„Raus aus US-Clouds“ titelt das renommierte Computer-Fachmagazin c’t dieser Tage. Resigniert schreibt Redakteur Jo Bager: „Wir können Ihnen derzeit nicht empfehlen, Ihre Daten oder gar die Daten Ihrer Kunden in den Vereinigten Staaten zu speichern.“ Nun überrascht es nicht wirklich, dass ausgewiesene Experten europäischen Unternehmen raten, ihre Daten lieber in Clouds innerhalb Deutschlands bzw. der EU zu speichern. Die Situation rund um Cloud-Computing in den USA hat sich aber maßgeblich zugespitzt.
Es begann bereits eine Woche nach dem Amtsantritt des neuen Präsidenten: Donald Trump unterzeichnete am 25. Januar 2017 die Anordnung zur „Verbesserung der öffentlichen Sicherheit“. Diese sogenannte Executive Order schreibt den US-Behörden vor, dass personenbezogene Daten von Nicht-US-Bürgern vom Schutz des Privacy Acts ausgeschlossen sind. Die Anordnung richtet sich in erster Linie wohl gegen diejenigen, die sich ohne gültige Papiere in den USA aufhalten. Sie könnte aber auch bedeuten, dass die Daten von EU-Bürgern in den Vereinigten Staaten künftig nicht mehr geschützt werden.
Die Trump-Direktive könnte damit die Nutzung von US-Clouds durch europäische Unternehmen rechtlich unmöglich machen!
Von Safe Harbor zum Privacy Shield
Transatlantische Datentransfers sind aus juristischer Sicht sowieso problematisch. Denn personenbezogene Daten (also Daten, mit denen sich ein Mensch identifizieren lässt) dürfen von der EU nur in Länder mit einem „angemessenen Schutzniveau“ übermittelt werden. Ein solches wurde bei den USA immer wieder bezweifelt. Unternehmen war es jedoch möglich, auf Grundlage des Safe-Harbor-Abkommens Daten an US-Unternehmen zu übermitteln bzw. in US-Clouds verarbeiten zu lassen, wenn sich die amerikanischen Unternehmen verpflichteten, den EU-Datenschutzstandards zu genügen.
Im Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) Safe Harbor in einem vernichtenden Urteil für ungültig, weil die Daten von EU-Bürgern in den Vereinigten Staaten eben nicht ausreichend geschützt seien. Kritisiert wurde vor allem der Zugriff von US-Behörden.
Im Eiltempo stampften EU-Kommission und Obama-Administration das Nachfolgeabkommen aus dem Boden – das EU-U.S. Privacy Shield. Kernbestand ist erneut eine Datenbank, in der sich US-Unternehmen eintragen lassen können, wenn sie gewährleisten, europäische Datenschutzgesetze zu achten.
Der entsprechende Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield vom Juli 2016 beruhte jedoch maßgeblich auf Zusicherungen der Obama-Regierung. Dazu gehörte auch, dass US-Datenschutzbestimmungen auch für Daten von EU-Bürgern gelten, soweit keine anderen Gesetze dagegensprechen. „Damit dürfte jetzt Schluss sein“, befürchtet der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, Peter Schaar. Denn Trumps Anordnung könnte genau diese Zusicherungen aushebeln.
Dass dies sogar recht wahrscheinlich ist, zeigt Trumps grundsätzlich gespaltenes Verhältnis zum Datenschutz: So hat die neue US-Regierung bereits durchgesetzt, dass US-Internet-Provider die Daten ihrer Kunden ohne deren Zustimmung überwachen, sammeln und verkaufen dürfen. Wie das Magazin Wired berichtet, gehören dazu neben Nutzungsdaten sogar die Sozialversicherungsnummern der Betroffenen.
Daten in europäischen Clouds
Sollten die Daten von EU-Bürgern (in US-Clouds) unter der Trump-Regierung also nicht mehr ausreichend geschützt werden, wird die EU-Kommission aller Voraussicht nach das Privacy Shield zurücknehmen müssen. Ob das Abkommen die bereits initiierte juristische Prüfung vor dem EuGH übersteht, ist sowieso fraglich.
In beiden Fällen wird es für Unternehmen hierzulande äußerst kompliziert, personenbezogene Daten in die USA zu übertragen. Sollten unter Donald Trump auch andere verfügbare Datenschutzinstrumente (Binding Corporate Rules bzw. EU-Standardvertragsklauseln) ungültig werden, wären Übertragung, Speicherung und Verarbeitung sogar komplett verboten. Das beträfe auch Unternehmen, die zwar innerhalb der EU ansässig sind, aber Daten auf US-Rechenzentren (z. B. via Amazon Webservices) verarbeiten!
Zahlreiche Experten raten deshalb dazu, Anwendungen wie Backups in der Cloud nur bei Unternehmen mit europäischem Sitz und Rechenzentren innerhalb der EU zu nutzen. Doch selbst hierbei ist Vorsicht geboten: Hoch gelobt wird derzeit das Treuhänderkonstrukt von Microsoft und der Telekom-Tochter T-Systems. Dabei wird der Vertrag über Speicherplatz und Anwendungen (Office 365 Deutschland) in der Cloud mit T-Systems geschlossen. Auch bleiben alle Daten ausschließlich in deutschen Rechenzentren. Microsoft selbst hat keinen Zugriff auf die Daten – und damit bleiben zunächst auch die US-Behörden außen vor.
Die Telekom hat jedoch ein Tochterunternehmen in den USA. Diese sei – so schätzt es Jörg Wirtgen in der c’t ein – „weit genug entfernt von T-Systems aufgehängt“, so dass US-Gerichte sich keinen Zugang zu Daten von EU-Bürgern verschaffen könnten. Kritisch sieht das hingegen der Datenschutz-Spezialist der activeMind AG, Michael Plankemann: „Wie das dann im Ernstfall aussieht, kann keiner mit Gewissheit sagen. Letztlich entscheidet ja der US-Richter.“
Fazit: Vorsorgen ist besser als Nachsehen – auch in der Cloud
Die erneute Debatte über den mangelhaften Datenschutz in den USA zeigt vor allem, dass Unternehmen bei der Auswahl des Cloud-Anbieters wichtige strategische Entscheidungen treffen müssen. Datenschutz und Datensicherheit in der Cloud sind dabei ausschlaggebende Kriterien. Schließlich gilt es nicht nur den rechtlichen Vorgaben zu genügen, sondern vor allem das Vertrauen der eigenen Kunden zu erhalten.
Hören Sie auf die Experten. Lassen Sie Ihre Daten in Deutschland. Denn bei uns sind sie sicher!