To cloud or not to cloud
Cloud-Computng und Datenschutz sind bislang kaum kompatibel. Auch die neuesten Empfehlungen der Datenschutzbeauftragten sind da nur begrenzt hilfreich.
- Jürgen Seeger
Schon zum zweiten Mal in diesem Jahr ist Cloud Computing Titelthema der iX. Hier von einem Hype zu reden, wirkt beinahe noch untertrieben – man kann sich vor Cloud-Konferenzen, -Büchern, -Produkten et cetera nicht retten, kaum ein Service, der nicht ab sofort, spätestens ab morgen cloud-ready ist.
Dabei herrscht vor allem in Sachen Datenschutz und Cloud alles andere als Klarheit. Wie wir bereits in Ausgabe 8/2011 berichteten, können US-Behörden auch auf in Europa gespeicherte Daten zugreifen, wenn der Cloud-Betreiber in den USA ansässig ist. Das hatte der britische Microsoft-Direktor anlässlich der Einführung von Office 365 eingeräumt, auch Google musste schon Daten herausgeben.
„In den USA ansässig“ muss dabei nicht unbedingt etwas mit formalen Konstruktionen, etwa „Hauptsitz der Firma“, zu tun haben, wie 2008 die Schweizer UBS lernen musste. Als sie getreu dem Schweizer Recht die Daten amerikanischer Kunden nicht an die US-Behörden übergeben wollte, drohten diese mit einem Strafverfahren gegen die Großbank in den USA.
Die zugesagte Herausgabe der Daten führte wiederum zu rechtlichen Problemen in der Schweiz, die UBS befand sich in einer juristischen Zwickmühle. Letztendlich erhielten die US-Behörden die Daten – wer will schon auf den lukrativen US-Markt verzichten.
Nun haben die deutschen Datenschutzbeauftragten auf ihrer 82. Konferenz vor US-Clouds gewarnt. Sie empfehlen, per Vertrag unter anderem festzulegen, dass personenbezogene Daten den europäischen Wirtschaftsraum nicht verlassen dürfen, sich der Cloud-Anbieter unter EU-Recht stellen und die deutschen Datenschutzrichtlinien sowie das Safe-Harbor-Abkommen anerkennen solle.
Warum nun bei den Cloud-Anbietern gespeicherte Daten durch solche Schriftsätze besser vor dem Zugriff der US-Behörden geschützt sein sollen als die Kontendaten der UBS, bleibt das Geheimnis der Datenschutzbeauftragten. Vielleicht bieten die empfohlenen Verträge den deutschen Kunden die Möglichkeit, ihren Cloud-Dienstleister im Nachhinein rechtlich zu belangen, wenn die Daten kompromittiert sind. Eine Vertraulichkeit der Daten bieten sie nicht.
Und zum Safe-Harbor-Abkommen kam eine Untersuchung im Auftrag des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein Anfang des Jahres zu dem Ergebnis, dass diese Vorschriften das Papier nicht wert sind, auf dem sie gedruckt wurden.
Das macht den Realitätssinn von Cloud-Betreibern wie Google und Microsoft schon beinahe wieder sympathisch. Die forderten im Rahmen von EU-Konsultationen „flexiblere Regeln“ für die Datenspeicherung und -übermittlung.
PS: Wir haben unsere Website www.ix.de renoviert. Schreiben Sie uns, was Ihnen gefällt und was nicht. (js)
