News

Wie sich die großen Cloud-Anbieter zum Datenschutz äußern

Zu der im Artikel geschilderten Problematik hat iX den großen Cloud-Anbietern einige Fragen vorgelegt. Gefragt wurde unter anderem, ob die Anbieter eine reine EU-/EWR-Cloud betreiben, welche Garantien die Anbieter den Kunden geben, ob die Rechenzentren vertraglich genannt sind und wie die Anbieter mit Anfragen von US-Behörden umgehen. Hier Auszüge aus den Antworten.

Die Firma Apple „kommentiert dies nicht im Detail“. Dell sieht „keinerlei Anlass für eine Stellungnahme gegeben, da das Unternehmen kein Rechenzentrum in Deutschland betreibt“.

Reine EU-/EWR-Clouds mit verschlüsselter Datenhaltung bietet nach eigener Aussage Fujitsu an. Da allerdings der Hypervisor in Japan betrieben und der Support von den Philippinen aus erbracht wird, hat das Unternehmen mit beiden Organisationseinheiten Verträge nach europäischem Datenschutzrecht geschlossen. Mit den Kunden schließt Fujitsu gemäß BDSG einen Vertrag zur Auftragsdatenverarbeitung, ein Mustervertrag findet sich unter dem iX-Link. Die Zuteilung der Rechenzentren erfolgt je nach Ursprungsort der Kundenanfrage, für EMEA-Kunden stammt der Service aus dem süddeutschen Rechenzentrum (Neuenstadt/Baden-Württemberg). In Bezug auf den Datenzugriff durch US-Behörden sieht sich das Unternehmen an die jeweilige Gesetzgebung des Landes gebunden, das die Leistung erbringt, und bestreitet einen Anspruch der US-Behörden auf etwa die Daten, die im deutschen Rechenzentrum liegen. Kunden werden über entsprechende Anfragen informiert, sofern das nicht gegen die Rechtsvorschriften des leistungserbringenden Landes verstößt. Eine Datenweitergabe aus europäischen Rechenzentren lehnt Fujitsu ab, dem Patriot Act unterliegen nach eigener Aussage nur die Daten seines in den USA befindlichen Rechenzentrums.

Auch HP betreibt nach eigener Aussage reine EU-/EWR-Clouds. Auf Wunsch kann eine Speicherung der Daten ausschließlich dort erfolgen, das Unternehmen informiert den Kunden über die genutzten Rechenzentren. Alle gemäß §11 des Bundesdatenschutzgesetzes (dieser regelt die Auftragsdatenverarbeitung) erforderlichen Vorgaben sind nach Angaben von HP in den Verträgen berücksichtigt. Nach Aussage des Anbieters hat es bisher keine Anfrage nach Kundendaten außerhalb der USA gegeben, weder auf der Basis des Patriot Act noch aufgrund eines National Security Letter. Das Unternehmen hält es für unwahrscheinlich, dass dieser Fall eintreten könne.

Microsoft garantiert keinen Verbleib von Daten in einer EU/EWR-Cloud, das hatte schon Gordon Frazer im Juni klargestellt. Das Unternehmen folgt nach eigenen Angaben der „Orientierungshilfe“ der Datenschutzbeauftragten zu außereuropäischen/internationalen Clouds und bietet zwei Varianten an. Zum einen arbeitet Microsoft mit EU-Standardverträgen und nimmt auch die von den Datenschutzbeauftragten geforderten Zusatzvereinbarungen auf. Zum anderen ist das Unternehmen nach Safe Harbor zertifiziert.

Auskunftsverlangen von US-Behörden auf Grundlage des Patriot Act oder anderen Rechtsgrundlagen prüft Microsoft auf die Rechtmäßigkeit. Im Fall der Rechtmäßigkeit werden die verlangten Auskünfte erteilt. In der Praxis beziehen sich Auskunftsverlangen in den meisten Fällen aber auf Consumer-Dienste, zum Beispiel E-Mail. Hinsichtlich der Cloud-Dienste ist die Zahl der Anfragen nach Auskunft von Microsoft nur sehr gering. Ein Blick in die Rechtsprechung zeigt übrigens, dass Microsoft den Schutz der Daten ausländischer Kunden durchaus ernst nimmt. Das Unternehmen hatte sich geweigert, in den USA gespeicherte E-Mails eines indischen Hotmail-Kunden herauszugeben und argumentiert, der Electronic Communications Privacy Act (ECPA) gelte auch zugunsten von Ausländern. Der zuständige US Court of Appeals for the 9th Circuit gab Microsoft Recht und wies die Klage auf Auskunft ab (Suzlon Energy vs. Microsoft Corporation, Urteil vom 3. 10. 2011).

Die Cloud-Anbieter Salesforce, IBM, Amazon und Google reagierten nicht auf die Anfrage.

Quelle: Heisse Dez 2011