Studie: US-Behörden können umfangreich auf Cloud-Daten zugreifen

US-Gesetze wie der Patriot Act bieten "weitreichende Möglichkeiten" für Justiz, Polizei oder Geheimdienste der Vereinigten Staaten, um die Herausgabe von Daten in der Cloud zu verlangen und europäische Schutzbestimmungen zu umgehen. Zu diesem Ergebnis kommt eine aktuelle Studie des Instituts für Informationsrecht der Universität Amsterdam. Für einen direkten Zugriff reiche es aus, wenn ein Anbieter seinen Sitz in den USA habe, wie es bei Amazon, Apple, Google oder Microsoft der Fall ist, oder mit Partnern jenseits des Atlantiks Geschäftsbeziehungen "ständiger oder systematischer Natur" pflege. Es sei ein Irrglaube, dass Daten dafür direkt auf Servern in den Vereinigten Staaten gelagert werden müssten.

Berichte über Zugangstüren für US-Behörden auch zu europäischen Cloud-Behörden hatte es voriges Jahr bereits gegeben. Der Microsoft-Manager und Rechtsexperte Severin Löffler hatte die dadurch ausgelöste Debatte vor Kurzem aber als "Scheindiskussion" bezeichnet und von einer gezielt in Umlauf gebrachten "Mär mit dem Patriot Act" gesprochen. Das US-amerikanische Anti-Terror-Gesetz erlaube einen Zugang zu Bits und Bytes in den Rechnerwolken nur unter "ganz engen Voraussetzungen".

Vor allem für die US-Geheimdienste "gibt es wenig substanzielle Barrieren", die sie am Abgreifen von Informationen in der Cloud hinderten, schreiben die niederländischen Forscher dagegen. Das beziehe sich nicht nur auf Verdächtige, sondern etwa auch auf Kontaktpersonen. Die Befugnisse seien auch nicht nur im Patriot Act festgeschrieben. Vielmehr biete das US-amerikanische Anti-Terror-Gesetz von 2001 einen Rahmen für Kompetenzen, die in anderen Bestimmungen wie dem Foreign Intelligence Surveillance Act (FISA) enthalten und bereits mehrfach ausgedehnt worden seien. Das der Untersuchung zufolge sehr weit auslegbare Gesetz erlaubt es unter anderem der National Security Agency (NSA), im Rahmen der "Auslandsaufklärung" zur Terrorabwehr ohne richterliche Genehmigung Telefonate abzuhören, E-Mails oder andere digitale Kommunikation abzufangen.

Naturgemäß sei es nicht möglich, Einsicht in die tatsächlichen Datenanfragen und -zugriffe zu erhalten, heißt es in der Studie. Cloud-Anbieter dürften entsprechende Informationen nicht herausgeben. Es sei aber davon auszugehen, dass entsprechende Anfragen von Behörden zunähmen. Dies sei aus europäischer Perspektive besonders besorgniserregend, da es kaum Datenschutzbestimmungen für Bürger anderer Länder in den USA gebe. Der 4. Zusatzartikel zur US-Verfassung etwa schütze allein US-Bürger vor unverhältnismäßigen Beschattungsmaßnahmen durch staatliche Stellen. Europäische Gesetze zum Schutz der Privatsphäre der EU-Bürger wiederum böten keine Abwehrmöglichkeit, solange US-Regeln einen direkten Zugang zu den Cloud-Daten eröffneten. Das entsprechende "Risiko" könne auch nicht durch vertragliche Zusatzvereinbarungen abgemildert werden, da diese gegen Befugnisse von Sicherheitsbehörden nicht griffen.

Auch wenn ein Anbieter nicht der US-Gesetzgebung unterliege, könnten Strafverfolger oder Geheimdienste über gängige Rechtshilfeverfahren an gewünschte Daten herankommen, arbeitet die Analyse heraus. Dabei müssten aber im Fall Hollands die nationalen beziehungsweise europäischen Datenschutzvorgaben sowie allgemeine Rechtsbestimmunen wie das der Verhältnismäßigkeit beachtet werden. Direkte Zugriffsmöglichkeiten bestünden nicht.

Die Verfasser des Reports empfehlen ihrem Auftraggeber, eine IT-Vereinigung niederländischer Hochschulen, auf Basis der Ergebnisse eine gründliche Risikoanalyse mit der Klassifizierung verschiedener Datentypen durchzuführen. Sollten sich Einrichtungen für die Dienste von Cloud-Anbietern entscheiden, die auch nicht mittelbar dem US-Recht unterliegen, sei eine Vertragsklausel sinnvoll, die eine sofortige Kündigung etwa im Fall einer Übernahme durch einen anderes Unternehmen erlaubten. Auch technische Maßnahmen etwa zum gezielten Aufteilen sensibler Datenbestände oder zum Verschlüsseln könnten helfen. Es sei aber darauf zu achten, dass die Verarbeitungstechniken noch für normale Nutzer handhabbar sein müssten. (jk)