Cloud-Angebote aus den USA sind beliebt, haben aber beim Thema Datenschutz einen erheblichen Makel: US-Behörden haben weitreichende Rechte, auf dort gespeicherte Informationen zuzugreifen, selbst wenn die Server zum Beispiel in Europa stehen. Warum das gerade für Unternehmen problematisch ist, erklärt dieser Beitrag.
Amazon, Apple, Microsoft: Das sind nur drei Beispiele für Anbieter von Cloud-Diensten mit Sitz in den USA. Sie beherrschen den Markt und kommen bisweilen ohne grösseres Nachdenken zum Einsatz. Das ist auch kein Wunder: Sie sind oftmals direkt in andere Angebote integriert und dadurch besonders einfach zu nutzen. Apples iCloud spielt beispielsweise nahtlos mit den Geräten des Herstellers zusammen. Ein anderer Grund vor allem für Seitenbetreiber sowie Entwickler von Webangeboten: Ein Cloud-Dienst wie die Amazon Web Services hat etliche nützliche Werkzeuge zu bieten. Es ist bequem, alles an einer Stelle mit einem Konto abwickeln zu können.
Vor allem Unternehmen können diese Dienste aber nicht bedenkenlos einsetzen. Das gilt vor allem, wenn sie personenbezogene Daten erheben, verarbeiten und speichern. So hat der Europäische Gerichtshof (EuGH) 2020 erneut festgestellt, dass der Datenschutz in den USA nicht ausreichend ist, um sensible Daten von Europäern dort abzulegen. Das «Privacy Shield»-Abkommen wurde damit ungültig. Diese Vereinbarung sollte eine einfache Möglichkeit bieten, die beliebten US-Dienste auch im Unternehmen einzusetzen.
Bis heute gibt es dafür keinen Nachfolger und damit kaum eine rechtssichere Grundlage. Dabei gilt: Auch wenn sich der EuGH auf das Abkommen zwischen den USA und der EU bezieht, sehen Rechtsanwälte das Problem ebenso für das separate Abkommen mit der Schweiz.
Als ein möglicher Ausweg wird angesehen, ausschliesslich auf Cloud-Server zu setzen, die in der EU oder der Schweiz beheimatet sind. Alle grossen Anbieter haben Rechenzentren hierzulande, allein schon um eine bessere Performance bieten zu können.
Hier gerät nun allerdings das US-Gesetz «CLOUD Act» wieder in den Blick: Damit haben sich die USA einseitig das Recht gegeben, die Herausgabe auch solcher Daten zu verlangen, die auf Servern ausserhalb der Vereinigten Staaten abgelegt sind.
Nach Darstellung des US-Justizministeriums erfolgt das mit einem «hohen Mass an Schutz für die Bürgerrechte» [Original: ensuring a high level of protection of those citizens’ rights]. Genau das aber zweifeln Kritiker an. So hatte Deutschlands oberster Datenschützer Ulrich Kelber beispielsweise erklärt, Polizeidaten sollten keinesfalls auf Angeboten wie Amazon gespeichert werden. Auch der Europäische Datenschutzbeauftragte hat sich bereits ausführlich damit befasst. Er kritisierte unter anderem, dass Unternehmen zu wenig Handhabe gegen Anfragen auf Grundlage des CLOUD Acts haben.
Ausgangspunkt für dieses umstrittene US-Gesetz war ein Streit zwischen dem Federal Bureau of Investigation (FBI) und Microsoft. Das Unternehmen weigerte sich Daten herauszugeben, da sie auf einem Server in Irland gespeichert waren.
Microsoft nutzte damit eine Gesetzeslücke, die durch weltweit verteilte Serverzentren entstand. Denn der 1986 in den USA verabschiedete «Stored Communications Act» hatte noch nicht vorhergesehen, dass Informationen global gespeichert sein könnten.
Der US-Gesetzgeber reagierte schliesslich mit dem «Clarifying Lawful Overseas Use of Data Act», abgekürzt CLOUD Act. Anbieter von Kommunikationsdiensten mit Sitz in den USA sind auf dessen Grundlage nun verpflichtet, Daten auf ihren Servern aufzubewahren und US-Strafverfolgungsbehörden unter bestimmten Voraussetzungen auszuhändigen, unabhängig davon, ob diese in den USA gespeichert sind oder nicht.
US-Anbieter mit Kunden hierzulande sind damit in einer rechtlichen Zwickmühle. Einerseits verpflichtet sie das heimische Recht zur Herausgabe von Daten, die sie aufgrund lokaler Datenschutz-Vorschriften aber eventuell nicht herausgeben dürfen.
Einen Ausweg sieht der CLOUD Act durch «Executive Agreements» zwischen den USA und anderen Staaten. Dadurch liesse sich der Datenzugriff genauer regeln und zudem bekämen Strafverfolgungsbehörden des Partnerlandes ebenfalls entsprechende Rechte, um Informationen anzufordern, die in den USA gespeichert sind.
In dem Moment hätten US-Unternehmen ausserdem eine stärkere Handhabe gegen Daten-Anforderungen aus den Vereinigten Staaten, die gegen den Datenschutz hierzulande verstossen. In einer Analyse der Anwaltskanzlei MLL heisst es dazu:
«Die Executive Agreements führen somit eine Art indirekten Rechtsschutz für non-US-persons ein und sollen so die Akzeptanz des extraterritorialen Ansatzes des CLOUD Acts fördern.»
Das schweizerische Bundesamt für Justiz hat sich kürzlich ausführlich damit auseinandergesetzt. Die Schweiz muss bei alldem nicht nur die eigenen Interessen mit denen der USA abwägen, sondern zugleich die Balance zur EU wahren. Schliesslich gilt die Schweiz aus Sicht der Union als ein Drittland mit «angemessenem Datenschutzniveau». EU-Unternehmen können deshalb bedenkenlos auf schweizerische Dienste zurückgreifen. Und diesen Status möchte die Eidgenosschenschaft nicht riskieren.
Zu einer abschliessenden Beurteilung kam das Bundesamt letztlich noch nicht. Vielmehr wolle man mit dem Bericht eine Diskussionsgrundlage bieten.
Wenn es um die Nutzung von US-Clouddiensten geht, sind allerdings nicht nur personenbezogene Daten ein Problem. Vielmehr ist grundsätzlich in Frage gestellt, wie sehr man diesen Diensten vertrauen kann. Schliesslich hatte unter anderem Whistleblower Edward Snowden bereits 2014 erklärt, die National Security Agency (NSA) nutze ihren Zugriff auf Informationen ebenso für Wirtschaftsspionage. Seine Enthüllungen zeigten zudem, was bis dato nur Verschwörungstheoretiker vermutet hatten: Die USA überwachen systematisch den Internetverkehr und speichern diese Daten im grossen Stil ab – auch wenn sie verschlüsselt sind.
Denn natürlich kann Verschlüsselung ein Weg sein, um Daten in der Cloud zu schützen. Sie sollten generell nicht im Klartext abgelegt werden, allein schon wegen möglicher Hackerangriffe. Das oberste französische Verwaltungsgericht Conseil d’Etat war in einem Urteil zudem zu dem Schluss gekommen, dass dies ausreichen kann, um US-Dienste auch für personenbezogene Daten zu nutzen.
Aber wie sicher diese Verschlüsselungen auf lange Sicht sind, ist zumindest fragwürdig. Man denke hier an die immer wieder aufflammende Debatte über entsprechende Hintertüren. Was nach offizieller Lesart für Terroristenabwehr oder Verbrechensbekämpfung zum Einsatz kommen soll, würde ebenso Missbrauch ermöglichen.
Wie problematisch CLOUD Act und Co. wirklich sind, ist also eine Debatte, die auch in Fachkreisen weitergeführt wird.
Sie stehen allerdings für ein grundsätzliches Problem mit Angeboten aus den USA: Diese kommen aus einem anderen politischen Umfeld als europäische Konkurrenten. Das wird auch in Zukunft sehr wahrscheinlich immer wieder zum Thema werden. Das gilt vor allem dann, wenn Unternehmen sie einsetzen wollen, um sensible Informationen abzuspeichern.
Cloud-Angebote aus der Schweiz oder generell aus dem Europäischen Wirtschaftsraum sind auch deshalb eine bedenkenswerte Alternative.
