Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Patriot Act Wie gefährlich das Cloud Computing ist

Ein Microsoft-Manager sorgt für Wirbel: US-Geheimdienste haben Zugriff auf die Microsoft-Cloud, gab er zu. Was das für die Praxis in Deutschland bedeutet, erklärt der Rechtsanwalt Arnd Böken in einem Gastbeitrag.
8 Kommentare
Microsoft beschwört das Cloud Computing als Zukunft der IT. Quelle: dapd

Microsoft beschwört das Cloud Computing als Zukunft der IT.

(Foto: dapd)

Berlin Gordon Frazer, Managing Director von Microsoft Großbritannien, hat viel Aufregung ausgelöst. Bei der Vorstellung von Microsofts Cloud Lösung Office 365 erklärte er, Microsoft und andere US-Cloud-Anbieter müssten unter Umständen Kundendaten an das FBI und andere US-Behörden weitergeben, auch wenn die Daten in europäischen Rechenzentren liegen.   Ein Dokument im Microsoft „Trust Center“ weist ebenfalls auf die Möglichkeit einer Datenweitergabe hin. Grundlage dafür ist vor allem der USA Patriot Act.

Die Äußerung von Microsoft wurde von Abgeordneten des EU-Parlaments und von einem deutschen Datenschutzbeauftragten heftig kritisiert. Angesichts einer drohenden Datenweitergabe bestünden Zweifel an der Vertraulichkeit und damit der Rechtmäßigkeit einer Datenverarbeitung durch diese Anbieter in Europa.

Viele deutsche Unternehmen nutzen bereits Clouds von US-Anbietern oder planen deren Nutzung. Sie stehen jetzt vor der Frage, ob sie Cloud-Anbieter aus den USA überhaupt beauftragen dürfen, wenn auf Grundlage des USA Patriot Acts Zugriffe auf Daten drohen. Weiter stellt sich die Frage, ob bestehende Verträge möglicherweise angepasst werden müssen.

Der Patriot Act

Der USA Patriot Act ist Teil einer Gesetzgebung, mit der die USA auf den Anschlag vom 11. September 2001 reagiert haben. Das Gesetz gibt dem FBI und anderen US-Behörden weitreichende Befugnisse im Rahmen der Terrorabwehr und der Verfolgung anderer Straftaten. US-Unternehmen sind unter bestimmten Umständen verpflichtet, Informationen über ihre Kunden weiterzugeben, auch wenn die Kunden ihren Sitz im Ausland haben. Die US-Behörden können in einem sogenannten National Security Letter (NSL) sogar anordnen, dass der Empfänger der Aufforderung darüber Stillschweigen zu bewahren hat.

Europäische Clouds

Wenn ein deutsches Unternehmen personenbezogene Daten wie beispielsweise Mitarbeiter-, Kunden- oder Lieferantendaten, in der Cloud verarbeiten will, so hat es das deutsche Datenschutzrecht zu beachten. Verarbeitet das Unternehmen die Daten in einer Private Cloud, so behält es die vollständige Kontrolle darüber. Das Unternehmen kann aber auch IT-Dienste aus Public Clouds beziehen, beispielsweise virtuelle Server anmieten (Infrastructure-as-a-Service) oder Software nutzen, die in einem Rechenzentrum läuft, in dem die Daten verarbeitet und gespeichert werden (Software-as-a-Service).

In der Praxis vereinbaren das Unternehmen und der Cloud-Anbieter häufig Auftragsdatenverarbeitung. Herr der Datenverarbeitung bleibt dann das Unternehmen, der Cloud-Anbieter wird nur im Auftrag und auf Weisung tätig. Zulässig ist diese Auftragsdatenverarbeitung nach deutschem Recht nur, wenn die Daten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, das sind die EU-Staaten sowie Island, Liechtenstein und Norwegen. Daher bieten die meisten europäischen Cloud-Provider solche EU/EWR-Clouds an. Auch einige amerikanische Cloud-Provider bieten reine EU/EWR-Clouds an.

Was beim Vertrag zu beachten ist
Seite 123Alles auf einer Seite anzeigen

8 Kommentare zu "Patriot Act: Wie gefährlich das Cloud Computing ist"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • Das Hauptproblem sind die zahlreichen Verträge, die kein klares Verbot des Datenexportes enthalten oder lassen ihn sogar zulassen. Wenn der Cloudanbieter dann Daten weitergibt, hat der Auftraggeber die Verantwortung (Bußgeld etc.).
    Enthält der Vertrag ein eindeutiges Verbot, so verbessert dies die Lage für den Auftrageber erheblich. Der Cloud-Anbieter wird alles tun, um einen solchen klaren Vertragsbruch zu vermeiden. Er muss ja auch damit rechnen, dass die Datenschutzbehörde den Bußgeldrahmen ausschöpft (bis 300.000 Euro). Bei einer klaren Regelung besteht auch eine bessere Chance des Anbieters, sich gegen die US-Behörde durchzusetzen, das zeigt sich in E-Discovery-Fällen immer wieder.

    Arnd Böken

  • Wie verlässlich Abkommen sind, sieht man ja:
    http://www.heise.de/newsticker/meldung/Mangelhafte-Kontrolle-des-Bankdaten-Transfers-in-die-USA-geruegt-1204886.html
    Im Zweifel hat man nicht alleinigen Zugriff auf die Daten.

  • >wird auch festgelegt, dass die Daten in
    >bestimmten Rechenzentren verarbeitet werden
    >und den EWR nicht verlassen dürfen
    Und wo steht der Bus mit den Leuten, die das glauben?
    -Klartext: Kein Unternehmer mit auch nur einer aktiven Gehirnzelle wird im Zeitalter von Big-Brother und Wirtschaftsspionage jetzt noch seine Daten einem public cloud-Anbieter zur Verfügung stellen!

  • Kann Ihnen nur dringend abraten, Daten in den USA zu sichern. Nehmen Sie doch den Vorfall, dass die Bankenserver in USA abgefiltert wurden, ohne Rechtsgrundlage, denn diese wurde ja erst als dies public wurde im nachhinein von den Europäern abgesegnet. Unter dem allumfassenden Schlagwort "Terror" lässt sich jeder nicht rechtsstaatliche Eingriff entschuldigen. Lesen Sie mal Geschichtsbücher, wie häufig die USA Gesetze anderer achteten bzw. durch die CIA aushöhlten. Da muss man ja blind sein, um das in 2011 noch zu glauben!

  • Cloud Computing ist wie, wenn ich meine Kalkulationen und Kundendaten gleich in facebook poste. Von wegen Datensicherheit nach europäischem Standard durch eine amerikanische Firma. Die haben jenseits des Atlantik ein völlig anderes Verständnis von Daten und Geheimhaltung, als wir. Ich teile die hier schon geäußerte Ansicht, daß man als Unternehmer KEINE Daten in die Cloud verlagern DARF, sondern seine eigenen Server betreiben muß.

  • Auch Microsoft ist Ihrer Auffassung. Zitat:
    "Microsoft kann diese Garantie nicht gewährleisten. Das kann auch kein anderes Unternehmen."

  • Typische Sicht eines Anwalts, aber in der Praxis sollten europäische Unternehmen die Dienste von US-Firmen meiden. Werr Herr über seine Daten bleiben will, der sollte sie auch im Unternehmen belassen und nicht in einer "Cloud"! Entwicklungsrechner und Kundendaten kommen bei mir nicht ins I-net!

  • Zu "An diesen Vertrag muss sich der Cloud-Anbieter halten. Verfügt das deutsche Unternehmen über einen solchen Vertrag, ist eine Weitergabe von Daten durch den Cloud-Provider an US-Behörden ausgeschlossen. Wollen die US-Behörden auf die Daten zugreifen, dann geht das nur im Wege der Rechtshilfe über eine europäische Behörde."

    Sehr interessantes Rechtsverständnis des Kollegen. Dass sich US Behörden durch vertragliche Vereinbarungen zwischen privaten Unternehmen beschränkt sehen, wage ich zu bezweifeln.

Serviceangebote