Cloud Computing - US-Behörden lesen Daten mit

Cloud-Standardverträge erfüllen nicht EU-Anforderungen

Rechtsanwalt Arnd Böken von der Berliner Kanzlei Graf von Westphalen etwa vertritt im Handelsblatt folgende These: Wird vertraglich die Auftragsdatenverarbeitung in einer "EU-Cloud" vereinbart - das heißt ausschließlich an europäischen RZ-Standorten -, bleibe der Cloud-Kunde alleiniger Herr der Datenverarbeitung. Der Cloud-Provider werde dann lediglich im Auftrag und auf Weisung tätig. Ebenso wie die meisten europäischen Cloud-Provider böten auch einige amerikanische Cloud-Provider solche EU-Clouds an.

"Verfügt das deutsche Unternehmen über einen solchen Vertrag, ist eine Weitergabe von Daten durch den Cloud-Provider an US-Behörden ausgeschlossen", schreibt Anwalt Böken. Ein Zugriff von US-Behörden auf die Daten sei dann nur im Wege der Rechtshilfe über eine europäische Behörde möglich. Die Standardverträge vieler US-Anbieter erfüllten allerdings diese Anforderungen des deutschen Rechts an die Auftragsdatenverarbeitung nicht.

Zwar mag dieses Vorgehen für europäische Unternehmen eine gewisse Sicherheit im Hinblick auf die deutschen und europäischen Gesetze bringen. Ob diese rechtliche Einschätzung im Ernstfall Bestand hat und amerikanische Behörden diese teilen, wird sich jedoch möglicherweise niemals erweisen. Denn ob Zugriffe auf die Daten europäischer Kunden stattfinden oder sogar schon stattgefunden haben, unterliegt eben auch der Geheimhaltung, wenn die amerikanischen Behörden das anordnen. (mec)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO.