Cloud Computing - US-Behörden lesen Daten mit

Keine guten Nachrichten für Cloud-Kunden - jedenfalls wenn sie Cloud-Services von einem US-amerikanischen Cloud-Provider beziehen. Ein Managing Director von Microsoft in England hat bei der Vorstellung der Microsoft-Cloud-Lösung Office 365 eingeräumt, dass sein Arbeitgeber auf Anforderung die Daten seiner Cloud-Kunden an das FBI oder andere US-Behörden weitergeben muss.

Im Ernstfall wird wohl nicht nur Microsoft die Daten seiner Kunden weiterreichen. Alle amerikanischen Cloud-Anbieter unterliegen dem USA Patriot Act und können sich dessen Regelungen nicht entziehen. Dazu kommt: Wenn die amerikanischen Behörden den Cloud-Provider zum Schweigen verpflichten, wird der Kunde nie davon erfahren, dass auf seine Daten zugegriffen wurde.

"Wir können diese Garantie nicht geben"

Damit wird jetzt eine Diskussion neu entfacht, die schon länger schwelte. Bisher hatten Marktkenner und Analysten vielfach dazu geraten, beim Abschluss von Cloud-Verträgen mit außereuropäischen Anbietern verbindlich zu vereinbaren, wo die Daten verarbeitet werden. So könnten sie sicherstellen, dass - zumindest personenbezogene - Daten in einem Rechenzentrum (RZ) in Deutschland oder doch in Europa verarbeitet werden. Das sollte im Hinblick auf die deutschen Datenschutzgesetze, die traditionell erheblich strenger sind als in anderen Ländern, rechtliche Sicherheit gewährleisten.

Diese Ratschläge dürften sich als nutzlos erweisen: Bei der Vorstellung der Microsoft-Cloud-Lösung Office 365 hatte Gordon Frazer, Managing Director von Microsoft in England, auf Nachfrage eines Journalisten eingeräumt, dass Microsoft letztlich keine Garantie dafür abgeben kann, dass die Kundendaten nicht weitergegeben werden. Skeptiker hatten immer wieder auf die unsichere Rechtslage hingewiesen. Neu ist lediglich, dass erstmals ein hochrangiger Manager eines Cloud-Providers die Konsequenzen in dieser Deutlichkeit ausspricht.

"Wir können diese Garantie nicht geben - und das kann auch kein anderes Unternehmen mit Hauptsitz in den USA", erklärte Frazer. Schließlich müsse Microsoft sich als US-amerikanisches Unternehmen an die amerikanischen Gesetze halten. Und das gelte auch für alle internationalen Niederlassungen - und die dort gespeicherten Daten ausländischer Kunden. Zwar versicherte der britische Microsoft-Statthalter, dass Kunden im Falle einer Datenweitergabe informiert würden, wann immer dies möglich sei. Aber auch das könne er nicht verbindlich zusagen. Wenn die amerikanischen Behörden Stillschweigen nach dem sogenannten "US National Security Letter" anordneten, müsse auch eine Information der Kunden unterbleiben.

Nach Einschätzung von Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD), stellt eine derartige Datenweitergabe aus dem Gebiet der EU einen Widerspruch zu europäischem Datenschutzrecht dar. Er schätzt die Rechtslage so ein, dass das Risiko der Datenweitergabe die Vertraulichkeit der - in diesem Fall - auf Microsoft-Servern gehosteten Daten und Anwendungen infrage stelle und bestehenden Verträgen zur Datenverarbeitungsdienstleistung die Grundlage entziehe. Das schließe nach seiner Einschätzung Anbieter wie den Office-365- und Windows-Azure-Anbieter Microsoft als Kandidaten für personenbezogene IT-Dienstleistungen aus und begründe sogar ein Sonderkündigungsrecht.