Cloud-Nutzer fürchten Datenzugriff auf Grund von USA Patriot Act

Der Managing Director von Microsoft Großbritannien, Gordon Frazer, hat erklärt, Microsoft und andere US-Cloud-Anbieter müssten unter Umständen Kundendaten an das FBI und andere US-Behörden weitergeben. Das soll auch dann gelten, wenn die Daten in europäischen Rechenzentren liegen. Grundlage für die Datenweitergabe ist vor allem der USA Patriot Act.

Die Äußerungen von Microsoft wurden von Abgeordneten des EU-Parlaments und von einem deutschen Datenschutzbeauftragten heftig kritisiert. Nach Ansicht der Kritiker steht die Rechtmäßigkeit der gesamten Datenverarbeitung durch US-Cloud-Anbieter in Europa in Frage. Auch Google hat inzwischen eingeräumt, dass unter Umständen Daten an US-Behörden weitergegeben werden müssen.
Viele deutsche Unternehmen nutzen die Cloud-Dienstleistungen von Amazon, Microsoft, Google oder anderen Anbietern aus den USA. Diese Cloud-Nutzer sind verunsichert. Sie fürchten eine unkontrollierte Weitergabe ihrer Daten, außerdem befürchten sie, dass sie deutsches Recht verletzen, wenn sie US-Anbieter beauftragen.

Das deutsche Unternehmen und der Cloud-Anbieter vereinbaren in der Praxis häufig Auftragsdatenverarbeitung. Der Cloud-Anbieter wird dann nur im Auftrag und nach Weisung tätig. Auftragsdatenverarbeitung ist nach deutschem Recht allerdings nur dann zulässig, wenn die Daten ausschließlich innerhalb des Europäischen Wirtschaftsraumes (EWR) verarbeitet werden, das sind die EU-Staaten sowie Island, Liechtenstein und Norwegen. Die meisten Cloud-Anbieter bieten solche EU/EWR-Clouds an, auch einige amerikanische Cloud-Anbieter.
Wichtig ist hier, dass das Unternehmen mit dem Cloud-Anbieter einen schriftlichen Vertrag schließt, der Datenschutz und Datensicherheit genau regelt. In dem Vertrag müssen auch die Rechenzentren festgelegt werden, in denen die Daten verarbeitet werden sollen. Damit wird auch bestimmt, dass die Daten den EWR nicht verlassen dürfen. Der Cloud-Anbieter muss sich an diesen Vertrag halten, verstößt er dagegen, so macht er sich schadensersatzpflichtig und muss hohe Bußgelder befürchten.

In der Praxis besteht häufig das Problem, dass die abgeschlossenen Verträge keine ausreichenden Regelungen enthalten. Die Standardverträge vieler US-Anbieter sind unzureichend. Ein deutsches Unternehmen muss einen individuellen Vertrag aushandeln, der ausreichende Garantien enthält und auch die Weitergabe der Daten ausdrücklich verbietet. Wenn das Unternehmen hierauf nicht achtet, kommt es in erhebliche Schwierigkeiten.

Angesichts der aktuellen Diskussion hierzu sollten Unternehmen die abgeschlossenen Cloud-Verträge kritisch prüfen. Das gilt auch für Outsourcing-Verträge und alle anderen Verträge, die eine Weitergabe von Daten an Dienstleister vorsehen. Stellt das Unternehmen hierbei fest, dass die Datenweitergabe nicht eindeutig geregelt ist, so muss es nachverhandeln. Das ist immer noch besser, als abzuwarten, bis der Landesdatenschutzbeauftragte einschreitet oder schlimmer noch, bis der Cloud-Anbieter auf der Grundlage eines unklaren Vertrages Daten an Dritte weitergibt. Dafür haftet das deutsche Unternehmen, die Bußgelder betragen bis zu 50.000 EUR, in schweren Fällen sogar bis zu 300.000 EUR.

Manche Cloud-Anbieter aus den USA bieten keine reinen EU/EWR-Clouds an, sondern verarbeiten Daten auch in Rechenzentren in den USA. Ein deutsches Unternehmen kann auch einen solchen Vertrag abschließen, muss dabei aber bestimmte Grundsätze einhalten. Beispielsweise dürfen keine sensitiven Daten übermittelt werden, wie z.B. Gesundheitsdaten. Das Empfängerunternehmen in den USA muss am sogenannten Safe Harbor Programm teilnehmen, und das deutsche Unternehmen muss prüfen und dokumentieren, wie das amerikanische Empfängerunternehmen seine Pflichten aus dem Safe Harbor Programm erfüllt. Der Datenexport an ein solches US-Unternehmen ist nicht deshalb unzulässig, weil das US-Unternehmen nach dem dortigen Recht unter Umständen auf Grund des USA Patriot Acts verpflichtet werden kann, Daten zur Strafverfolgung oder zur Terrorabwehr an das FBI und andere Behörden weiterzugeben. Nur in Ausnahmefällen gilt etwas anderes. Allerdings gilt in allen Fällen, dass das deutsche Unternehmen auf einer klaren Regelung im Vertrag bestehen muss, wie im Fall der Anfrage einer US-Behörde verfahren wird.

Gleichgültig ob das deutsche Unternehmen eine reine EU/EWR-Cloud nutzt oder auch Rechenzentren in den USA, in der Praxis ist meistens nicht der USA Patriot Act das Problem. Häufig besteht vielmehr das Problem, dass die Verträge über Auftragsdatenverarbeitung innerhalb des EWR nicht die gesetzlichen Anforderungen erfüllen. Auch die Verträge über die Nutzung von Rechenzentren in den USA enthalten vielfach nicht die notwendigen Regelungen. Solche Mängel können zu Bußgeldern führen und auch zu Schadensersatzpflichten.

Im Hinblick auf die aktuelle Diskussion zum Datenschutz beim Cloud Computing führt die Kanzlei Graf von Westphalen gemeinsam mit dem Branchenverband SIBB e.V. am 21. September 2011 in Berlin eine Informationsveranstaltung durch. Thema der Veranstaltung sind auch die Auswirkungen des USA Patriot Acts auf das Cloud Computing: 

Cloud Computing und Datenschutz - Was sind die praktischen Probleme? Wie löst man sie?

Diese Veranstaltung ist kostenlos, eine Anmeldung ist erforderlich. Einzelheiten finden Sie hier.

Arnd Böken, Rechtsanwalt und Notar


August 2011


JETZT ANMELDEN