifft insbesondere Microsofts Cloud-Angebote Microsoft Azure, Office 365, Microsoft Dynamics CRM sowie Windows Intune, eine Cloud-Lösung für das Management von IT-Systemen. Ab dem 1. Juli 2014 sollen alle Geschäftskunden von Microsoft, die Cloud-Services des Unternehmens nutzen, in den Genuss der Selbstverpflichtung kommen. Microsoft erkennt darin an, dass Nutzer der Cloud-Dienste aus den EU-Staaten die volle Kontrolle über ihre Daten behalten. Zudem räumt Microsoft ausdrücklich ein, dass diese Informationen den Datenschutzbestimmungen unterliegen, die in der Europäischen Union gelten. Nach Angaben von Brad Smith ist Microsoft derzeit der einzige Cloud-Service-Provider, dem die EU-Datenschützer dieses „Unbedenklichkeitszertifikat“ ausstellten.

Doch dann kam Mr. James C. Francis

Doch alle Ehrenerklärungen und Selbstverpflichtungen könnte ein Federstrich – oder besser gesagt Urteilsspruch – ad absurdum führen. Denn am 25. April 2014 stellte Richter James C. Francis vom United States District Court, Southern District of New York, fest: Durchsuchungsbefehle geben amerikanischen Behörden das Recht, von einem Cloud-Service-Provider die Herausgabe aller Daten zu verlangen, die Privatpersonen oder Unternehmen bei ihm gespeichert haben. Das gilt unabhängig davon, wo sich diese Daten befinden, sprich in welchen Rechenzentren.

BusinessCloud_US_Urteil_Franics_PIL

Richter James C. Francis vom Distriktgericht des Southern District of New York vertritt die Auffassung, dass amerikanische Ermittlungsbehörden direkt auf Daten in Cloud-Data-Centern amerikanischer Betreiber zugreifen dürfen. Der übliche Weg über Rechtshilfeverfahren sei für US-Behörden nicht zumutbar. Bild: Practising Law Institute

Francis beruft sich in seiner Entscheidung auf das Stored Communications Act (SCA), ein Gesetz, das 1986 als Teil des Electronic Communications Privacy Act verabschiedet wurde. Die Argumentation der Richters ist bemerkenswert: Amerikanischen Behörden sei nicht zuzumuten, den üblichen Weg zu beschreiten, also ausländische Behörden im Rahmen eines Rechtshilfeabkommens um Hilfe zu bitten. Dies sei zu zeitaufwändig und könne dazu führen, dass Ermittlungen ins Leere liefen. Das heißt, her mit den Daten Verdächtiger, und zwar ALLER Daten – und ohne Rücksicht darauf, wo eine amerikanische IT-Firma diese Informationen speichert. Und welch Ironie des Schicksals: Das Urteil von James C. Francis betrifft ausgerechnet Microsoft. Amerikanische Ermittlungsbehörden wollten Zugriff auf E-Mails eines Verdächtigen. Doch die Mails lagen auf Servern in Microsofts Rechenzentrum in Dublin (Irland). Der standhaften Weigerung Microsofts, diese Daten herauszugeben, machte Euer Ehren James C. Francis IV vorerst ein Ende.

Was heißt das für die Cloud?

Microsoft kündigte umgehend an, gegen die Entscheidung Francis Rechtsmittel einzulegen. Dennoch hat das Urteil die Debatte um die Zugriffsrechte ausländischer Behörden, speziell solcher aus den USA, auf Daten von Cloud-Computing-Kunden amerikanischer Firmen neu entfacht. Und das zu Recht. Denn sollte das Urteil Bestand haben, steht US-Behörden neben dem Patriot Act eine weitere gesetzliche Handhabe zur Verfügung, die ihnen den Zugriff auf Daten in Cloud-Rechenzentren von Microsoft, Google, Amazon, Rackspace et cetera einräumt. BusinessCloud_US_Urteil_MS_Dublin

Kein sicherer Hafen: US-Gesetze wie das Patriot Act besagen, dass der Standort eines Rechenzentrums (hier das von Microsoft in Dublin) zweitrangig ist. Stehen amerikanische Sicherheitsinteressen auf dem Spiel, müssen US-Firmen Daten von Kunden an die Behörden ihres Heimatlandes herausgeben, egal, ob die Informationen in einem Data Center in Europa, Asien oder den USA gespeichert sind. Bild: Microsoft

Sicherlich, im betreffenden Fall geht es um Ermittlungen von Strafverfolgungsbehörden gegen eine bestimmte Person. Doch wirft die Entscheidung ein bezeichnendes Licht auf die Denkweise von US-Behörden und -Gerichten. Welche Rechtsgrundsätze in anderen Ländern gelten, scheint für diese nur bedingt von Belang zu sein, wenn es um den Schutz amerikanischer Interessen geht. Was also tun? Ganz einfach: Jedes Unternehmen, auch Kleinfirmen, sollten sich gut überlegen, welchem Cloud-Service-Provider sie geschäftskritische Daten anvertrauen. Anbieter mit Hauptsitz in der EU sind sicherlich keine schlechte Wahl. Denn eine Tatsache lässt sich nicht wegdiskutieren: Cloud-Computing-Firmen aus den USA unterliegen US-Recht. Punkt! Daran ändern auch gut gemeinte Selbstverpflichtungen nichts.

Seite teilen

1 kommentar zu “US-Gericht: Zeigt her eure Daten”
  1. Postkartenidylle in der Cloud? Nur wenn keiner mitliest!

    [...] einzulegen.“ (Details dazu können Sie in unserem „Business-Cloud.de“-Blogpost „US-Gericht: Zeigt her eure Daten“ nachlesen.“) Jetzt hat Microsoft Schützenhilfe bekommen – von Apple und Cisco, wie Sie im [...]

Schreibe einen Kommentar

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

München/Köln, 19. April 2016 – Der IT-Konzern CANCOM hat einen neuartigen Marktplatz für Softwareanwendungen aus der Cloud ... Weiterlesen
München/Köln, den 18. Februar 2016 – Das Immobilien-Unternehmen Tectareal hat nach der Herauslösung aus dem Hochtief-Konzern ... Weiterlesen
Kassel/Köln, den 25. November 2015 – Das Marktforschungshaus techconsult und die CANCOM-Tochter Pironet NDH haben den ... Weiterlesen
Köln, den 5. November 2015 – Das Software- und Beratungshaus LeBit bietet ab sofort ERP- und CRM-Lösungen für kleinere ... Weiterlesen