USA: Patriot Act und Cloud Computing - paßt das zusammen?
von , veröffentlicht am 28.07.2011Der berühmt-berüchtigte Patriot Act (PA) ist hier in Washington ziemlich in die Vergessenheit geraten - verglichen mit anderen politisch aufgeladenen Themen. Am 27. Mai hat ihn der Kongress für 4 Jahre verlängert. Zur Erinnerung: Der PA ist eine direkte Reaktion auf die Terroranschläge am 11. September 2001 und die wenig später erfolgten Milzbrand-Anschläge. Der PA dient grundsätzlich dazu, die Ermittlungen der Bundesbehörden im Fall einer terroristischen Bedrohung zu vereinfachen. Hierzu werden bestimmte, auch die Grundrechte betreffende bislang gültige Gesetze eingesetzt.
Gegenüber seiner Ursprungsfassung hat sich der PA in einigen Punkten zugunsten der Bürger verändert. Nachdem ein Bundesrichter einige Punkte als verfassungswidrig befand, wurde die Praxis des National Security Letter (NSL) dahingehend verändert, dass Unternehmen, die mit diesem Dokument zur Vorlage von Daten gezwungen werden, sich nun juristisch dagegen wehren können. Dies war zuvor nicht möglich, da Betroffenen unter Androhung von Strafe eine Schweigepflicht bzw. Redeverbot ( "Gag Order") auferlegt.
Aus europäischer Sicht bedeutet das: wenn die Daten einmal in den USA sind, fallen sie theoretisch unter den PA. Im Moment wird wieder heftig diskutiert, ob die PA etwa ein Nachspüren des Gebrauchs von Mobiltelefonen ermöglicht.
Es gibt viele Stimmen zu einer Reform des PA den USA, aber im Moment ist der Kongress mit anderen Dingen beschäftigt. Interessant: Manche Provinzen (Nova Scotia, British Columbia) in Kanada erlauben unter engen Voraussetzungen keinen Datenexport ihrer Behörden z.B. im Wege des Outsourcing in die USA, die damit dem PA unterfallen können. Ansonsten scheit die Gefahr, das der PA anwendbar ist, kein Hinderungsgrund für einen Datentransfer nach dem internationalem Datenschutzrecht zu sein.
Was meinen Sie: Welche rechtlichen Auswirkungen hat der PA z.B auf das Cloud Computing?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
9 Kommentare
Kommentare als Feed abonnierenIch halte es nach allem was ich zu dem Thema bisher gelesen habe für äußerst problematisch Cloud Computing Dienste in den USA zu nutzen - sogar Clouds von US-Anbietern in Deutschland stellen ein Problem dar.
Ich habe es so verstanden, dass nicht nur Behörden sondern auch Prozessgegner ziemlich leicht an die Daten kommen können. Das soll um einiges leichter funktionieren als in Deutschland. Von einem angemessenen Datenschutzniveau wird man so kaum mehr sprechen können. Je heikler die Daten sind, desto problematischer ist es. (Bei sensiblen Daten ist es mMn ohnehin kaum möglich die Daten ohne Einwilligung nach USA zu verfrachten.)
Es wird bislang zum teil empfohlen, mit den Dienstleistern zu vereinbaren, dass die Daten die EU nicht verlassen dürfen. Für Anbieter in den USA wird empfohlen, zu vereinbaren, dass der Anbieter den Auftraggeber umgehend über ein Auskunftsersuchen der Behörden informieren muss und dass er sich dagegen wehren muss.
Letztens hat jemand von Microsoft jedoch noch gesagt, dass der Anbieter diese Information nicht geben darf, ist das denn noch so? Außerdem wurde dort gesagt, dass auch eine deutsche Niederlassung von den US-Behörden dazu verpflichtet werden kann, die Daten von Deutschland in die USA zu bringen. Das würde dann zwar sicherlich deutschem Recht wiedersprechen, aber es wurde gesagt, dass man - aufgrund der harten Strafen - deshalb als Cloud Anbieter nicht mal garantieren kann, dass die Daten in der EU bleiben.
Bleibt also nur noch, einen technisch-orientieren Tipp zu befolgen, wenn man es mit einem Cloud Anbieter mit US-Wurzeln zu tun hat:
Die Daten sollten nur verschlüsselt in die Cloud und es muss sichergestellt werden, dass der Cloud Anbieter diesen Schlüssel nicht hat.
Es gibt keinen Anlass an dem zu zweifeln, was Herr Frazer zum Thema durch den Patriot Act legitimierter Zugriff auf in der Cloud gespeicherter (personenbezogener) Daten gesagt hat.
Die meisten Entscheider und Datenschutzbeauftragten wird diese Äußerung auch kaum überrascht haben. Der einzige Punkt, der vielleicht den einen oder anderen aufhorchen ließ, war eventuell der Punkt, dass auch innerhalb der Europäischen Union vor dem Zugriff nicht sicher sein sollen.
Wie nun europäische Cloud-Anbieter von US-Behörden gezwungen werden könnten, Daten herauszugeben, wird hier nicht so recht klar. Damit bleibt die Frage des Standorts und des anwendbaren Datenschutzrechts abseits aller Wirtschaftlichkeitserwägungen weiterhin die wichtigste. Daher scheint eine datenschutzkonforme Etablierung des Cloud Computing auf eine Insellösung à la Trusted Cloud hinauszulaufen.
Genau, die Tatsache, dass auch Daten in EU-Niederlassungen(/Servern etc.) der US-Anbieter nicht sicher sind kam doch recht überraschend. Ich denke nicht, dass es wirklich eine hohe Kunst ist, dies herauszufinden - nur wird das eben in der deutschen juristischen Literatur zu dem Thema nicht angesprochen oder es ist mir zumindest noch nicht untergekommen.
Genauso verhält es sich mit dem möglichen Verbot, den Kunden über einen behördlichen Zugriff zu informieren. Wie gesagt, ich habe schon oft die Tipps gelesen, dass man sich vertraglich zusichern lassen soll (als Kunde), dass so eine Information erfolgen muss.
Ich denke nicht, dass die deutschen Tochtergesellschaften etc. tatsächlich direkt darauf in Anspruch genommen werden können, die Daten aus der EU nach USA zu transferieren. Bzw. kann das mMn nicht durchgesetzt werden. Zumindest dann nicht, wenn es in der EU für ein solches Auskunftseruschen keine Rechtsgrundlage gäbe.
(Aber z.B. bei den Fluggastdaten sieht man ja, dass nichts unmöglich ist, auch wenn es noch so sehr gegen Datenschutzgrundsätze verstößt, aber eben politisch nötig ist.)
Die US-Behörden werden wohl vielmehr auf die US-Mutter (oder sonstige "Verandte") mit harten Strafen zugreifen oder die deutsche und evtl. die US-Gesellschaft vom US-Markt abschotten.
Das könnte ich mir zumindest gut vorstellen. So wird es zumindest bei einem Verstoß gegen das US-Außenwirtschaftsrecht gehandhabt, wenn man nicht an die ausländischen Gesellschaften direkt herankommt.
Der Zugriff der Behörden beunruhigt mich weniger als die Sicherung der Netzsicherheit in der Cloud und der Zugriff auf die Daten im Wege des US-Zivilprozesses (E-Discovery). Zur E-Discovery ausführlich folgender Xing-Blog: https://www.xing.com/net/priaf211dx/ediscovery/
Das Thema Datensicherheit habe ich bisher auch immer als problematisch gesehen, obwohl die meisten Cloud-Anbieter genau dies ja als Mehrwert anbieten, frei nach dem Motto: "Hier sind die Daten wahrscheinlich sicherer als bei der verantwortlichen Stelle, da wir wenigstens ein gewissenhaftes Backup-System besitzen und auch benutzen."
Aber wenn Daten sogar in Amazon´s EC2 unwiederbringlich verloren gehen können, scheint dies zumindest nicht mehr das stärkste Argument zu sein. Daher wundere ich mich im Moment über vollmundige Versprechungen/SLAs wie diese.
Interessant ist der Ansatz eines Kollegen im Handelsblatt, wonach ein privater Vertrag zwischen Unternehmen die Zugriffsmöglichkeiten von US Behörden beschränken soll... .
http://www.handelsblatt.com/technologie/it-tk/it-internet/wie-gefaehrlich-das-cloud-computing-ist/4386484.html?p4386484=all
Wie sehen Sie das? Meiner Meinung nach werden sich die US-Behörden darauf nicht einlassen.
@Dr. Spies: Das ist genau der Punkt, der bei mir seit der neuerlichen Diskussion Unverständnis über die aufkommende Verwunderung der betroffenen Parteien auslöst. Wenn der Patriot Act FBI und anderen US-Behörden weitreichende Befugnisse im Rahmen der Terrorabwehr und der Verfolgung anderer Straftaten gibt, dann ist das doch kein rein auf das Thema Cloud-Computing beschränktes Problem.
Die Frage des angemessenen Datenschutzniveaus stellt sich doch dann bei jeder Auslagerung personenbezogener Daten in die USA, auch und gerade dann wenn das Datenschutzniveau durch ein Safe-Harbor-Beitritt gewährleistet werden soll. Der ungewollte und nach BDSG unzulässige Zugriff amerikanischer Behörden auf diese Daten ist doch kein reines Cloud-Computing-Problem. Genau so wird es aber dargestellt.
Benno Barnitzke
Kurzbeiträge/Kommentare
MMR-Aktuell 2011, 321103
.... mit einer weiterführenden Analyse. Ergebnis: die Herausgabe sei eine zweckwidrige und damit rechtswidrige Datenverarbeitung i.S.d. BDSG dar, die durch § 43 Abs. 2 BDSG sanktioniert wird .
@ Ferik #2 und #7:
Die Problematik des legalen Drittzugriffs Dritter auf Daten in europäischen Clouds ist tatsächlich ein wichtiges Thema beim Cloud Computing. Diese Thematik ist durchaus cloudspezifisch, weil die Daten in der Cloud einer wesentlich höheren Fluktuation unterliegen und sehr einfach transferiert werden können, und das sogar innerhalb der verantwortlichen Stelle (in dem von Ihnen angesprochenen Fall innerhalb der Microsoft Private Cloud, d.h. von einem Rechenzentrum als unselbständige europäische Niederlassung). Außerdem stellen sich diese Fragen in Bezug auf Cloud Computing in dieser Häufigkeit in keinem anderen Bereich, weil die Cloud-Vernetzung einen einfachen, externen weltweiten Zugriff ermöglicht.
Im Übrigen stimme ich bralex (#3) zu; auch für mich kam es überraschend, dass die Daten (faktisch) nicht sicher vor US-Zugriff sind. Rein rechtlich sind sie es meiner Meinung nach jedenfalls, siehe meinen von Herrn Spies bereits zitierten Beitrag.
Mittlerweile hat übrigens auch Google zugegeben, dass das Unternehmen auf seinen europäischen Servern gespeicherte Daten den US-Behörden zugänglich macht.