Überspringen zu Hauptinhalt

Patriot-Act hebelt „Safe Harbor“ aus – Zulässigkeit von Cloud-Diensten auf US-Servern

Die Verlagerung der IT in die Cloud gewinnt mehr und mehr an Bedeutung, kaum ein Unternehmen verzichtet noch auf den Einsatz von Cloud-Services.  Dies beschert zahlreiche Vorteile, die globale und grenzüberschreitende Dimension des Cloud-Computing bringt jedoch gerade auch rechtliche Probleme mit sich. Für deutsche Unternehmen gelten die strengen datenschutzrechtlichen Bestimmungen des BDSG. Personenbezogene Daten sind dadurch umfassend geschützt und dürfen nur unter sehr engen Einschränkungen an Dritte weitergegeben werden.
Da Cloud-Anbieter regelmäßig fremde Daten speichern, erheben oder verarbeiten, müssen Unternehmen diese entsprechend datenschutzrechtlich verpflichten und so sicherstellen, dass keine datenschutzrechtlichen Verstöße begangen werden. Dies kann zum Beispiel durch die Vereinbarung eines inhaltlich ausreichenden Auftragsdatenverarbeitungsvertrages  geschehen.
Soweit es sich bei dem Cloud-Anbieter um ein in der EUR oder EWR ansässiges Unternehmen handelt, können die deutschen Datenschutzvorschriften problemlos eingehalten werden, da in diesem Raum ein einheitlich hohes Datenschutzniveau herrscht. Wird der Cloud-Anbieter von dem Unternehmen entsprechend verpflichtet und überwacht, hat dieses seine datenschutzrechtlichen Pflichten erfüllt. Außerhalb von EU und EWR stellt sich die Situation jedoch anders dar. In vielen Ländern sind die Datenschutzvorschriften  weit weniger streng, so dass die Sicherheit der Daten beim Cloud-Anbieter nicht grundsätzlich gewährleistet sein kann. Deshalb ist es grundsätzlich verboten, personenbezogene Daten aus EU-Mitgliedsstaaten in Staaten zu übertragen, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen.

Sonderfall USA
Viele Unternehmen arbeiten intensiv mit Cloud-Anbietern aus den USA zusammen. Das Datenschutzniveau ist in den USA verglichen mit EU und EWR allerdings unzureichend, so dass die Datenübertragung nur mittels der zwischen EU und der USA getroffenen Vereinbarung „Safe Harbor“ möglich ist. Dieser Vereinbarung liegen die sog. „Safe Harbor Principles“ – datenschutzrechtliche Vorschriften- zugrunde. US-Unternehmen können dem Safe Harbor beitreten, indem Sie sich beim US-Handelsministerium eintragen lassen, und sich gleichzeitig verpflichten, die Safe Harbor Principles zu beachten. Die EU hat anerkannt, dass der Beitritt eines Unternehmens zum Safe Harbor einen ausreichenden Datenschutz ermöglicht. Die Übertragung von Daten an US-Unternehmen ist demnach nur zulässig, wenn diese dem Safe Harbor beigetreten sind.
Die Situation änderte sich jedoch, nachdem in Folge der Ereignisse des 11.September 2001 der sog. USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) verabschiedet wurde. Durch dieses Gesetz wird es dem FBI und anderen US-Behörden ermöglicht, ohne die Kontrolle von Gerichten an sensible Daten zu gelangen. So kann das FBI selbst einen sog. National Security Letter (NSL) erlassen.  Dieser verpflichtet  Internetprovider und auch Cloud-Anbieter, die gewünschten Daten zu übermitteln. Der Betroffene wird von dieser Maßnahme nicht informiert.
Die Reichweite des Zugriffsrechts beschränkt sich dabei nicht auf das Gebiet der USA. Maßgeblich ist allein, dass das betroffene Unternehmen seinen Sitz in den USA hat. Ist dies der Fall, können die Behörden auch auf Daten zugreifen, die das Unternehmen auf Servern im Ausland gespeichert haben.
Der USA PATRIOT Act hebelt somit den Safe Harbor faktisch aus.  Dabei hilft es auch nicht, wenn die Server eines US-Cloud-Anbieters auf dem Gebiet der EU stehen, da die US-Behörden auch auf diese Server Zugriff erhalten können. Sobald ein solcher Zugriff tatsächlich erfolgt, und personenbezogene Daten ausgelesen werden, stellt dies einen datenschutzrechtlichen Verstoß durch das für die Daten verantwortliche Unternehmen dar. In einem solchen Fall droht die Verhängung empfindlicher Bußgelder durch die datenschutzrechtliche Aufsichtsbehörde.
Es ist in jedem Fall empfehlenswert, einen Auftragsdatenverarbeitungsvertrag mit einem US-Cloud-Anbieter so streng wie möglich zu gestalten. Insbesondere sollte geregelt werden, dass die Daten den EU/EWR Raum nicht verlassen dürfen, und dass gegen einen NSL so weit wie möglich gerichtliche Hilfe ersucht wird. Trotzdem kann es nicht vollständig ausgeschlossen werden, dass ein Zugriff auf die Daten auf Grundlage das USA PATRIOT Act erfolgt.

Fazit
Deutsche Datenschützer halten deshalb US-Unternehmen als Cloud-Anbieter generell für unsicher und raten von einer Zusammenarbeit ab. Sollte sich ein Unternehmen dennoch für einen US-Cloud-Anbieter entscheiden, sollten die zugrunde liegenden Verträge genauestens geprüft werden, um Verstöße so effektiv wie möglich zu vermeiden. Unabhängig davon besteht die Möglichkeit, Daten nur verschlüsselt in die Cloud zu übertragen, um so einen Fremdzugriff zu vermeiden. Eine Verarbeitung der Daten ist dann jedoch nicht mehr möglich.
 

Bildnachweis: © Robert Kneschke – Fotolia.com

An den Anfang scrollen