IT-Sicherheit und Datenschutz sind die zwei größten Sorgen, die Unternehmen haben, wenn es darum geht, Daten oder ganze Geschäftsprozesse in die Cloud zu verlagern. Wer dabei Cloud-Anbieter in den USA wählt, setzt sich tatsächlich der massiven Überwachung amerikanischer Behörden aus und verstößt unter Umständen sogar gegen deutsches Datenschutzrecht. Doch kann es eine „NSA-free Cloud“, also etwa Cloud-Storage ohne Zugriff der National Security Agency überhaupt geben? Wie lassen sich Daten vor US-Gesetzen schützen und die Compliance mit dem hiesigen Recht gewährleisten?
Das Problem: USA Patriot Act & USA Freedom Act
Die Affäre um den Whistleblower Edward Snowden hat der Welt klargemacht, in welchem Ausmaß die USA andere Regierungen, die Wirtschaft und sogar Privatpersonen ausspionieren. Und dies nicht nur durch illegale Methoden, sondern teils durch juristisch legitimierte Maßnahmen, namentlich vor allem durch den Patriot Act und seinen Nachfolger den Freedom Act.
Der USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) wurde im Oktober 2001 als Reaktion auf die Anschläge vom 11. September 2001 verabschiedet. Das Gesetz erlaubte es US-Behörden fortan, Telekommunikationsdaten zu sammeln, zu speichern und auszuwerten. Davon machten die amerikanischen Behörden auch reichlich Gebrauch und zwangen mit sogenannten National Security Letters (NSL) Internet-Provider und IT-Dienstleister dazu, massenhaft Kundeninformationen herauszugeben.
Im Juni 2015 wurde der abgelaufene Patriot Act durch den USA FREEDOM Act (Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act) ersetzt. Die Reform verbesserte den Datenschutz (aus europäischer Sicht) jedoch nur marginal. So dürfen US-Behörden die Telekommunikationsdaten zwar nicht mehr selbst speichern und haben auch keinen direkten Zugriff darauf. Die Daten sind jedoch bei den Telekommunikationsanbietern zu speichern und auf Verlagen der Behörden herauszugeben, sofern diese einen Verdacht äußern.
Die Herausforderung: Compliance mit deutschem Datenschutzrecht
Nach deutschem und europäischen Recht handelt es sich bei den betroffenen Informationen jedoch meist um sogenannte personenbezogene Daten, die in besonderem Maße geschützt werden. So schreibt das Datenschutzrecht vor, dass solcherlei Daten nur dann verarbeitet werden dürfen, wenn der Betroffene zugestimmt hat oder eine gesetzliche Erlaubnis dafür besteht. Beides dürfte in Hinblick auf die Ausspähung durch die NSA jedoch zu verneinen sein.
Werden die Daten außerhalb der EU bzw. des EWR gespeichert oder verarbeitet (etwa für Backups in der Cloud), kommt eine weitere juristische Hürde hinzu. Denn hierfür muss in dem entsprechenden Land ein angemessenes Datenschutzniveau vorliegen. Mit anderen Worten: Der Schutz von Daten muss in etwa vergleichbar mit dem hierzulande erfolgen.
Damit also Daten in ein „Drittland“ übertragen werden dürfen, müssen wirksame Datenschutzgarantien vorliegen. Im Hinblick auf die USA, gab es bis vor Kurzem das Safe-Harbor-Abkommen, mittels dessen US-Unternehmen ein ebensolches Datenschutzniveau für sich proklamieren konnten. Doch der Europäische Gerichtshof (EuGH) erklärte Safe Harbor im Oktober 2015 für ungültig, vor allem wegen der oben geschilderten Massenüberwachung bzw. Ausspähung von Daten. Danach verbleiben auch in Bezug auf die USA derzeit nur noch die sogenannten „EU-Standardvertragsklauseln“, die allerdings aus ähnlichen Gründen bereits ebenfalls dem EuGH zur Prüfung vorgelegt wurden. Es wäre überraschend, wenn hier bei vergleichbarer Ausgangslage nun keine Bedenken geäußert würden.
Als Konsequenz stehen der Nutzung von Cloud Services in den USA gleich mehrere Gründe entgegen: Zum einen sind die USA ein sogenannter Drittstaat, bei dem nicht grundsätzlich von einem angemessenen Datenschutzniveau ausgegangen werden kann. Zum anderen liegt für den Datenzugriff durch die NSA weder die Einwilligung der Betroffenen noch eine deutsche bzw. europäische gesetzliche Grundlage vor.
Die Lösung: Cloud-Computing – Made in Germany
Es gibt jedoch eine einfache Lösung für Unternehmen, die unter deutsches Datenschutzrecht bzw. zukünftig die EU-Datenschutz-Grundverordnung fallen. Denn mit Cloud-Computing – Made in Germany lässt sich eine tatsächliche „NSA-free Cloud“ durchaus bewerkstelligen. Dafür sollten Unternehmen bei der Wahl des Cloud-Anbieters jedoch auf zwei verschiedene Kriterien achten:
Das Wichtigste für Cloud-Computing ohne NSA ist das alle (!) Rechenzentren des Cloud-Anbieters in Deutschland bzw. wenigstens der Europäischen Union betrieben werden und von dort auch Support und Administration erfolgen. Nur dann gilt ausschließlich deutsches bzw. europäisches Datenschutzrecht. Dadurch entfällt auch das Bedürfnis nach Datenschutzgarantien, wie es bei einem Rechenzentrum in einem Nicht-EU-Land notwendig wäre.
Doch wer denkt, allein mit dem Standort Deutschland seine Daten den US-Behörden vollkommen entziehen zu können, irrt gewaltig. Auch große amerikanische Unternehmen wie Microsoft oder Amazon versuchen mit ihren Cloud-Computing-Angeboten deutsche bzw. europäische Unternehmen zu überzeugen, indem sie Rechenzentren in Deutschland bzw. der EU bauen und betreiben. Dabei gibt es aber ein großes Problem: Unternehmen, deren Muttergesellschaften in den USA sitzen oder die ihrerseits eine Tochter in den USA betreiben, können auch durch US-Behörden herangezogen werden.
Für ein Cloud-Computing ohne Zugriff durch NSA oder andere US-Behörden, müssen sich also auch der Cloud Anbieter und all seine Unternehmensteile vollständig außerhalb der juristischen Reichweite des USA Freedom Acts befinden. Im Idealfall ist der Cloud Provider ausschließlich in deutschem Besitz und hat ausschließlich Standorte in Deutschland oder der EU. Ersteres ist definitiv zu bevorzugen, weil so juristische Unsicherheiten beim möglichen Austritt eines EU-Mitgliedlandes vermieden werden (Stichwort: Brexit).
Zu guter Letzt: Verschlüsselung ist notwendig, aber nicht ausreichend
US-Cloud-Anbieter argumentieren gerne, dass personenbezogene und geschäftsrelevante Daten verschlüsselt in der Cloud gespeichert werden können und somit den gierigen Augen der NSA entzogen blieben. Grundsätzlich ist es natürlich richtig, alle schützenswerten Daten zu verschlüsseln, bevor sie den Weg in die Cloud antreten. Auch weil bei der Anbindung von Unternehmen und Cloud über das Internet nicht vorhergesagt werden kann, welchen Weg die Daten nehmen.
Ausschließlich auf Datenverschlüsselung zu setzen, um deutschen und europäischen Datenschutzrecht auch in einer US-Cloud gerecht zu werden, erscheint jedoch nicht ausreichend, selbst in einem deutschen Rechenzentrum nicht. Denn zum einen ist mit entsprechendem Aufwand (fast) jede Verschlüsselung zu knacken. Zum anderen verursacht jedes komplexere Verschlüsselungsverfahren zusätzliche Kosten und ist gefährlich: Der Betreiber darf für eine beachtliche Verschlüsselung keine Möglichkeit haben, auf Verschlüsselungsschlüssel zuzugreifen oder diese – selbst im allerschlimmsten Notfall – wiederherzustellen.
Fazit: „NSA-free Cloud“ gibt es nur hierzulande
In der Gesamtbetrachtung zeigt sich, dass Cloud-Computing ohne NSA und USA Freedom Act nur praktikabel ist, wenn sie im doppelten Sinne Made in Germany ist: Sowohl alle Rechenzentren des Cloud-Anbieters als auch alle Unternehmensstandorte und Eigentümer sollten ausschließlich hierzulande beheimatet sein. Wer bei der Wahl des Cloud-Anbieters zusätzlich auf eine etablierte IT-Sicherheitszertifizierung wie z. B. ISO 27001 aus Basis IT-Grundschutz achtet, hat seine Daten und die seiner Kunden bestens geschützt.