USA haben Zugriff auf europäische Cloud-Daten

Wer hat Zugriff auf meine Daten in der Cloud? Diese Frage beantworten Cloud-Anbieter in der Regel mit einer Kaskade beruhigender Floskeln. Nicht so Microsoft-Manager Gordon Frazer. Direkt darauf angesprochen antwortete er offen: Legalisiert durch den US-Patriot-Act haben US-Behörden Zugriff auf Daten in der Cloud – auch wenn diese innerhalb der Europäischen Union gespeichert sind.

Gordon Frazer. Quelle: Microsoft.
Gordon Frazer. Quelle: Microsoft.

Während der Präsentation von Microsofts neuem Cloud-Angebot Office 365 in London, war Frazer – Microsofts Managing Director für Großbritannien – explizit nach dem Umgang des Konzerns mit Cloud-Daten aus der EU befragt worden.

Wörtlich wollte ein Teilnehmer wissen: “Kann Microsoft garantieren, dass europäische Daten, die in Datenzentren innerhalb Europas abgelegt sind, den EU-Raum unter keinen Umständen verlassen – auch dann nicht, wenn Microsoft gemäß des Patriot Act dazu aufgefordert würde?”

Microsoft sei ein US-basiertes Unternehmen, sagte Frazer daraufhin und habe sich als solches an die lokalen Gesetze zu halten. Man würde aber “die Kunden informieren, wann immer es möglich ist”. Eine Garantie dafür gebe es aber nicht – beispielsweise wenn eine Anweisung von US-Behörden dies verbiete.

Frazer wörtlich: “Microsoft kann diese Garantien nicht geben. Noch kann das ein anderes Unternehmen.”

Tatsächlich ist im Patriot Act auch eine Schweigeverpflichtung vorgesehen. Diese betrifft alle Unternehmen und Organisationen, die zur Herausgabe von Daten aufgefordert werden.

Präsident George W. Bush unterzeichnet den USA PATRIOT Act im Weißen Haus am 26. Oktober 2001. Quelle: Wikipedia.
Präsident George W. Bush unterzeichnet den USA PATRIOT Act im Weißen Haus am 26. Oktober 2001. Quelle: Wikipedia.

Beobachter des Cloud-Trends haben in der Vergangenheit immer wieder auf den Patriot Act und seine Bedeutung für Cloud-Umgebungen hingewiesen. Doch es ist das erste Mal, dass Microsoft – oder überhaupt ein großer Cloud-Anbieter – die Konsequenzen so offen und deutlich ausspricht.

Die USA hatten diese Anti-Terror-Gesetze nach den Anschlägen von 11. September 2001 eingeführt. Vor wenigen Wochen hatte der US-Kongress einer Verlängerung um weitere vier Jahre zugestimmt. Das Gesetzespaket erlaubt US-Behörden die Überwachung von Kommunikationsmitteln. Persönliche und geschäftliche Daten von vermeintlich verdächtigen Personen können beschlagnahmt werden. Dass sich Cloud-Anbieter wie Amazon, Apple oder Google dem entgegenstellen können, galt schon immer als unwahrscheinlich.

Cloud-Kritiker werden sich nach Frazers offenen Worten noch einmal bestätigt fühlen. Nicht wenige Firmen haben sich in den vergangenen Monaten gegen die Auslagerung ihrer Daten in die Cloud entschieden – eben weil sie sich fragen, ob Cloud und Compliance vereinbar sind.

“Wir wollen unsere zentralen Anwendungen, vor allem unsere Daten selbst unter Kontrolle behalten, schon allein weil wir sie auch mit Data-Mining Tools analysieren”, formulierte ein IT-Entscheider einer internationalen Versicherung kürzlich seine Bedenken zu Cloud Services. “Als Versicherer stehen wir mit Compliance und Data Protection vor zwei riesigen Herausforderungen.”

Rechtsexperten wie Dr. Jan Geert Meents von der Kanzlei DLA Piper beruhigen jedoch. “Cloud Computing und Compliance widersprechen sich grundsätzlich nicht”, schreibt er in der silicon.de-Rechtskolumne.

Problematisch sei jedoch Cloud Computing, bei dem die Speicherung personenbezogener Daten außerhalb der EU stattfinde. Dieser Fall erfordere weitere rechtliche Maßnahmen, um die gesetzlichen Anforderungen einhalten zu können. Wie genau diese Maßnahmen ausschauen müssen, hängt von vielen Faktoren ab, die für jedes Unternehmen unterschiedlich sein können. Hier helfen nur maßgeschneiderte Lösungen. Meents: “Dreh- und Angelpunkt für ein rechtlich abgesichertes Cloud-Szenario sind dedizierte Anforderungen an den Cloud Provider sowie wasserdichte Verträge.”

So wasserdicht aber, dass er dem Patriot Act trotzt, kann derzeit kein Vertrag der Welt sein. Das ist durch die offenen Worte von Microsoft-Manager Gordon Frazer noch einmal deutlich geworden.