Datenschutz in China, Indien und USA

Vorsicht vor Clouds im Ausland

Wer seine Daten in die Cloud auslagern will, sollte sich vorher über die Standorte der Datenzentren von den Dienstleistern informieren. Denn wie ist es um den Datenschutz in China, Indien und den USA bestellt? Mäßig bis schlecht, wenn Daten in die Cloud verlagert werden!

Wie sicher sind meine - personenbezogenen - Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Kann ich überhaupt meinen Pflichten als in datenschutzrechtlicher Hinsicht verantwortliche Stelle in vollem Umfang nachkommen? Diese Fragen stellen sich vor allem diejenigen Unternehmen, die ihre Daten schon in die Cloud verschoben haben oder dies beabsichtigen. Dies gilt insbesondere, nachdem im Sommer 2011 nun auch "offiziell" bekannt wurde, dass beispielsweise US-Behörden nach dem so genannten Patriot Act auf Cloud-Daten europäischer Unternehmen zugreifen können.

Datenschutzrechtlicher Hintergrund

"Anwender dürfen Cloud-Services nur dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutzanforderungen und Informationssicherheitsanforderungen geprüft haben. Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzenden Anforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung", lautet die offizielle Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, die am 28. und 29. September 2011 in München stattfand.

Diese von den Datenschützern postulierten Anforderungen sind allerdings insbesondere dann nicht mehr einzuhalten, wenn sich Anwender für Cloud-Angebote mit internationalen Verflechtungen entscheiden, weil sie sich dann unversehens ausländischen Rechtsordnungen gegenüber sehen. Damit kann etwa die Situation entstehen, dass der Cloud-Provider ausländischen Behörden Zugriffsrechte einräumen oder Daten in unsichere Drittstaaten übermitteln muss (Übermittlungsobliegenheit).

Unsichere Drittstatten sind datenschutzrechtlich die Länder außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR; das sind die EU-Länder plus Norwegen, Island und Liechtenstein), bei denen laut EU-Kommission kein angemessenes Datenschutzniveau herrscht.