Deutschen Unternehmen droht Ärger bei der Nutzung von US-Clouds

Dass US-Behörden auch vor dem Zugriff auf vertrauliche Cloud-Daten deutscher Unternehmen nicht zurückschrecken, hat die deutschen Datenschützer auf den Plan gerufen. Unternehmen, die schon US-Clouds nutzen, müssen jetzt handeln.

In Pocket speichern vorlesen Druckansicht 182 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Arnd Böken

Deutschen Unternehmen, die Clouds von US-Anbietern nutzen, drohen schwerwiegende Konsequenzen bis hin zu Bußgeldern. Nachdem Microsoft im Juni einräumte, Daten müssten auch an das FBI und andere US-Behörden herausgegeben werden, entstanden Zweifel, ob deutsche Unternehmen US-Anbieter überhaupt beauftragen dürfen. Die deutschen Datenschutzbeauftragten des Bundes und der Länder haben am gestrigen Freitag in ihrer 82. Konferenz neben der Forderung nach zurückhaltender Facebook-Nutzung eine „Orientierungshilfe“ (PDF) zu wichtigen Fragen des Cloud-Computings verabschiedet, auch zu Verträgen mit Cloud-Anbietern aus den USA.

Die Stellungnahme lässt es zwar zu, dass deutsche Unternehmen Clouds von US-Anbietern nutzen, die Anforderungen sind aber hoch. Eine Möglichkeit ist, dass Unternehmen und Anbieter im Cloud-Vertrag ausdrücklich vorsehen, personenbezogene Daten ausschließlich in Rechenzentren innerhalb des Europäischen Wirtschaftsraums zu verarbeiten, das heißt innerhalb der EU sowie Island, Liechtenstein und Norwegen. Außerdem muss sich der Cloud-Anbieter zwingend der Geltung des EU-Rechts unterwerfen.

Daneben sieht die Stellungnahme die Möglichkeit vor, dass der Vertrag eine Verarbeitung der Daten in Rechenzentren in den USA zulässt. Für eine solche Übermittlung müssen mehrere Voraussetzungen erfüllt werden. Der Cloud-Anbieter aus den USA muss sich gegenüber dem US-Handelsministerium zur Einhaltung der Safe-Harbor-Grundsätze verpflichtet haben. Außerdem muss er mit den europäischen Datenschutzbehörden kooperieren. Das deutsche Unternehmen und der US-Cloud-Anbieter müssen zudem eine Vereinbarung nach den Grundsätzen der Auftragsdatenverarbeitung nach deutschem Datenschutzrecht schließen, die eine Reihe von Garantien enthält.

Diese Anforderungen gelten auch für bereits bestehende Verträge. Genau hier liegt die Brisanz, denn die meisten Verträge mit US-Anbietern erfüllen die Voraussetzungen nicht. Bisher konnte man sich auf eine gewisse Rechtsunsicherheit berufen und darauf hoffen, dass nichts passiert. Nachdem die Datenschutzbeauftragten aber eine einheitliche Stellungnahme abgegeben haben, besteht diese Möglichkeit nicht mehr. Jetzt drohen den deutschen Unternehmen schwerwiegende Konsequenzen. Daher müssen die Unternehmen ihre bestehenden Verträge kritisch prüfen und nachverhandeln. Dabei ist die veröffentlichte Stellungnahme eine Hilfe, denn sie gibt auch den Anbietern aus den USA Rechtssicherheit für ihre Verträge mit deutschen Unternehmenskunden. (ur)