Nachweis erfolgt: USA greifen auf EU-Clouddaten zu

Das Bundesinnenministerium hat ein Gutachten in Auftrag gegeben, um endlich Klarheit zu schaffen, was Datensicherheit auf US-Servern angeht. Als Ergebnis wurde nun bekannt, dass sich der Unsicherheitsverdacht leider bestätigt hat.

Wie weitreichend kommen Übergriffe vor?

Bereits seit Jahren hegen Datenschützer die Befürchtung, dass die großen US-Digitalkonzerne nach Lust und Laune Einsicht in Clouddaten nehmen. Gleichwohl behaupten Microsoft und Co. immer wieder, dass Zugriffe auf Server in Europa nicht möglich seien. Nun verpflichtet aber der US CLOUD Act Cloudanbieter in bestimmten Fällen zur Datenherausgabe an US-Dienste, ohne diesen Eingriff bekanntzumachen. Um diese Praxis zu erhellen, gab das Bundesinnenministerium bei Rechtswissenschaftlern der Uni Köln ein Gutachten in Auftrag, das jetzt – mit einigen Schwärzungen – veröffentlicht wurde. Und die Ergebnisse sind eindeutig.

Behörden aus den USA beanspruchen Datenzugriff

Aus dem Gutachten geht eindeutig hervor, dass Behörden aus den Vereinigten Staaten regelmäßig sensible Daten aus Europa einsehen, sogar wenn diese Daten auf EU-Servern gespeichert sind. Der Speicherort würde dabei von geringerer Wichtigkeit sein als die Herkunft des Cloudbetreibers. Bei einem US-Unternehmen könnte demnach auf Daten zugegriffen werden, auch wenn diese bei dessen europäischen Tochtergesellschaften gespeichert seien. Nach Einschätzung des Gutachtens würde der Einfluss der US-Rechtsordnung damit tief in die europäische Cloud-Industrie hineinreichen.

Konsequenzen in bedenklichem Ausmaß

Die nach EU-Recht unrechtmäßige Dateneinsicht erfolgt allerdings nicht nur auf EU-Cloudservices. Wenn andere europäische Unternehmen Geschäftsbeziehungen zu US-Firmen pflegen, sind auch diese potenziell von einer Einflussnahme durch amerikanische Behörden bedroht. Mit der Verschlüsselung von Clouddaten schützen Anbieter diese Informationen ihrer Kunden vor dem eigenen Zugriff. Ein Cloudbetreiber riskiert jedoch nach US-Prozessrecht hohe Bußgelder, sollten von ihm für einen Rechtsstreit relevante Daten nicht zuvor herausgegeben und gespeichert werden. Hier besteht also ein Dilemma zwischen dem Kundenbedürfnis nach sicherer Verschlüsselung und den Interessen des Staates. In Europa allerdings untersagt die DSGVO heimischen Unternehmen eine Datenherausgabe an die Behörden von Drittstaaten. Hier ist bislang lediglich der Angemessenheitsbeschluss EU-US Data Privacy Framework ein Schritt in eine juristisch angemessene Richtung.

Es geht offensichtlich um mehr als ein „abstraktes Risiko“

Das von der Regierung in Auftrag gegebene Gutachten zeigt auf, welche große Reichweite der Datenmissbrauch erreicht, da die betreffenden US-Behörden sehr weit vernetzt sind. Auf technische Einzelheiten ging die Studie nicht ein. Ist nun die weitere Nutzung von Cloudlösungen US-amerikanischer Muttergesellschaften wie Microsoft mit dem europäischen Datenschutz vereinbar? Heise online zitiert in diesem Zusammenhang Juristen, die von einem „abstrakten Risiko“ sprechen. Ein Cloudbetreiber sei nicht per se unzuverlässig, „solange keine systematischen Verstöße gegen europäisches Recht belegt seien“, ist da zu lesen. Eine Auffassung, die ganz sicher nicht von allen IT-Experten so geteilt wird.