Bieten deutsche Clouds wirklich mehr Schutz?
Das juristische Minenfeld des Patriot Act
von Harald Töpfer - 07.04.2015
So gut der Datenschutz bei Microsoft und Co auch sein mag, er schützt nicht vor einem weiteren erheblichen Risiko: dem Patriot Act. Dieser ermöglicht es US-Behörden, die Herausgabe von Daten zu erwirken. Dabei muss nicht einmal ein Gerichtsbeschluss vorliegen. Das FBI kann mit einem sogenannten National Security Letter (NSL) die Datenübermittlung selbstständig durchsetzen.
Frank Roth, Geschäftsführer von AppSphere: „Verschlüsselung hat mit den gesetzlichen Vorgaben des BDSG rein gar nichts zu tun.“
Den amerikanischen Großkonzernen ist klar, welchen Flurschaden solche Meldungen hinsichtlich ihres Europageschäfts anrichten. Nicht umsonst hat Microsoft ein Anfechtungsverfahren gegen die von einem New Yorker Gericht angeordnete Herausgabe von Daten initiiert, die in der EU gespeichert sind. Das Urteil wurde zwar in der zweiten Instanz bestätigt, sodass der Hersteller eigentlich zur Übermittlung der Daten verpflichtet gewesen wäre. Allerdings wurde Microsoft ein Aufschub gewährt. Das Unternehmen hat angekündigt, sämtliche Rechtsmittel auszuschöpfen. „Wir informieren sehr transparent, wie viele Anfragen von Ermittlungsbehörden wir erhalten, und veröffentlichen halbjährlich Zahlen dazu in Bezug auf die unterschiedlichen Länder“, sagt Justiziarin Richters. Im Übrigen habe man auch noch nie Daten deutscher Unternehmenskunden an die NSA herausgeben müssen.
Anforderungen an Cloud-Anbieter: Potenzielle Kunden legen großen Wert darauf, dass ein Cloud-Anbieter aus Deutschland kommt und hier seine Rechenzentren hat.
Trotzdem hält Wasmer Verschlüsselung für sinnvoll und wichtig: „Eine moderne Verschlüsselungstechnologie erschwert einen Datenmissbrauch erheblich.“ Für eine robuste Verschlüsselung gibt es weitere gute Gründe, zumal die NSA oder der britische Geheimdienst GCHQ auch vor Operationen innerhalb Deutschlands nicht zurückschrecken. Bei der Anbindung von Auslandsniederlassungen oder beim Datenaustausch zwischen Providern ist zudem nicht gewährleistet, dass die Datenströme nicht doch durch nicht europäische Länder fließen. „Aktuell sind die Router so konfiguriert, dass sie sich den schnellsten Weg zum Ziel suchen, der dann auch mal über die Grenzen der EU hinaus führen kann“, sagt Wasmer. Aus diesem Grund arbeiten die Deutsche Telekom und andere Netzbetreiber an einem innerdeutschen oder EU-weiten Internet (Schengen-Routing), das zumindest besonders sensible Daten in einem rechtssicheren Raum halten will. „Die Speicherung von Daten in Deutschland bringt nur dann einen wirklichen Vorteil, wenn das Unternehmen, das so eine Cloud anbietet, diese Cloud auch so weit wie möglich von Rechenzentren in anderen Ländern isoliert“, sagt Unify-CTO Stefan Ried.