Bieten deutsche Clouds wirklich mehr Schutz?

Das juristische Minenfeld des Patriot Act

von - 07.04.2015
So gut der Datenschutz bei Microsoft und Co auch sein mag, er schützt nicht vor einem weiteren erheblichen Risiko: dem Patriot Act. Dieser ermöglicht es US-Behörden, die Herausgabe von Daten zu erwirken. Dabei muss nicht einmal ein Gerichtsbeschluss vorliegen. Das FBI kann mit einem sogenannten National Security Letter (NSL) die Datenübermittlung selbstständig durchsetzen.
Frank Roth, Geschäftsführer von AppSphere
Frank Roth, Geschäftsführer von AppSphere: „Verschlüsselung hat mit den gesetzlichen Vorgaben des BDSG rein gar nichts zu tun.“
Rechenzentren mit Standorten innerhalb der EU schützen US-Firmen nicht davor, diesen Begehren nachgeben zu müssen, wie Google und Microsoft schon 2011 bekannt gaben. „Der Fall eines US-Gerichts, das Microsoft zur Herausgabe von Daten auf ihren europäischen Office-365-Servern drängte, ist rechtlich sehr delikat“, meint Stefan Ried, der viele Jahre als Analyst bei Forrester Research den Cloud-Markt beobachtete und heute als CTO für die technische Infrastruktur des deutsch-amerikanischen Unternehmens Unify verantwortlich ist.
Den amerikanischen Groß­konzernen ist klar, welchen Flurschaden solche Meldungen hinsichtlich ihres Europageschäfts anrichten. Nicht umsonst hat Microsoft ein Anfechtungsverfahren gegen die von einem New Yorker Gericht angeordnete He­rausgabe von Daten initiiert, die in der EU gespeichert sind. Das Urteil wurde zwar in der zweiten Instanz bestätigt, sodass der Hersteller eigentlich zur Übermittlung der Daten verpflichtet gewesen wäre. Allerdings wurde Microsoft ein Aufschub gewährt. Das Unternehmen hat angekündigt, sämtliche Rechtsmittel auszuschöpfen. „Wir informieren sehr transparent, wie viele Anfragen von Ermittlungsbehörden wir erhalten, und veröffentlichen halbjährlich Zahlen dazu in Bezug auf die unterschiedlichen Länder“, sagt Justiziarin Richters. Im Übrigen habe man auch noch nie Daten deutscher Unternehmenskunden an die NSA herausgeben müssen.
Anforderungen an Cloud-Anbieter: Potenzielle Kunden legen großen Wert darauf, dass ein Cloud-Anbieter aus Deutschland kommt und hier seine Rechenzentren hat.
Anforderungen an Cloud-Anbieter: Potenzielle Kunden legen großen Wert darauf, dass ein Cloud-Anbieter aus Deutschland kommt und hier seine Rechenzentren hat.
International tätige Cloud-Anbieter argumentieren auch gern damit, dass die Daten bei ihnen Ende-zu-Ende-verschlüsselt werden und nur der Kunde die Möglichkeit der Entschlüsselung habe. Das löst das Problem allerdings nur scheinbar. „Verschlüsselung hat mit den gesetzlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG) rein gar nichts zu tun“, sagt Frank Roth, Vorstand der AppSphere AG und Initiator der Initiative Cloud Services Made in Germany. Eine US-Behörde werde sich ohnehin nicht mit verschlüsselten Daten zufriedengeben. Dieser Ansicht ist auch Timo Wasmer, Product Manager bei der Claranet GmbH: „Es ist davon auszugehen, dass viele US-Provider über entsprechende Hintertürchen verfügen, mit denen sie die Verschlüsselung aufheben können, wenn US-Behörden dies fordern.“
Trotzdem hält Wasmer Verschlüsselung für sinnvoll und wichtig: „Eine moderne Verschlüsselungstechnologie erschwert einen Datenmissbrauch erheblich.“ Für eine robuste Verschlüsselung gibt es weitere gute Gründe, zumal die NSA oder der britische Geheimdienst GCHQ auch vor Operationen innerhalb Deutschlands nicht zurückschrecken. Bei der Anbindung von Auslandsniederlassungen oder beim Datenaustausch zwischen Providern ist zudem nicht gewährleistet, dass die Datenströme nicht doch durch nicht europäische Länder fließen. „Aktuell sind die Router so konfiguriert, dass sie sich den schnellsten Weg zum Ziel suchen, der dann auch mal über die Grenzen der EU hinaus führen kann“, sagt Wasmer. Aus diesem Grund arbeiten die Deutsche Telekom und andere Netzbetreiber an einem innerdeutschen oder EU-weiten Internet (Schengen-Routing), das zumindest besonders sensible Daten in einem rechtssicheren Raum halten will. „Die Speicherung von Daten in Deutschland bringt nur dann einen wirklichen Vorteil, wenn das Unternehmen, das so eine Cloud anbietet, diese Cloud auch so weit wie möglich von Rechenzentren in anderen Ländern isoliert“, sagt Unify-CTO Stefan Ried.
Verwandte Themen