EU soll Zugang zu Cloud-Daten für Strafverfolger klären

Der EU-Datenschutzbeauftragte Peter Hustinx hat klare Kriterien für den Zugriff auf Informationen in der Cloud durch Sicherheitsbehörden aus Drittstaaten eingefordert. Zugangsanfragen ausländischer Strafverfolger "werfen spezifische Datenschutzprobleme auf", schreibt der Experte in einer am Freitag veröffentlichten Stellungnahme (PDF-Datei) zur Cloud-Strategie der EU-Kommission. Es müsse verhindert werden, dass die Garantien für die Sicherung der Privatsphäre der EU-Bürger dabei "bedeutend geschwächt oder ignoriert werden".

Die Anbieter von Diensten zur Datenverarbeitung in Rechnerwolken seien in einigen Ländern gezwungen worden, von Kunden gespeicherte Bits und Bytes an nationale Ermittler und Geheimdienste herauszugeben, führt Hustinx aus und verweist dabei in einer Fußnote auf entsprechende Praktiken in den USA. Dies habe allgemeine Befürchtungen auch rund um die Sicherheit der in die Cloud gegebenen Daten genährt. Es werde davon ausgegangen, dass einige Provider dazu verpflichtet würden, zu diesem Zweck auch spezielle Ausrüstung oder Hintertüren bereit zu halten, um externe Zugriffe zu erleichtern.

Cloud-Anbieter könnten sich so zwischen verschiedenen rechtlichen Anforderungen zum Datenschutz und zur Herausgabe von Informationen gefangen sehen, heißt es in dem Papier. Sie müssten aber auf jeden Fall die europäischen Bestimmungen zur Sicherung der Privatsphäre beachten, wenn sie ihre Dienste Kunden auf dem alten Kontinent unterbreiteten. Für einen Transfer von Daten sollte zudem eine angemessene Rechtsgrundlage bestehen, die den Betroffenen gegebenenfalls auch den Klageweg eröffne. Entsprechende Vorgaben müssten in internationalen oder bilateralen Vereinbarungen wie Handelsabkommen zusammen mit Kontroll- oder gar Einspruchrechten der Aufsichtsbehörden festgeschrieben werden.

Hustinx verlangt so die Aufnahme einer speziellen Klausel in die geplante Datenschutz-Grundverordnung, in der entsprechende Bedingungen umrissen werden. Integriert werden müsse eine Auflage für die Empfänger von Auskunftsersuchen, die zuständige staatliche Datenschutzeinrichtung darüber zu informieren und Rücksprache mit ihr zu halten. Cloud-Anbieter werden aufgerufen, schon in ihren Geschäftsbedingungen darzulegen, wie sie mit Anfragen von Sicherheitsbehörden umzugehen gedenken. Innerhalb Europas sei bereits klar, dass die dortigen Datenschutzgesetze in jedem Fall beachtet und die nachträgliche Kontrolle durch Gerichte und die Aufsichtsinstanzen zu eröffnet werden müsse.

Entscheidend bleibt laut Hustinx der Ort, an dem die Daten gelagert werden. Cloud Computing führe zu einem verstärkten Austausch personenbezogener Daten über Netzwerke zwischen verschiedenen beteiligten Parteien und über Grenzen hinweg. Informationen würden oft mehrfach an verschiedenen Orten vorgehalten, um den Zugriff einfacher zu halten. Es sei daher in einigen Fällen nötig, im Vorfeld die Auswirkungen auf den Datenschutz abschätzen zu lassen. Gebraucht würden weitere Anleitungen dazu, wie Sicherungsmaßnahmen in der Praxis zu gewährleisten und entsprechende verbindliche unternehmensinterne Vorschriften angewandt werden. (jo)