Studie: US-Cloud-Überwachung steht EU-Datenschutzreform im Weg

Das geplante Datenschutzpaket der Europäischen Union kann den zunehmenden Kontrollverlust von EU-Bürgern über ihre Daten nicht stoppen. Das sagte der ehemalige Microsoft-Datenschützer Caspar Bowden anlässlich der Vorstellung einer Studie (PDF-Datei) des Centre d'Etude sur les Conflits (C&C) und des Centre for European Policy Studies (CEPS) zu Strafverfolgung und Datenschutz in der Cloud. Bowden wies die Mitglieder des Innen- und Bürgerrechtsausschusses im Europaparlament auf das tückische Zusammenspiel des Datentransfers in die Cloud und extremer US-Überwachungsgesetze hin. Insbesondere der Paragraph 1881a des Foreign Intelligence Surveillance Acts (FISA) erlaube es, Daten von EU-Bürgern massenhaft zu sammeln. Datenschützer und EU-Kommission müssten deutlich mehr tun, forderte Bowden.

Die Forscher hatten bereits vor ihrer Präsentation am Mittwoch unter den Europaparlamentariern heftige Reaktionen hervorgerufen. Sie zeichnen in der Studie, die die Parlamentarier für ihren Bericht zur Kommissionsmitteilung (PDF-Datei) zum Cloud-Computing hatten anfertigen lassen, ein düsteres Bild. Das Überwachungsrisiko durch US-Behörden ist demnach wesentlich gravierender als negative Folgen einer speziell durch die Cloud – laut den Forschern eigentlich keine wirklich neue Technik – verstärkten Kriminalität.

"Wir sprechen hier nicht mehr von Datenabfragen oder festgelegten Zugangsrechten zu Daten", sagte Bowden. Vielmehr gehe es um einen dauerhaften Strom aller Daten über systematisch in die Infrastruktur von US-Cloudanbietern eingebaute "Installationen". Bereits 2011 bekannten Microsoft und Google, dass sie Datenverkehr aus ihren Rechenzentren grundsätzlich an US-Behörden ausleiten müssen.

Bowden, der sich als in Brüssel als Datenschutzanwalt bezeichnete, meinte, weder die zwischen den USA und der EU ausgehandelten Abkommen zum Bankdatentransfer, noch eine Erklärung von der Artikel-29-Gruppe der EU-Datenschützer vom vergangenen Sommer schaffe Abhilfe. Die Artikel-29-Gruppe hatte gemeinsame Abkommen zwischen beiden Staaten zur unabdingbaren Voraussetzung für den jeweiligen Datentransfers erklärt. Weil beide Seiten aber FISA und den Patriot ACT als Grundlagen anerkannten, helfe das nichts. Aus dem geplanten Generalabkommen zwischen EU und den USA zum Datenschutz wollten andererseits die US-Unterhändler die Datentransfers zwischen privaten Firmen heraushalten – so reißt der Strom in die Datenkabinette großer Rechenzentren in den USA nicht ab.

Von den Parlamentariern im LIBE-Ausschuss nach Empfehlungen gefragt, nannte Bowden als möglichen Schritt, eine reine EU-Cloud zu fördern. Überdies solle an dem Beispiel der Datenschützer in Schleswig-Holstein folgen, die gefordert hatten, Cloud-Nutzer aufzuklären. Wo US-Cloud drinsteckt müsste es einen großen Warnhinweis geben: "Mit der Nutzung dieses Cloud-Dienstes verlassen sie den Rechtsraum der Europäischen Union".

Die Forscher kritisierten, dass das neue Europäischen Cybercrime Center bei Europol angesiedelt werden soll, für das die künftige Datenschutzregulierung nicht gelte. Außerdem müssten EU-weit klare Definitionen für den Verantwortlichen, den Verarbeiter und den Nutzer der Clouddaten gefunden werden. (anw)