$>
you're reading...
Netzwelt, Politik

US-Behörden dürfen auf europäische Cloud-Daten zugreifen


Internationale Unternehmen haben einen Vorteil, dass Support und Service vor Ort durchgeführt werden kann. In den USA ansässige Unternehmen müssen jetzt Personenbezogene Daten auf verlangen den Behörden vorlegen. Dabei spielt es keine Rolle wo das Unternehmen diese Daten gespeichert hat. Der sog. Patriot Act erlaubt es dabei das beide Seiten stillschweigen über die geforderten Daten vereinbaren, wenn das FBI dies für nötig hält. Kunden dürfen in diesem Fall nicht informiert werden, ja selbst das Unternehmen selbst, darf keine Auskunft darüber geben ob überhaupt eine Anfrage der Strafverfolgungsbehörden erfolgt ist!

Mit diesem Schritt und viele weitere muss man sich also in Zukunft genau überlegen, welche Daten und bei welchem Anbieter preisgegeben werden dürfen. Große Unternehmen sind dabei zu vermeiden weil Behörden logischerweise zuerst dort Anfragen stellen werden wo Dienste von vielen Nutzern genutzt werden. Das betrifft nicht nur Microsoft, sondern eine ganze reihe weiterer Unternehmen wie Google, IBM, Oracle um einige große zu nennen die aus den USA kommen. Cloud-Dienste sind also eine gute Lösung um schnell von überall an die eigenen Daten zugreifen zu können. Im Umkehrschluss können selbstverständlich Strafverfolgungsbehörden mit denselben Mitteln ungehindert Daten abrufen. 

Cloud-Anbieter wie Microsoft müssen US-Strafverfolgungsbehörden Zugriff auf von Kunden gespeicherte Daten gewähren, berichtet der US-Branchendienst ZDNet. Das betrifft auch in der EU ansässige Firmen und in europäischen Rechenzentren liegende Daten, wie Microsofts britischer Direktor Gordon Frazer anlässlich der Markteinführung von Microsofts Office 365 in London erklärte. Er antwortete damit auf die Frage, ob Microsoft zusichern könne, dass in seinen EU-Rechenzentren gespeicherte Daten Europa niemals verlassen könnten.

Da das Unternehmen seinen Firmensitz in den USA habe, müsse es die dortigen Gesetze befolgen, sagte Frazer. Das gilt insbesondere für den Patriot Act, der US-Strafverfolgern weitreichende Zugriffsrechte auf Daten gibt. Frazer zufolge würden Kunden über die Herausgabe von Daten „informiert, wann immer das möglich ist“. Eine Garantie dafür könne er jedoch nicht geben. Denn in den USA kann das FBI mit einem National Security Letter (NSL) ein Redeverbot (Gag order) für den Betreffenden aussprechen. In diesem Fall darf er nicht einmal sagen, dass er einen NSL erhalten hat.

Ein Online-Dokument in Microsofts „Trust Center“ bestätigt Frazers Aussagen und stellt klar, dass es keineswegs nur um Verfahren im Zusammenhang mit dem Patriot Act geht. Dort heißt es: „Unter bestimmten Umständen kann Microsoft Daten ohne Ihre vorherige Zustimmung weitergeben. Dazu gehört die Befolgung rechtlicher Anforderungen.“ Fordere eine Regierungsstelle Daten eines Kunden an, werde man sie zunächst an diesen verweisen. Sei das Unternehmen gezwungen, selbst zu antworten, werde es nur das zwingend Erforderliche herausgeben. Es wolle zudem alles „geschäftlich Vernünftige“ unternehmen, um seine Kunden von dem Vorgang zu unterrichten – es sei denn, das ist rechtlich nicht möglich.

Nach Einschätzung von Thilo Weichert, Chef des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD), steht eine solche Datenweitergabe aus dem EU-Gebiet heraus im Widerspruch zu europäischem Datenschutzrecht. Das Risiko einer Datenweitergabe stelle die Vertraulichkeit der auf Microsoft-Rechenzentren gehosteten Daten und Anwendungen infrage und entziehe bestehenden Verträgen zur Datenverarbeitungs-Dienstleistung die Grundlage. Nach Auffassung Weicherts lasse sich daraus einerseits ein Sonderkündigungsrecht ableiten, und andererseits schließe es Service-Provider wie den Office-365- und Windows-Azure-Anbieter Microsoft als Kandidaten für personenbezogene IT-Dienstleistungen aus. Unternehmen sollten sich daher bei der Nutzung von Cloud-Diensten für personenbezogene Daten ausschließlich auf rein europäische Service-Provider beschränken.

Wie schwierig die Rechtslage zu beurteilen ist, erfuhren wir per Nachfrage bei Microsoft Deutschland: Dort war ad hoc nur die Antwort zu erhalten, man befolge selbstverständlich alle geltenden Gesetze. Was dies allerdings bedeutet, wenn US-amerikanische und europäische Gesetze zu widersprüchlichen Anforderungen führen, konnte man bei Microsoft so schnell nicht kommentieren. Besser könnten Großunternehmen fahren, die zum Beispiel Microsoft Office 365 als Angebot des deutschen Providers T-Systems nutzen und sich dann darauf verlassen können, dass ihre Daten ausschließlich auf Servern unter Kontrolle dieses Providers gespeichert werden.  Heise Online

Diskussionen

Es gibt noch keine Kommentare.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Member of The Internet Defense League

Kalender

Juni 2011
M D M D F S S
« Mai   Jul »
 12345
6789101112
13141516171819
20212223242526
27282930  

Kategorien

Archiv

Legal Guide For Bloggers

Bloggers' Rights at EFF

Interessantes

Link Anonymizer

Independent Tests of Antiv-Virus Software

BSD Aktuell

Hacker News

Blog Stats

  • 260,204 hits

Haftungsausschluss

disclaimer

%d Bloggern gefällt das: