Zugriff auf Zuruf?

Die Nennung des amerikanischen „Patriot Act“ löst bei vielen Unbehagen aus, steht das Gesetz doch für den potenziellen Zugriff von US-Behörden auf Cloud-Daten deutscher Unternehmen. Die Datenschützer wollen die Notbremse ziehen, europäische Politiker arbeiten schon an einem Gesetz. Was sollen deutsche Unternehmen nun tun?

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lesezeit: 13 Min.
Von
  • Arnd Böken
Inhaltsverzeichnis

Als Microsoft und Google im Sommer 2011 bekannt gaben, dass sie verpflichtet seien, Daten aus EU-Rechenzentren an US-Behörden weiterzugeben und dies auch schon getan hätten, lösten sie viel Aufregung aus. Seither sind deutsche Unternehmen aufgrund der befürchteten Datenweitergabe verunsichert und fragen sich, ob sie Cloud-Angebote aus den USA überhaupt nutzen können. Diese Frage hat für das Cloud Computing in Deutschland große Bedeutung, denn Microsoft, Google und auch andere US-Unternehmen wie Amazon und Salesforce sind wichtige Cloud-Anbieter auf dem deutschen Markt. Ihre Angebote richten sich an Firmen aller Branchen, selbst deutsche SaaS-Anbieter (Software as a Service) nutzen häufig die Infrastructure-Dienste (IaaS) amerikanischer Provider.

Die USA haben die Befugnisse ihrer Geheimdienste und Ermittlungsbehörden im Jahr 2001 durch den USA Patriot Act beträchtlich erweitert. Wenn das FBI zur Terrorbekämpfung oder Spionageabwehr ermittelt, kann es nach Section 215 „Access to Records and Other Items Under the Foreign Intelligence Surveillance Act“ den Foreign Intelligence Surveillance Court (FISC) anrufen und über ihn Zugang zu Daten aller Art erhalten. Das Gericht erlässt hierzu einen Beschluss gegen eine Telefongesellschaft, einen Internet-Provider oder auch einen Cloud-Anbieter, der dann die bei ihm gespeicherten Daten herausgeben muss.

Um Daten zu erhalten, muss das FBI nicht unbedingt ein Gericht bemühen, sondern kann selbst einen National Security Letter (NSL) erlassen und damit Internet-Provider sowie andere Unternehmen verpflichten, Daten zu übermitteln, ohne den Betroffenen hiervon zu informieren. National Security Letters haben in der Praxis größere Bedeutung als Zugriffe durch ein Gericht. Nach einer Statistik des Electronic Privacy Information Center (EPIC) wurden im Jahre 2010 circa 1600 Gerichtsbeschlüsse nach dem FISA erlassen, die Zahl der National Security Letters soll dagegen bei rund 24 000 liegen. Das sind allerdings die Gesamtzahlen, die Zugriffe auf Cloud-Anbieter sind wesentlich geringer.

Überwacht werden die Aktivitäten des FBI durch den US-Kongress. Zwei Mitglieder des zuständigen Ausschusses, die Senatoren Wyden und Odall, berichteten, es gebe eine geheime Richtlinie des Justizministeriums. Danach seien die Befugnisse der Behörden weiter als in der Öffentlichkeit bekannt. Im Oktober 2011 hat die New York Times vor einem US-Bundesgericht Klage auf Offenlegung dieser internen Richtlinie erhoben. Grundlage der Klage ist der Freedom of Information Act.

Ein deutsches Unternehmen ist an deutsches Datenschutzrecht gebunden, gleichgültig ob es Daten in einer Private Cloud verarbeitet oder die Angebote eines Cloud-Providers nutzt. Verarbeitet das Unternehmen personenbezogene Daten in der Cloud, also etwa Daten von Mitarbeitern, Kunden oder Lieferanten, so gilt dafür das Bundesdatenschutzgesetz (BDSG).

Die beste Möglichkeit, Cloud-Dienste datenschutzkonform entsprechend dem BDSG zu nutzen, ist die Auftragsdatenverarbeitung innerhalb einer EU/EWR-Cloud. Das bedeutet, dass der Cloud-Provider die Daten nur im Auftrag und auf Weisung des Unternehmens verarbeitet. Verantwortlich für die Datenverarbeitung ist dann weiterhin das Unternehmen. Auftragsdatenverarbeitung hat den großen Vorteil, dass die Daten problemlos zum Cloud-Anbieter transferiert werden dürfen. Der Auftragsdatenverarbeiter hat eine vergleichbare Stellung wie ein internes Rechenzentrum des Unternehmens.

Diese Vorteile können Unternehmen und Cloud-Anbieter aber nur in Anspruch nehmen, wenn sie auch wirksam die Voraussetzungen für Auftragsdatenverarbeitung schaffen. Dazu müssen sie einen schriftlichen Vertrag schließen, der eine Reihe von Bestimmungen zu Datenschutz und Datensicherheit enthält. Die Verträge sind umfangreich und schwierig zu verhandeln. Man muss hier zahlreiche Gesichtspunkte berücksichtigen.

Eine wichtige Voraussetzung ist, dass die Daten nur innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, also innerhalb der EU sowie Island, Liechtenstein und Norwegen. Nur dann erhält der Cloud-Anbieter eine Rechtsstellung, die mit einem internen Rechenzentrum des Unternehmens vergleichbar ist.

Genau hier liegt das Problem. Der Cloud-Anbieter muss garantieren, dass die Daten den EWR nicht verlassen. Cloud-Anbieter mit Sitz in der EU können diese Garantie problemlos geben. Viele deutsche Unternehmen nutzen diese Clouds, da sie die Vorteile einer Auftragsdatenverarbeitung innerhalb des EWR erkannt haben und für sich in Anspruch nehmen wollen.

Es gibt auch US-Anbieter, die EU/EWR-Clouds anbieten. Diese Angebote können allerdings problematisch sein, da viele dieser Verträge keine ausreichenden Regelungen zu einem Verbleib der Daten innerhalb des EWR enthalten. Manche Verträge lassen den Datenexport sogar ausdrücklich zu oder bleiben in diesem Punkt vage. Ein deutsches Unternehmen kann einen solchen Vertrag nicht abschließen, denn er führt zu einem Bußgeld, weil er eindeutig die Bestimmungen des § 11 BDSG verletzt.

Für Unternehmen bedeutet dies, vor dem Abschluss genau zu prüfen, was der Vertrag dazu sagt, wo die Daten verarbeitet werden. Wenn hier Unklarheiten bestehen, kann man diese beseitigen, bevor man den Vertrag schließt. Auch wenn man in der Vergangenheit einen Vertrag geschlossen hat, lohnt es, sich diese Regelungen noch einmal anzusehen. Häufig merkt man dann, dass die vermeintliche EU/EWR-Cloud in Wirklichkeit gar keine solche ist, weil die nötigen Garantien fehlen.

Stellt man bei dieser nachträglichen Prüfung fest, dass der Vertrag hier Mängel hat, ist das mehr als nur unangenehm, denn es drohen ein Bußgeld und eine Nutzungsuntersagung durch die zuständige Datenschutzbehörde. Hierauf sollte man nicht warten, sondern besser auf den Cloud-Anbieter zugehen und nachverhandeln. Man kann Cloud-Verträge mit US-Anbietern auch nachträglich datenschutzkonform gestalten. Entweder gibt der Cloud-Anbieter zu diesem Zeitpunkt noch die nötigen Garantien oder der Vertrag wird nachträglich in einen über eine internationale Cloud umgewandelt. Wichtig ist nur, dass man sich frühzeitig darum kümmert.

Mehr Infos

iX-Tract

  • Cloud-Dienste sind für Unternehmen in finanzieller Hinsicht meist attraktiv. Doch sobald die Verarbeitung personenbezogener Daten ins Spiel kommt, wird es problematisch.
  • Für den Umgang mit personenbezogenen Daten schreibt der deutsche Gesetzgeber Rahmenbedingungen vor, die mit manchen US-Gesetzen nicht vereinbar sind.
  • Eine Nutzung von US-Clouds ist für deutsche Unternehmen zwar nicht zwingend ausgeschlossen, einfach ist die Vertragsgestaltung aber auch nicht gerade.

Garantiert ein US-Anbieter vertraglich, dass Daten den EWR nicht verlassen, so muss er diese Zusage auch einhalten. Der Cloud-Anbieter muss sich dann vor den US-Gerichten gegen den Zugriff durch das FBI wehren, denn er würde mit einer Datenweitergabe aus einem EU-Rechenzentrum an US-Behörden das EU-Recht verletzen. Die EU-Kommission hat angekündigt, sie werde dies in der geplanten Neufassung der Datenschutzrichtlinie noch einmal ausdrücklich betonen. Allerdings muss man diese Neuregelung nicht abwarten, schon heute ist diese Übermittlung nach EU-Recht verboten.

Kann ein US-Anbieter nicht garantieren, dass die Daten ausschließlich innerhalb des EWR verarbeitet werden, so kann er keine EWR-Cloud anbieten. Die Verträge müssen in diesem Fall anderen Grundsätzen folgen. Unternehmen und Cloud Anbieter schließen dann einen Vertrag über eine internationale Cloud.

Dort werden die Daten in Rechenzentren weltweit gespeichert. Entsprechend kommen auch Rechtsordnungen ausländischer Staaten zur Geltung. Wenn Daten in den USA gespeichert werden, so gilt für Zugriffe das dortige Recht.

Da in internationalen Clouds Zugriffe in anderen Staaten drohen, haben einzelne Datenschutzbeauftragte in der Vergangenheit die Auffassung vertreten, dass deutsche Unternehmen solche Clouds nicht nutzen dürften, um personenbezogene Daten zu verarbeiten. Richtig war diese Ansicht nicht. Inzwischen ist die Rechtslage geklärt, die deutschen Datenschutzbeauftragten haben am 26. September 2011 eine „Orientierungshilfe“ [1] veröffentlicht, die auch eine Cloud-Nutzung außerhalb Europas vorsieht.

Für die Nutzung von außereuropäischen Clouds gelten aber bestimmte Anforderungen. Das Unternehmen darf keine besonders schutzbedürftigen Daten übermitteln, beispielsweise keine Gesundheitsdaten. Außerdem muss ein Cloud-Anbieter mit Sitz in den USA die Anforderungen des Safe-Harbor-Programms einhalten, das heißt bestimmte Garantien hinsichtlich des Datenschutzes geben. Weiter verlangen die deutschen Datenschutzbeauftragten, dass das Unternehmen mit dem Cloud-Provider einen Vertrag über eine Auftragsdatenverarbeitung schließt, entsprechend den Grundsätzen des deutschen Rechts.

Um einen rechtskonformen Vertrag über die Nutzung einer internationalen Cloud zu schließen, ist eine Reihe von Prüfungen erforderlich. Zum einen muss das deutsche Unternehmen klären, ob dem Betroffenen, dessen Daten exportiert werden, durch Zugriffe in anderen Staaten konkrete Nachteile drohen. Das deutsche Unternehmen muss daher vor einem Vertragsschluss mit einem US-Anbieter untersuchen, welche Art von Zugriffen drohen, insbesondere aufgrund des Patriot Act, und welche Nachteile der Betroffene dadurch erleidet. Hier macht es einen Unterschied, ob die Zugriffe auf der Grundlage eines Gerichtsbeschlusses erfolgen oder durch einen National Security Letter des FBI. Unternehmen und Cloud-Provider sollten im Vertrag beispielsweise festlegen, in welchen Fällen der Cloud-Provider gegen einen NSL Rechtsschutz vor US-Gerichten sucht.

Eine weitere Prüfung betrifft die Einhaltung der Safe-Harbor-Grundsätze. Voraussetzung einer Datenübermittlung ist, dass das US-Unternehmen am Safe-Harbor-Programm des US-Handelsministeriums teilnimmt und die dortigen Datenschutzgrundsätze befolgt. In der Vergangenheit hat sich herausgestellt, dass einige Unternehmen zwar registriert waren, sich aber nicht an die Grundsätze hielten. Die deutschen Datenschutzbeauftragten verlangen daher, dass das deutsche Unternehmen sich nicht auf die bloße Registrierung des Cloud-Anbieters bei dem Handelsministerium verlässt, sondern selbst überprüft, wie er die Grundsätze einhält.

In manchen Fällen reicht es nicht aus, den Weg über das Safe-Harbor-Programm zu gehen. Das gilt, wenn der US-Anbieter die Cloud-Leistungen nicht vollständig allein erbringt, sondern noch weitere Rechenzentren nutzt. Hier ist es praktisch kaum möglich, bei jedem Beteiligten zu prüfen, ob er die Safe-Harbor-Grundsätze befolgt. Auch in solchen Fällen gibt es aber eine Lösung. Das deutsche Unternehmen schließt dann mit dem US-Cloud-Anbieter einen sogenannten EU-Standard-Vertrag. Außerdem verlangen die deutschen Datenschutzbeauftragten, dass das deutsche Unternehmen zusätzlich eine Vereinbarung entsprechend §11 BDSG schließt.

Mit vertraglichen Regelungen kann man sicherstellen, dass personenbezogene Daten rechtskonform verarbeitet werden. Es gibt aber einen Bereich, in dem dieser Schutz nicht reicht. Bestimmte Daten betreffen wichtige Geschäftsgeheimnisse des Unternehmens, beispielsweise Forschungs- oder Finanzdaten. Hier ist eine strikte Geheimhaltung erforderlich, um Industriespionage zu verhindern. Dabei hilft nur eine starke Verschlüsselung und eine Geheimhaltung des Schlüssels. Das bedeutet nach dem heutigen Stand der Technik allerdings, dass eine Verarbeitung dieser Daten ausgeschlossen ist. Die Möglichkeit, Berechnungen mit verschlüsselten Daten auszuführen, also eine homomorphe Verschlüsselung, steckt noch in den Anfängen.

Verschlüsselung kann auch eine Möglichkeit sein, personenbezogene Daten in der Cloud zu speichern. Wenn Daten verschlüsselt sind und das Unternehmen den Key für sich behält, verlieren die Daten ihren Personenbezug. Dann kann es sogar zulässig sein, besonders schutzbedürftige Daten wie Gesundheitsinformationen in der Cloud zu speichern. Natürlich geht dies nur unter strengsten Sicherheitsvorkehrungen. Ein aktueller Fall aus Schleswig-Holstein zeigt die Gefahren, hier waren vertrauliche Informationen psychisch kranker Patienten über das Internet zugänglich.

Die Äußerungen von Microsoft im Juni 2011 haben viele Schlagzeilen ausgelöst. Letztlich war die Erklärung aber ein Akt der Transparenz: Das Problem der Datenweitergabe ist nun bekannt, Unternehmen können darauf reagieren.

Deutsche Unternehmen haben mehrere Möglichkeiten, um personenbezogene Daten in der Cloud zu verarbeiten. Probleme mit dem Datenschutz lassen sich am einfachsten vermeiden, wenn das deutsche Unternehmen einen Cloud-Anbieter mit einer Auftragsdatenverarbeitung in einer EU/EWR-Cloud beauftragt. Will das Unternehmen die EU/EWR-Cloud eines Cloud-Providers mit Sitz in den USA nutzen, so muss es besonders auf klare Garantien im Vertrag achten (im Prinzip gilt das auch für EU-Anbieter, allerdings haben US-Anbieter größere Schwierigkeiten, solche Garantien zu geben) – Vorsicht an dieser Stelle vor „Schein-EU“-Clouds. Auch die Nutzung internationaler Clouds von US-Anbietern ist nicht ausgeschlossen, erfordert allerdings einiges an Nachforschungen und Geduld bei den Verhandlungen.

Der Patriot Act ist letztlich kein Grund, auf die Nutzung von US-Clouds zu verzichten. Wichtig ist vor allem, die Verträge sorgfältig zu verhandeln. Die „Orientierungshilfe“ der Datenschutzbeauftragten [1] gibt Unternehmen hier künftig mehr Rechtssicherheit. Sie gilt übrigens auch für bereits bestehende Verträge. Unternehmen sollten daher überprüfen, ob ihre geltenden Verträge die Anforderungen erfüllen. Damit lassen sich Beanstandungen, Bußgelder sowie Schadensersatzpflichten vermeiden. Am wichtigsten ist dies für deutsche SaaS-Anbieter, die IaaS-Angebote amerikanischer Provider nutzen. Nur wenn diese Verträge datenschutzkonform sind, kann der SaaS-Anbieter seinerseits seinen deutschen Kunden datenschutzkonforme Leistungen anbieten.

ist Rechtsanwalt und Notar im Berliner Büro der Kanzlei Graf von Westphalen.

[1] Orientierungshilfe – Cloud Computing; www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf

[2] Arnd Böken; Recht; Wege in die Wolke; Cloud-Strategien entwickeln und erfolgreich umsetzen; iX 4/2011, S. 115

[3] Arnd Böken; Recht; Bei Bedarf; „Software as a Service“ als Vertriebsweg; iX 5/2011, S. 90

Alle Links: www.ix.de/ix1201110

Mehr Infos

Wie sich die großen Cloud-Anbieter zum Datenschutz äußern

Zu der im Artikel geschilderten Problematik hat iX den großen Cloud-Anbietern einige Fragen vorgelegt. Gefragt wurde unter anderem, ob die Anbieter eine reine EU-/EWR-Cloud betreiben, welche Garantien die Anbieter den Kunden geben, ob die Rechenzentren vertraglich genannt sind und wie die Anbieter mit Anfragen von US-Behörden umgehen. Hier Auszüge aus den Antworten.

Die Firma Apple „kommentiert dies nicht im Detail“. Dell sieht „keinerlei Anlass für eine Stellungnahme gegeben, da das Unternehmen kein Rechenzentrum in Deutschland betreibt“.

Reine EU-/EWR-Clouds mit verschlüsselter Datenhaltung bietet nach eigener Aussage Fujitsu an. Da allerdings der Hypervisor in Japan betrieben und der Support von den Philippinen aus erbracht wird, hat das Unternehmen mit beiden Organisationseinheiten Verträge nach europäischem Datenschutzrecht geschlossen. Mit den Kunden schließt Fujitsu gemäß BDSG einen Vertrag zur Auftragsdatenverarbeitung, ein Mustervertrag findet sich unter dem iX-Link. Die Zuteilung der Rechenzentren erfolgt je nach Ursprungsort der Kundenanfrage, für EMEA-Kunden stammt der Service aus dem süddeutschen Rechenzentrum (Neuenstadt/Baden-Württemberg). In Bezug auf den Datenzugriff durch US-Behörden sieht sich das Unternehmen an die jeweilige Gesetzgebung des Landes gebunden, das die Leistung erbringt, und bestreitet einen Anspruch der US-Behörden auf etwa die Daten, die im deutschen Rechenzentrum liegen. Kunden werden über entsprechende Anfragen informiert, sofern das nicht gegen die Rechtsvorschriften des leistungserbringenden Landes verstößt. Eine Datenweitergabe aus europäischen Rechenzentren lehnt Fujitsu ab, dem Patriot Act unterliegen nach eigener Aussage nur die Daten seines in den USA befindlichen Rechenzentrums.

Auch HP betreibt nach eigener Aussage reine EU-/EWR-Clouds. Auf Wunsch kann eine Speicherung der Daten ausschließlich dort erfolgen, das Unternehmen informiert den Kunden über die genutzten Rechenzentren. Alle gemäß §11 des Bundesdatenschutzgesetzes (dieser regelt die Auftragsdatenverarbeitung) erforderlichen Vorgaben sind nach Angaben von HP in den Verträgen berücksichtigt. Nach Aussage des Anbieters hat es bisher keine Anfrage nach Kundendaten außerhalb der USA gegeben, weder auf der Basis des Patriot Act noch aufgrund eines National Security Letter. Das Unternehmen hält es für unwahrscheinlich, dass dieser Fall eintreten könne.

Microsoft garantiert keinen Verbleib von Daten in einer EU/EWR-Cloud, das hatte schon Gordon Frazer im Juni klargestellt. Das Unternehmen folgt nach eigenen Angaben der „Orientierungshilfe“ der Datenschutzbeauftragten zu außereuropäischen/internationalen Clouds und bietet zwei Varianten an. Zum einen arbeitet Microsoft mit EU-Standardverträgen und nimmt auch die von den Datenschutzbeauftragten geforderten Zusatzvereinbarungen auf. Zum anderen ist das Unternehmen nach Safe Harbor zertifiziert.

Auskunftsverlangen von US-Behörden auf Grundlage des Patriot Act oder anderen Rechtsgrundlagen prüft Microsoft auf die Rechtmäßigkeit. Im Fall der Rechtmäßigkeit werden die verlangten Auskünfte erteilt. In der Praxis beziehen sich Auskunftsverlangen in den meisten Fällen aber auf Consumer-Dienste, zum Beispiel E-Mail. Hinsichtlich der Cloud-Dienste ist die Zahl der Anfragen nach Auskunft von Microsoft nur sehr gering. Ein Blick in die Rechtsprechung zeigt übrigens, dass Microsoft den Schutz der Daten ausländischer Kunden durchaus ernst nimmt. Das Unternehmen hatte sich geweigert, in den USA gespeicherte E-Mails eines indischen Hotmail-Kunden herauszugeben und argumentiert, der Electronic Communications Privacy Act (ECPA) gelte auch zugunsten von Ausländern. Der zuständige US Court of Appeals for the 9th Circuit gab Microsoft Recht und wies die Klage auf Auskunft ab (Suzlon Energy vs. Microsoft Corporation, Urteil vom 3. 10. 2011).

Die Cloud-Anbieter Salesforce, IBM, Amazon und Google reagierten nicht auf die Anfrage.

(ur)