Trusted Cloud: Amazon, Google & Co. fordern Grenzen für staatlichen Datenzugriff

Die IT-Konzerne Amazon, Google, Microsoft, IBM, Cisco, SAP, Salesforce/Slack, und Atlassian drängen als Gründer der Trusted-Cloud-Initiative auf klarere globale Regeln für den Zugriff von Sicherheitsbehörden auf Daten in der Cloud.

"Regierungen haben ein legitimes und wichtiges Interesse daran, die Sicherheit ihrer Bürger zu schützen", schreiben die Mitglieder in einer Prinzipienerklärung. In einigen Fällen versuchten sie aber, auf der Basis von Gesetzen Zugang zu Daten zu erhalten, "die die Menschenrechte und die Rechtsstaatlichkeit nicht angemessen schützen" und in Konflikt zueinander stehen.

"Als Unternehmen, die weltweit Dienstleistungen anbieten, erkennen wir auch das Recht auf Privatsphäre gemäß den internationalen Menschenrechtsgesetzen an", betont das Bündnis, dem die größten Cloud-Anbieter weltweit angehören. Die Firmen beteuern, den Schutz und die Sicherheit der ihnen anvertrauten Daten "in allen Rechtsordnungen" durch juristische und technologische Maßnahmen wie Verschlüsselung zu gewährleisten. Alle Regierungen müssten bei Gesetzen für das Zeitalter der Rechnerwolken aber ebenfalls bestimmte grundlegende Schutzvorkehrungen anerkennen.

Internationaler Rechtsrahmen für Datenzugriffe

Ziel der Initiative ist es, mit Politikern weltweit zusammenzuarbeiten, "um internationale Rechtskonflikte zu lösen, die Innovation, Sicherheit und Datenschutz behindern". Die Mitglieder wollen so Gesetze unterstützen, "die es Regierungen ermöglichen, Daten in einem transparenten Verfahren anzufordern". Dabei müssten "international anerkannte Rechtsstaatlichkeits- und Menschenrechtsstandards" eingehalten werden.

Sie fordern einen internationalen Rechtsrahmen, um Konflikte rund um Datenzugriffe, das Recht auf Privatheit und die nationale staatliche Souveränität zu lösen. Wichtig sei es auch, Transparenzberichte zu veröffentlichen, "in denen die Gesamtstatistiken zu den Datenanfragen der Behörden aufgeführt sind".

Strafverfolger sollten sich zunächst in der Regel an die Kunden selbst wenden, lautet ein Appell der Gruppe. An Cloud-Dienstleister heranzutreten, müsse "außergewöhnlichen Umständen" vorbehalten bleiben. In solchen Ausnahmefällen sollten die Nutzer zudem vorab über eine geplante Datenabfrage informiert werden, um sich gegebenenfalls rechtlich dagegen wehren zu können.

Nötig sei ferner ein klares Verfahren für die Anbieter, mit dem sie staatlichen Zugangsanfragen widersprechen können, heißt es weiter in den Ende voriger Woche veröffentlichten Grundsätzen. Die zuständigen Datenschutzbehörden sollten informiert werden dürfen. Regierungen empfiehlt die Allianz zudem, grenzüberschreitende Datenflüsse "als Motor für Innovation, Effizienz und Sicherheit" anzusehen und nationale Speicherauflagen zu vermeiden.

Standards und E-Evidence-Verordnung

Wenige Tage zuvor hatten sich Amazon Web Services, Google, IBM, Microsoft und andere Tech-Firmen mit dem Brachenverband EDM Council auf ein Rahmenwerk für "Cloud Data Management Capabilities" (CDMC) verständigt. Dabei geht es vor allem um Standards für die Klassifizierung, den Einsatz und den Schutz von Daten in Rechnerwolken.

Die EU-Gremien arbeiten derzeit an einer "E-Evidence-Verordnung", mit der europäische Polizei- und Justizbehörden bald nahezu weltweit direkt bei Diensteanbietern elektronische Beweismittel aus der Cloud anfordern können sollen. Das Vorhaben ist heftig umstritten, neben Bürgerrechtlern und EU-Abgeordneten hat auch die Bundesregierung starke Bedenken.

Parallel verhandelt die EU-Kommission mit der US-Regierung über eine Übereinkunft zum Datenzugriff. Aktuell verhindert nach Ansicht des Europäischen Gerichtshofs unter anderem der in den Vereinigten Staaten bereits bestehende Cloud Act den Transfer persönlicher Informationen in die USA auf Basis von Abkommen wie dem Privacy Shield. Hierzulande hatte das Bundeswirtschaftsministerium schon 2016 mit einer eigenen Trusted-Cloud-Plattform die Entwicklung eines Datenschutzzertifikats für einschlägige Dienste angestoßen.

(olb)