Microsofts Cloud-Pakt schützt nicht vor Patriot Act

Microsoft hat bekannt gegeben, dass es künftig im Cloud Computing laut EU-Standardvertragsklauseln agieren werde. Allerdings bedeutet das nicht sonderlich viel.

Die Standardsvertragsklauseln betreffen den Austausch personenbezogener Daten von Anbietern außerhalb der EU (Richtlinie 95/46/EG). Allerdings scheinen diese Vertragswerke für die Anwender innerhalb der EU kaum Schutz vor US-Gesetzen wie FISA oder Patriot Act zu bieten.

Durch Microsofts Ankündigung soll es den Anwender leichter gemacht werden, gegenüber dem Gesetzgeber nachzuweisen, dass man sich an die Datenschutzgesetze der EU hält. Gleiches gilt für das US-Gesetz HIPAA.

Doch was besagt dieser neue Cloud-Pakt für diejenigen innerhalb der EU? Es bedeutet vor allem, dass Microsoft dank “physicher, administrativer und technischer Sicherungen” in der Lage ist, vollständig dem US-Gesetz zu entsprechen, wie es in einer Mitteilung heißt.

Doch dieses Abkommen mit der EU, und das ist ein Problem der gesamten Cloud-Industrie, schützt Unternehmen innerhalb der EU nicht vor der Rechtsprechung von Drittstaaten. Dabei geht es vor allem um den Patriot Act und den Foreign Intelligence Surveillance Act.

Microsoft gibt jedoch an, die “erste und einzige große Cloud-Plattform zu sein, die Informations-Privacy und Sicherheitsstandards für Kunden, die in der Europäischen Union operieren” anzubieten.

Rüdiger Baumann, CEO des Berliner Cloud-Management-Anbieters Zimory, erklärt im Gespräch mit silicon.de: “Das Problem ist, dass beim Patriot Act immer der Länderdurchgriff gilt.” So versuche zum Beispiel Amazon das Problem durch die Gründung einer deutschen Niederlassung zu umgehen. Doch offenbar unterliegt dann auch die deutsche Gesellschaft dieser US-Rechtsprechung. Der Patriot Act ließe sich nur umgehen, wenn man einen Anbieter wähle, der in der EU oder in Deutschland agiere, wie etwa T-Systems.

Gegenüber ZDNet.co.uk hatte Gordon Frazer, Managing Direktor in Großbritannien, erklärt, “kein Unternehmen könne garantieren, dass europäische Daten vor dem US-Gesetz sicher sind.

Das Vertrauen in transatlantische Cloud-Angebote wurde vergangene Woche durch eine Entscheidung des Rüstungsunternehmens BAE Systems weiter untergraben. Das Unternehmen setzte unter Bezug auf den Patriot Act einen Outsourcing-Vertrag mit Microsoft aus.

Ein Unternehmenssprecher erklärte gegenüber ZDNet.com, dass Microsoft jetzt vertraglich zusichert, dass Office 365 europäische Standards für Privatsphäre und Sicherheit einhalten werde. Zudem werde das Unternehmen “alles unternehmen, um Anwender im Vorfeld darüber zu informieren, wenn die Daten” den Grund und Boden Europas verlassen. “Es sei denn, wir dürfen das aus rechtlichen Gründen nicht.”

Und auch damit ist kein Schutz vor dem Patriot Act gegeben, denn der besagt, dass der Anbieter eines Cloud-Services, den Nutzer nicht darüber zu informieren braucht, wenn dessen Daten an Behörden in die USA weitergeleitet werden. Doch das wiederum ist ein Problem, das derzeit alle US-Anbieter, die innerhalb Europas agieren wollen, haben.