Cloud-Dienste: Griff nach den Daten

Griff nach den Daten

 

Von Harald Czycholl

Die US-Regierung will auf im Ausland gespeicherte Daten von Ausländern zugreifen können, sofern diese Dienste von US-Anbietern wie Microsoft nutzen. In Kürze entscheidet das oberste US-Gericht.

Wenn US-Behörden per Durchsuchungsbefehl bei US-Unternehmen die Herausgabe von Kundendaten verlangen, haben sie dann auch Anspruch auf Daten, die im Ausland – etwa in Europa – gespeichert sind? Diese Frage beschäftigt den Obersten Gerichtshof der USA.

Das Wichtigste in Kürze:

  • Der US Supreme Court entscheidet in Kürze darüber, ob Microsoft Daten, die auf irischen Servern liegen, an US-Behörden herausgeben muss.
  • Würde Microsoft zu einer Herausgabe der Daten gezwungen, würde das Unternehmen zugleich gegen das europäische Datenschutzrecht verstoßen.
  • Die Europäische Union, verschiedene IT-Konzerne, Interessengruppen und Verbände haben Eingaben zu dem Fall in Form von sogenannten „Amicus Curiae“-Briefen gemacht.
  • Auch die European Company Lawyers Association (ECLA), zu der der Bundesverband der Unternehmensjuristen (BUJ) gehört, hat dem Gericht die Bedenken vorgetragen.
  • Datenschutz-Experten raten dazu, aufgrund der bestehenden Unsicherheit amerikanische ITDienstleister zu meiden und auf europäische Alternativen auszuweichen.
  • Generell sollte man nur jene Online-Tools nutzen, die im Arbeitsalltag wirklich weiterhelfen und eine positive Arbeitsentlastung bringen.
DER FALL

Die Richter des US Supreme Court müssen darüber entscheiden, ob Microsoft US-Ermittlern Daten herausgeben muss, die auf Servern in Irland lagern. Konkret geht es in dem Fall um das Postfach eines Outlooknutzers, der verdächtigt wird, als Administrator für den 2013 hochgenommenen Online-Drogenmarktplatz Silk Road gearbeitet zu haben. Microsoft hatte die Herausgabe der Daten an die Ermittlungsbehörden verweigert – vor allem, um keinen Präzedenzfall zu schaffen.

„In der Cloud gespeicherte Informationen sollten denselben Schutz genießen wie Papier, das in einem Schreibtisch aufbewahrt wird.“

Brad Smith, Chefjustiziar, Microsoft

Microsofts Chefjustiziar Brad Smith argumentiert, das einschlägige Gesetz aus dem Jahr 1986, auf das sich die Behörden berufen, könne sich nicht auf Clouds beziehen, weil der Gesetzgeber damals überhaupt noch keine Cloud kennen konnte. Und außerdem gelte US-Recht grundsätzlich nur innerhalb der amerikanischen Landesgrenzen. „Wir glauben, dass die Rechte auf Privatsphäre der Menschen durch die Gesetze ihrer jeweiligen Länder geschützt sein sollten“, so Smith in einem Blog-Beitrag. „In der Cloud gespeicherte Informationen sollten denselben Schutz genießen wie Papier, das in einem Schreibtisch aufbewahrt wird.“ Die US-Regierung hält dagegen: Eine Entscheidung des Gerichts zugunsten von Microsoft würde die Sicherung von Beweisen behindern – auch bei Fällen von Kinderpornografie. Zwei Gerichte waren aufgrund eines Patts bei den Richterstimmen zuvor zu keiner Entscheidung gekommen. Daher liegt der Fall nun beim Supreme Court. Die Entscheidung soll voraussichtlich im Juni fallen.

DAS DILEMMA

Nicht nur die amerikanische IT-Branche ist alarmiert – die Unternehmen befürchten Milliardenverluste im Cloud-Geschäft, wenn der Supreme Court den Behörden den Zugriff auf Daten im Ausland ermöglicht. Auch die Europäische Union hat ein signifikantes Interesse an dem Fall. Und zwar nicht nur, weil es um EU-Bürger geht, sondern vor allem, weil hier verschiedene Rechtsnormen kollidieren könnten. Daten, die in Irland verarbeitet werden, unterliegen nämlich dem EU-Datenschutzrecht. Die neue Datenschutz-Grundverordnung (DSGVO) der EU, die am 25. Mai offiziell in Kraft tritt, regelt Datentransfers in Nicht-EU-Staaten. Entsprechende Anordnungen von ausländischen Gerichten werden demnach nur anerkannt, wenn es ein Abkommen zwischen den Ländern und der EU gibt. Im Klartext: Würde Microsoft die Daten auf Anordnung des Supreme Court an die Behörden herausgeben, würde das Unternehmen gegen EU-Recht verstoßen – und bei einer Weigerung dann wiederum gegen US-Recht. Eine echte juristische Zwickmühle.

DIE EINGABEN

Die Europäische Union, verschiedene IT-Konzerne, Interessengruppen und Verbände haben Eingaben zu dem Fall in Form von sogenannten „Amicus Curiae“-Briefen gemacht, darunter auch die European Company Lawyers Association (ECLA), zu der auch der Bundesverband der Unternehmensjuristen (BUJ) gehört. Auch der Dachverband der europäischen Digitalbranche „Digital Europe“, zu dessen Mitgliedern die deutschen Verbände Bitkom und ZVEI zählen, wendet sich gegen das Ansinnen der US-Regierung, genau wie der Bundesverband der Deutschen Industrie (BDI) und der Deutsche Industrie- und Handelskammertag (DIHK).

„Ein direkter Zugriff von US-Behörden auf Personendaten aus Europa ist unvereinbar mit europäischem Datenschutzrecht.“

Dr. Bernhard Rohleder, Hauptgeschäftsführer, Bitkom

 

„Ein direkter Zugriff von US-Behörden auf Personendaten aus Europa ist unvereinbar mit europäischem Datenschutzrecht“, erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. Zur Zusammenarbeit mit ausländischen Behörden gebe es bestehende Rechtshilfeabkommen, die nicht dadurch umgangen werden dürften, dass US-Behörden unmittelbaren Zugriff auf Daten in Europa verlangen. Für Unternehmen mit Standort in den USA wie auch ihre Kunden wäre eine Änderung der bestehenden Praxis mit großer Rechtsunsicherheit verbunden und damit unzumutbar.

DIE KONSEQUENZEN

Selbst wenn der US Supreme Court das Ansinnen der US-Regierung zurückweisen sollte: Das Vertrauen ist dahin. „Wir empfehlen grundsätzlich zu prüfen, ob es nicht Alternativen in Form europäischer Anbieter gibt“, sagt Dr. Philip Kempermann, Rechtsanwalt und Partner in der Kanzlei Heuking Kühn Lüer Wojtek in Düsseldorf. Mit der Nutzung populärer Cloud-Dienste wie etwa Dropbox sollte man als deutsches oder europäisches Unternehmen ohnehin zurückhaltend sein, solange nicht mindestens eine Vereinbarung zur Auftragsverarbeitung gemäß Artikel 28 DSGVO vorliegt, empfiehlt der Datenschutzexperte.

„Wir empfehlen grundsätzlich zu prüfen, ob es nicht Alternativen in Form europäischer Anbieter gibt.“

Dr. Philip Kempermann Rechtsanwalt und Partner, Heuking Kühn Lüer Wojtek

 

Allerdings dürfe man sich auch nicht der Vorstellung hingeben, europäische Behörden würden nicht auch Anordnungen zur Datenherausgabe unter Umgehung der offiziellen Rechtshilfekanäle treffen, sagt Kempermann. „Die belgischen Strafverfolgungsbehörden beispielsweise agieren ganz ähnlich wie die Amerikaner.“

Irisches Gericht erlaubt Auslieferung von mutmaßlichem Drogenhändler

Der mutmaßliche Drogenhändler Gary D., auf dessen Outlook-Daten sich die US-Regierung mit ihrer Klage gegen Microsoft vor dem US Supreme Court den Zugriff sichern möchte, darf in die USA ausgeliefert werden. Das hat der irische High Court entschieden. Unter dem Alias-Namen Libertas soll der Ire als Administrator für den Drogenmarktplatz Silk Road gearbeitet haben. Seit dem Ende des Online-Drogenmarktplatzes im Jahr 2013 wird D. von den US-Behörden gesucht. Ihm wird unter anderem Verabredung zum Drogenhandel und zur Geldwäsche vorgeworfen.

DIE EMPFEHLUNGEN

Dr. Philip Kempermann empfiehlt Unternehmen, bei der Nutzung von Cloud-Lösungen grundsätzlich auf Business-Dienste zurückzugreifen. „Man muss genau die Angebotsbedingungen studieren und prüfen, ob der Anbieter sich Rechte an Unternehmensdaten einräumen lassen will – dann ist die Nutzung des Dienstes in der Regel datenschutzrechtlich unzulässig“, so der Datenschutzexperte. „Wichtig sind auch die Angaben zu Datensicherheit, Service Levels und wie schnell man im Ernstfall seine Daten wiederbekommen kann.“

Dazu werde es fast immer erforderlich sein, eine Vereinbarung zur Auftragsdatenverarbeitung gemäß Artikel 28 DSGVO zu schließen. „Zu guter Letzt sollten Kündigungsfristen genau geprüft werden“, rät Kempermann. „Wenn man einen unternehmenskritischen Service mit einer Kündigungsfrist von vier Wochen bucht, muss man immer die Sorge haben, dass der Anbieter den Dienst einstellt – dann hat man unter Umständen nicht genug Zeit für einen Wechsel und der Betrieb des Unternehmens ist gefährdet.“

DIE CLOUD-ZUKUNFT

Microsoft versucht bereits aktiv, Kunden davon abzuhalten, aufgrund von Datenschutzbedenken den Anbieter zu wechseln: Gegen eine Extra-Gebühr bietet der IT-Gigant an, die Daten in einem von zwei speziellen Rechenzentren in Deutschland zu speichern. Deren Hardware gehört zwar Microsoft – doch das Unternehmen hat laut eigenen Angaben keinerlei Zugriff auf die Daten. Den hat nur der deutsche Kooperationspartner, die Telekom-Tochter T-Systems – sie agiert als sogenannter Datentreuhänder und betreibt das Rechenzentrum.

Allerdings können sich ein solches Modell zum einen nur finanzstarke Unternehmen leisten, die im Ausland geeignete Partner und Rechenzentren finden. Und zum anderen droht neues Ungemach: Der US-Kongress will demnächst ein neues Gesetz beschließen, den sogenannten „Cloud Act“. Danach könnten dann auch Durchsuchungsbefehle für im Ausland gelagerte Daten ausgestellt werden. Der Lichtblick für die betroffenen IT-Unternehmen: Sie sollen bestimmte Rechte erhalten, um eventuell betroffene ausländische Kunden zu schützen.

Microsoft fordert moderne Rechtsstaatlichkeit im Netz

Mehr Transparenz, mehr Datenschutz: Nach diesen Prinzipien möchte Microsofts Chefjustiziar Brad Smith internationale Regeln für Internetdienstleister aufstellen. Das Internet müsse nach rechtsstaatlichen Prinzipien reguliert werden. Man brauche eine moderne Rechtsstaatlichkeit im internationalen Netz. Die dafür notwendigen Gesetze müssten von demokratisch gewählten Regierungen aufgestellt werden.

DIE NUTZENABWÄGUNG

Generell sollte man sich beim geschäftlichen Einsatz von Clouds und anderen Online-Tools fragen, ob sie im Alltag wirklich weiterhelfen und eine positive Arbeitsentlastung bringen, rät Dr. Thomas Söbbing, Fachleiter Recht bei der Deutschen Leasing AG. Denn die Kosten und Risiken sind zu hoch, als dass technische Spielereien zum Einsatz kommen sollten. „Derzeit kann man in Deutschland feststellen, dass der Aspekt der Sicherheit noch immer unterschätzt wird. Dabei ist bekannt, dass Geheimdienste vieler Staaten eigene Unternehmen unterstützen“, so Söbbing.

„In Deutschland wird der Aspekt der Sicherheit noch immer unterschätzt.“

Dr. Thomas Söbbing, Fachleiter Recht, Deutsche Leasing AG

Komme man zu dem Schluss, dass der Einsatz der entsprechenden Tools sinnvoll sei, sei es wichtig, dass „alle sensiblen Daten verschlüsselt werden“, so Söbbing. In jedem Fall solle eine „State of the Art“-Verschlüsselung verwendet werden. Denn schließlich sind Daten der Rechtsabteilung immer höchst vertraulich. Und das sollen sie nach Möglichkeit auch bleiben.

Service: Verschlüsselungs-Software für Unternehmen

  • Symantec Endpoint Encryption: Verschlüsselung von Festplatten und Wechselspeichermedien gewährleistet Datenschutz und die Einhaltung von Compliance-Vorschriften. www.symantec.com
  • Zertificon Z1 SecureMail Gateway: Hoch automatisierte ausfallsichere und fehlerfreie Verschlüsselung von E-Mails in Unternehmen bietet Schutz vor Industrie- und Wirtschaftsspionage. www.zertificon.com
  • Hornet Security E-Mail-Verschlüsselung: Der Verschlüsselungsservice übernimmt bei der Verschlüsselung des E-Mail-Verkehrs das komplette Zertifikats-Management für die Kunden. www.hornetsecurity.com
  • Apsec fideAS File Enterprise: Zuverlässige Schutz sensibler elektronischer Dokumente vor unbefugten Zugriffen. www.apsec.de
  • WinMagic SecureDoc Enterprise Server: Zentrale Verwaltung aller Geräte, mit denen auf Unternehmensdaten zugegriffen werden kann. Rundumschutz für Windows, Mac, mobile Geräte und Wechseldatenträger. www.winmagic.com
  • Trend Micro Endpoint Encryption: Zuverlässiger Schutz für mobile Geräte und Wechselspeichermedien durch Festplattenverschlüsselung, Ordner- und Dateiverschlüsselung. www.trendmicro.de

November, 2018

Mo

Di

Mi

Do

Fr

Sa

So

-

-

-

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

08Nov(Nov 8)9:3009(Nov 9)18:10Digital General Counsel

22Nov(Nov 22)18:3023(Nov 23)18:10Digital Legal Counsel

26Nov(Nov 26)18:3027(Nov 27)18:10IP Summit 2018



X