Personenbezogene Daten raus aus den USA?

Von diesen Ausnahmen abgesehen ist ein Transfer personenbezogener Daten in die  USA derzeit mit erheblichen Rechtsunsicherheiten behaftet. „Soweit es möglich ist, empfehle ich die Speicherung und Verarbeitung personenbezogener Daten innerhalb der EU, da hier ein angemessenes Datenschutzniveau besteht“, sagt NRW-Datenschützerin Helga Block.

Nicht umsonst legten viele Unternehmen bereits vor dem Safe-Harbor-Urteil großen Wert darauf, Cloud-Anbieter aus Deutschland oder zumindest der Europäischen Union zu wählen. Nach einer Umfrage, die Bitkom Research im Auftrag von KPMG im November und Dezember 2014 durchführte, rangierten die Kriterien „Rechenzentrum in Deutschland“ und „Hauptsitz in Deutschland“ ganz oben bei den Anforderungskriterien der Unternehmen.

Wer diesen Weg geht, sollte sich sicherheitshalber  vom Provider zusätzlich vertraglich bestätigen lassen, dass die Daten das Rechtsgebiet der EU nicht verlassen und nicht etwa an Standorte in Übersee, zu Subunternehmern oder auf Pu­blic-Cloud-Plattformen wie Amazon Web Services oder die Google Cloud Platform weitergeleitet werden.

US-Firmen betonen gern, dass die Daten bei ihrer EU-Konkurrenz ebenfalls dem Zugriff durch US-Behörden unterliegen, sofern die Anbieter Tochterunternehmen oder Niederlassungen in den USA unterhalten. „Zentraler Gegenstand der Safe-Harbor-Entscheidung ist (…) nicht der Austausch personenbezogener Daten mit amerikanischen Unternehmen, sondern der Transfer solcher Daten in den amerikanischen Rechtsraum, das heißt deutsche Unternehmen mit Niederlassung in den Vereinigten Staaten von Amerika sind ebenso betroffen, wenn sie personenbezogene Daten in ihre Niederlassung transferieren wollen“, sagt Dirk Bornemann, Mitglied der Geschäftsleitung und Assistant General Counsel bei Microsoft Deutschland.

„Die Frage, wie mit Anfragen und Anordnungen von Drittstaatsbehörden umgegangen wird – und es geht hier nicht nur um die USA – ist in der Tat relevant“, ergänzt Europas oberster Datenschützer Buttarelli und verweist auf die demnächst in Kraft tretende EU-Datenschutzgrundverordnung: „Artikel 43a der Datenschutzgrundverordnung wird vorsehen, dass in solchen Fällen die erprobten Rechtshilfeverträge zu nutzen sind.“ Übersetzt heißt das, dass ein direkter Zugriff von NSA, CIA oder anderen US-Behörden auf Daten europäischer Kunden, etwa unter Berufung auf den Patriot Act, nicht statthaft ist. Stattdessen müssen sie sich mit einem Rechts­hilfeersuchen an die offiziellen Stellen im jeweiligen europäischen Land wenden.

Wer ganz auf Nummer sicher gehen will, sollte seine Daten vor der Übertragung mit Kennwörtern verschlüsseln, die dem Provider nicht bekannt sind. Einige Hoster bieten dieses „Zero Knowledge“-Prinzip als Dienstleistung an, meist gegen Aufpreis. Alternativ können Unternehmen auch ein eigenes Verschlüsselungs-Gateway betreiben, das alle Daten chiffriert, bevor sie in die Cloud übermittelt werden. Solche sogenannten Cloud Encryption Gateways bieten beispielsweise DataLocker mit SafeCrypt (Vertrieb in Deutschland über Origin Storage), Blue Coat/Perspecsys mit Cloud Data Protection oder CipherCloud mit der gleichnamigen Plattform.