Cloud-Projekt: Wie Gaia-X europäische Daten vor dem Zugriff von US-Behörden schützen will

Das Papier soll anschließend mit den 230 Mitgliedern und anderen Interessierten diskutiert werden. Und Diskussionsbedarf gibt es: Vor allem die Beteiligung der großen Anbieter aus den USA wie Amazon Web Services (AWS), Microsoft und Google ist umstritten, auch innerhalb der Organisation, ebenso die Teilnahme chinesischer Konzerne wie Huawei und Alibaba.

Schließlich lässt sich deren Beteiligung zumindest auf den ersten Blick nicht leicht mit den viel beschworenen europäischen Werten vereinbaren. Hinter den Vorbehalten gegen US-Dienste wie Microsoft Azure, Google Cloud und Amazon AWS steht ein Urteil des Europäischen Gerichtshofs: Der EuGH hatte im vergangenen Juli die Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA kassiert, und zwar wegen der zu weitreichenden Überwachungsbefugnisse der amerikanischen Sicherheitsbehörden.

„Vor dem Zugriff außereuropäischer Sicherheitsbehörden geschützt“

Gaia-X will hier Abhilfe schaffen: „Wenn ein Anwender seine Daten bei einem nach Gaia-X-zertifizierten Cloud-Dienst speichert, dann sind diese vor dem Zugriff außereuropäischer Sicherheitsbehörden geschützt“, verspricht der VW-Manager Ulrich Eichhorn, der die Arbeitsgruppe zu dem Regelwerk leitet. Bislang müsse ein Kunde einzeln mit den Cloud-Anbietern verhandeln, wenn er wolle, dass seine Daten von diesen in Europa und nach europäischem Recht verarbeitet würden. „Mit Gaia-X wollen wir jetzt einen Standard dafür schaffen.“

Die Policy Rules verpflichten die Dienstleister etwa, dem jeweiligen Kunden offenzulegen, an welchem Standort genau dessen Daten gespeichert werden. Auch welche ausländischen Rechtsakte greifen, sollen die Anbieter transparent machen. Ebenso sollen sie klarstellen, dass die Informationen beim Transfer gemäß den Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) geschützt sind.

Datenschützern gehen diese Bestimmungen aber nicht weit genug. „Insbesondere die Fragen des internationalen Datenaustausches und des möglichen Zugriffs durch US-Clouds auf Server in der EU bleiben ausgeblendet“, kritisiert der Hamburger Datenschutzbeauftragte Johannes Caspar. „Das Papier ist ziemlich beliebig.“ Die Richtlinien wiederholten größtenteils Anforderungen, die sich bereits aus der DSGVO ergäben.

Auch Baden-Württembergs Datenschutzbeauftragter Stefan Brink hält es für „unzureichend“, dass in dem Papier lediglich auf Anforderungen der DSGVO hingewiesen werde. Dass Sub-Auftragnehmer in die Überlegungen mit einbezogen würden, sei hingegen „klug und richtig“, so Brink.

US-Justiz greift auch im Ausland auf Daten zu

Das Problem: Aus Sicht vieler Experten sind Daten nicht unbedingt vor dem Zugriff der US-Justiz geschützt, wenn die Server in Europa stehen. Denn der sogenannte Cloud Act erlaubt es den US-Behörden seit 2018, auch auf jene Daten zuzugreifen, die amerikanische IT-Anbieter im Ausland speichern.

Die US-Justiz kann somit prinzipiell auch Zugriff auf die Daten verlangen, die bei den europäischen Tochtergesellschaften gespeichert sind. Die Unternehmen geraten dann schnell in einen Konflikt mit EU-Recht. Firmen wie AWS haben aber betont, sich gegen solche Anfragen auch juristisch zur Wehr zu setzen.

Andreas Weiss, Geschäftsbereichsleiter für digitale Geschäftsmodelle beim Internetverband Eco, rät den Kunden dennoch zu zusätzlichen Vorsichtsmaßnahmen: „Das Gaia-X-Akkreditierungsverfahren liefert die notwendige Basistransparenz zur sachgerechten Einschätzung eventuell weiterer notwendiger Vorkehrungen“, sagt er. Dazu zähle etwa die Verschlüsselung der Daten.

Mehr: Microsoft steht vor Prestigeprojekt mit der Bundesregierung – Kritiker sind alarmiert