Das Handelsblatt berichtete unlängst davon, dass US-Geheimdienste Zugriff auf die Microsoft-Cloud hätten, selbst wenn die Daten der Kunden in europäischen Rechenzentren lägen. Dies fußt auf dem amerikanischen sog. „Patriot Act“ und fand, wie zu erwarten war, beim EU-Parlament und deutschen Datenschutzbeauftragten wenig Anklang. Microsofts Ruf ist in Gefahr, ebenso der anderer US-Cloud-Anbieter. Dürfen diese Unternehmen in Europa überhaupt zur Datenverarbeitung beauftragt werden?Unser Datenschutzgesetz hilft – wenn es korrekt angewendet wird
Der Patriot Act entstand anlässlich der Ereignisse des 11. Septembers 2001 und gibt diversen US-Behörden im Zuge der Terrorabwehr und der Verfolgung anderer Straftaten das Recht, Informationen von US-Unternehmen über deren Kunden einzufordern – selbst wenn diese Kunden ihren Sitz im Ausland haben.
Dem kann in Europa allerdings vorgebeugt werden. Daten aus europäischen Clouds dürfen per Gesetz ausschließlich im Europäischen Wirtschaftsraum (EWR) verarbeitet werden, deswegen bieten die meisten europäischen und auch einige amerikanische Cloud-Provider reine EU/EWR-Clouds an. Unternehmen, die Cloud-Dienste nutzen wollen, müssen mit dem Cloud-Provider einen schriftlichen Vertrag schließen, der den Richtlinien zum Datenschutz genügt, die Befugnisse des Cloud-Providers genau definiert und der bestimmt, dass die Cloud-Daten den EWR nicht verlassen dürfen. Wenn ein deutsches Unternehmen einen solchen Vertrag abgeschlossen hat, ist die Weitergabe der Kundendaten an US-Behörden ausgeschlossen.
Probleme in der Praxis
Manchmal kommt es allerdings vor, dass bereits abgeschlossene Verträge die deutschen Anforderungen an die Auftragsdatenverarbeitung nicht erfüllen, insbes. die Standardverträge vieler US-Anbieter. Deutsche Unternehmen müssen in solchen Fällen einen individuellen Vertrag aushandeln (ggf. nachverhandeln), in dem ausreichende Garantien und ein ausdrückliches Verbot der Weitergabe von Daten an US-Behörden geregelt sind – andernfalls können sich diese Unternehmen mit hohen Bußgeldern und Schadensersatzforderungen konfrontiert sehen.
Es gibt amerikanische Cloud-Provider, die keine reinen EU/EWR-Clouds anbieten, sondern die Daten der Kunden auch in Rechenzentren in den USA verarbeiten. In den Augen mancher deutschen Datenschutzbeauftragten ist diese Praxis strittig; sie fordern, dass solche Clouds nicht genutzt werden dürfen, wenn ein deutsches Unternehmen personenbezogene Daten verarbeiten will. Ganz so streng ist der Sachverhalt allerdings nicht zu sehen: Einzig sensitive Daten (z.B. Gesundheitsdaten) dürfen nicht an amerikanische Cloud-Provider übermittelt werden.
Allerdings dürfen sich deutsche Unternehmen nicht einfach auf die Zusage eines Cloud-Providers verlassen, dass ein bestimmtes Datenschutzniveau gegeben ist. Stattdessen ist die jeweilige Geschäftsleitung dafür verantwortlich, dass diese Zusage geprüft und und die Prüfung ausreichend dokumentiert wird. Manche deutsche Unternehmen sind sich dieser Pflicht nicht bewusst – auch sie müssen mit Bußgeldern rechnen.
Was heißt das für Sie?
Am einfachsten ist es für deutsche Unternehmen also, einen Cloud-Provider innerhalb des EWR mit der Verarbeitung ihrer personenbezogenen Daten zu beauftragen und darauf zu achten, dass diese Verträge den gesetzlichen Anforderungen an den Datenschutz genügen.