Cloud Computing - US-Behörden lesen Daten mit

Amerikanische Cloud-Provider in der Zwickmühle

Kunden amerikanischer Cloud-Provider bringt das nicht nur im Hinblick auf die Einhaltung von Datenschutzbestimmungen in eine schwierige Situation. Die wenigsten wird es beruhigen, dass es ausschließlich amerikanische Behörden sind, die Zugriff auf ihre Daten erhalten. Dass der große amerikanische Bruder auch mitlesen kann, wenn es etwa um geistiges Eigentum wie Blaupausen und Konstruktionszeichnungen oder auch um Unterlagen für internationale Ausschreibungen geht, dürfte vielen Managern die Haare zu Berge stehen lassen.

Amerikanische Cloud-Provider geraten damit in eine rechtliche Zwickmühle. Andreas Stein, Managing Director von Dells Services-Sparte, kommentierte dies gegenüber Heise-Online so: "Cloud-Anbieter befinden sich in einem Dilemma, sie können sich nur aussuchen, gegen welche Regelungen sie verstoßen: gegen die US-Bestimmungen oder gegen die hiesigen Datenschutzbestimmungen." Denn auf der einen Seite müssen sie ihren deutschen Kunden die Einhaltung der gesetzlichen Regelungen in Deutschland zusagen, auf der anderen Seite unterliegen sie dem USA Patriot Act, der sie im Ernstfalle zwingt, eben diese Regelungen zu verletzen.

Ist dies das Ende für Cloud Computing? Wohl nicht. "Den tatsächlichen Nutzen von Cloud Computing beeinträchtigt die amerikanische Rechtslage nicht", schreibt Joseph Reger, CTO von Fujitsu Technologie Solutions, in einem Kommentar. "Allerdings ruft es uns nur einmal mehr ins Gedächtnis, dass bei aller berechtigten Euphorie für die Cloud eines nicht aus dem Fokus geraten darf: eine sorgfältige Prüfung im Vorfeld eines Servicevertrags." Dabei gelte es, sich ganz genau über den möglichen Provider und seine Bedingungen zu informieren und auch das Kleingedruckte zu lesen. Nur so könnten Unternehmen mögliche Folgen abschätzen - und Risiken entweder eliminieren oder eben in Kauf nehmen.

Seine Schlussfolgerung: "Europäische Unternehmen, die ihre Daten vor dem Zugriff von US-Behörden schützen wollen, bleibt nur eine Möglichkeit: sich für einen Anbieter zu entscheiden, der eben nicht dem USA Patriot Act unterliegt." In diese Kerbe schlägt auch der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert: Auch er rät Unternehmen, sich bei der Nutzung von Cloud-Diensten für personenbezogene Daten ausschließlich auf rein europäische Service-Provider zu beschränken.

Also das Aus für amerikanische Cloud-Anbieter in Europa? Zumindest kann zurzeit wohl niemand mit gutem Gewissen einem Unternehmen zu Cloud-Services eines amerikanischen Anbieters raten - jedenfalls wenn es um personenbezogene Daten oder geistiges Eigentum geht. Dabei sind es die amerikanischen Cloud-Provider, die zu allererst auf eine Klärung der Rechtslage und eine Lösung des Dilemmas drängen sollten. Denn für HP, Microsoft, IBM, Amazon, Google oder auch Salesforce.com, bei denen das gesamte Geschäftsmodell oder doch große Teile davon auf Cloud Computing basieren, dürfte es kaum eine Alternative sein, sich mit ihren Cloud-Services aus der EU zurückzuziehen.

Darüber, wie eine rechtlich saubere Lösung aussehen könnte, wird vielfach spekuliert. Ob es amerikanischen Unternehmen möglich ist, rechtlich unabhängige europäische Tochterunternehmen zu gründen, die nicht dem USA Patriot Act unterliegen ist ebenso umstritten wie vertragliche Regelungen, die Cloud Services als "Auftragsdatenverarbeitung" deklarieren.