Patriot Act erlaubt Zugriff auf Daten in der Cloud auch außerhalb der USA

In der Cloud zwischengespeicherte Dokumente dürfen nach Ansicht des Innenministers abgehört werden.
In der Cloud zwischengespeicherte Dokumente dürfen nach Ansicht des Innenministers abgehört werden.

Auch die (verhältnismäßig) starken europäischen Datenschutz-Regularien schützen EU-Daten in der Cloud nicht, haben niederländische Forscher in einer neuen Studie zu „Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act“ festgestellt. Sie sagen:

Institutionen verlagern ihre Daten und IT-Operationen zunehmend in die Cloud. Die Konsequenz: Weniger Überblick und Kontrolle für die Regierungen über Daten für Strafverfolgung und Fragen der nationalen Sicherheit.

Konkret geht es um die Möglichkeiten, die sich die US-Regierung mit dem US-Patriot-Act 2001 gegeben hat.

Axel Arnbak, einer der Autoren der Studie, dazu auf CBS News:

Die meisten Cloud-Anbieter, darunter ganz sicher die Marktführer, fallen in die Zuständigkeit der US-amerikanischen Rechtsprechung entweder weil sie US-Firmen sind oder aber weil sie regelmäßig in den USA Geschäfte betreiben. Vor allem das FISA-Gesetz (Foreign Intelligence Surveillance Amendments Act) erleichtert es US-Behörden, kommunale und regionale Behörden zu umgehen und eine direkten und einfachen Zugang zu Cloud-Daten anzuordnen, die Nicht-US-BürgerInnen gehören, die außerhalb der USA leben, mit wenig oder keiner Verpflichtung zu Transparenz bezüglich dieser Praktiken – nicht einmal zur Anzahl solcher Abfragen.

Die Frage nach Zugriffsmöglichkeiten auf eigentlich durch Datenschutz-Regelungen geschützte Cloud-Daten ist nicht neu. Microsoft hat bereits 2011 zugegeben, dass nicht garantiert werden könne, dass seine KundInnen aus der EU überhaupt erfahren, wenn auf ihre Daten, die sich in Rechenzentren in der EU befinden, durch den Patriot Act legitimiert zugegriffen wird. Microsoft U.K. Managing Director Gordon Frazer 2011: „Und das kann auch kein anderes Unternehmen garantieren“.

Joris van Hoboken, ebenfalls Autor der Studie und Forscher am Institute for Information Law der Universität Amsterdam, kritisiert die Verschleierungstaktik der US-Regierung:

Während der Arbeit an der Studie, aber auch jetzt, nachdem sie veröffentlicht wurde, wurde deutlich, wie schwierig es ist, auch nur eine gemeinsame Grundlage für Diskussion oder gar Fortschritt bei diesem Thema zu finden. Die US-Regierung hat zum Beispiel erst kürzlich seine juristische Legitimation verteidigt (pdf), auf Daten von Nicht-US-BürgerInnen zugreifen zu können: das FISA-Erweiterungsgesetz von 2008, das wir in unserer Studie als besonders großzügig problematisiert haben. Wenn man das dem Statement über die fünf Mythen über den Schutz der Privatsphäre (pdf) des US-Botschafters bei der EU gegenüberstellt, könnte man fast den Eindruck haben, dass hier eine parallele Realität geschaffen wird.

Das vollständige Statement des US-Botschafters bei der EU, William E. Kennard, bei der 3. Jährlichen Europäischen Konferenz zu Datenschutz und Privatsphäre am 4. Dezember in Brüssel lässt sich hier nachlesen.

Besondere Brisanz bekamen die Ergebnisse der Studie in den Niederlanden in der vergangenen Woche, als bekannt wurde, dass US-Behörden möglicherweise Zugang zu den niederländischen PatientInnen-Daten haben. Das System zur digitalen Verwaltung der Daten wurde von CSC entwickelt, einer US-Firma mit einer Niederlassung in den Niederlanden, die die Daten auch weiterhin pflegt. Bereits im Juni hatte die sozialliberale Partei D66 darauf hingewiesen, dass die niederländischen Pässe von der US-Firma Morpho produziert werden und damit sämtliche Fingerabdrücke und weiteren biometrischen Daten US-Behörden per Patriot Act  zugänglich sind. Die niederländische Innenministerin Lisbeth Spies erklärte gegenüber dem Parlament im Sommer, dass sie diese Möglichkeit nicht ausschließen könne. Die niederländische Ärzte-Vereinigung VPG klagt inzwischen gegen die digitale Patienten-Akte. Das Argument: die ärztliche Schweigepflicht kann nicht mehr garantiert werden.

CSC hat auch einen Sitz in Deutschland und wirbt u.a. mit den „Success Stories“ Software für Exporte des Bundesamtes für Wirtschaft und Ausfuhrkontrolle (BAFA), Architecture Personnel Recovery beim Waffensystemkommando der Luftwaffe oder der e-Vergabe für das Beschaffungsamt des Bundesinnenministeriums.

 

Bild: Flickr, CC-BY-Lizenz, by FutUndBeidl

Crosspost bei annalist

17 Ergänzungen

  1. Also ich frage mich ja schon länger, warum es in Europa noch keine Unternehmenslobby gibt, die sich da stark macht und groß die Industriespionagekeule schwingt und die Gefährdung des Innovationsstandortes Europas betont und die Konsequenzen für die Arbeitsplätze skizziert.

    1. Weil sich mit den Amis niemand anlegen will. Das kann böse Folgen haben, das macht niemand freiwillig. Die Amis sind gute Handelspartner und unsere Datensicherheit ist unseren Konzernen ziemlich egal. Ihre eigenen Daten werden die schon sicher lagern, von daher kann von Industriespionage keine Rede sein.

      1. Wenn Datensicherheit wichtig ist, darf man halt keine Cloud benutzen (oder nur verschlüsselte Daten hochschieben, was die Verarbeitung schwierig – aber nicht zwangsläufig unmöglich – macht).
        Aber das erfordert, dass man nachdenkt, selbst etwas baut, und *oh mein Gott!* auch noch Verantwortung dafür übernehmen muss. Und davor fürchtet sich Management wie der Teufel vor’m Weihwasser. Da schieben sie lieber kritische Daten in die Cloud und können dann mit dem Finger auf jemand anders zeigen, wenn (wie zu erwarten) etwas schief läuft.

    2. Weil halt (fast) jede wichtige Firma auch Beziehungen in die USA pflegen…und die USA sich ja raus nimmt, über solche Firmen zu richten.

  2. Wer Cloud-Dienste nutzen möchte, muss vermutlich schlicht damit leben …

    Die Regulierung in Europa ist leider ein grosser Nachteil für kleine und kleinste Unternehmen, also beispielsweise gerade viele Kreative und Freiberufler: Während grosse Unternehmen problemlos ihre eigenen Server betreiben können, geht das aus Kostengründen für kleine und kleinste Unternehmen nicht. Gerade sie sind auf Cloud-Dienste angewiesen, damit sie nicht zu teuer, aber vor allem auch effizient genug arbeiten. Heute bevorzugt die Regulierung in Europa leider grosse Unternehmen, während in Amerika und Asien viele kleine und kleinere Unternehmen von zahlreichen Cloud-Diensten profitieren.

    1. Ich verstehe nicht was du meinst, ein „eigener“ (evtl. virtueller), in einem deutschen Rechenzentrum gehosteter Server kostet doch fast nichts mehr, das können sich inzwischen sogar prekärere Freiberufler (wie ich) leisten, und kleinen Firmen sowieso. Ich glaube, es liegt weniger an den Kosten als am fehlenden Problembewussstein, dass immernoch (oder sogar immer mehr) auf Cloud-Dienste gesetzt wird.

      1. Nach dem was im Artikel steht wäre aber selbst ein in Deutschland gehosteter Server nicht davor sicher wenn die Firma in den USA Geschäfte macht und das trifft wohl auf viele größere Firmen zu.

  3. Bald kommt ja Mega von Kim .com :) Dann haben wir eh alles verschlüsselt in der Cloud und die US Regierung darf dann gerne versuchen darauf zu zugreifen.

  4. Um es mal so zu sagen – mir ist es doch lieber, wenn die US-Regierung meine Daten abschnorchelt als wenn es die deutsche Regierung tut. Die deutsche kann mir nämlich deutlich unangenehmer auf die Pelle rücken.

    Das bedeutet aber auch, dass im Endeffekt a) keine Firma irgendwelche Clouddienste nutzen darf und b) alle diese Dienste wohl nach dt. Datenschutzrecht illegal sind, weil eben der Zugriff durch dritte nicht verhindert werden kann. Damit darf man entsprechende Daten praktisch nicht mehr an die entsprechenden Mailanbieter schicken, per Dropbox speichern und so weiter.

  5. Ich würde hier jetzt aber schon erwarten, das die EU irgendwie aktiv wird. Wenn Daten bei US-Anbietern nicht sicher sind, sollen diese in Europa auch nicht agieren dürfen.

  6. Es hätte mich auch schwer gewundert, wenn unsere europäische bzw. nationale „Rechtsordnung“ uns vor datenraffenden Strukturen schützen würde. Sie sammeln ja selbst gern!!

    Bürgerrechte?! Ph!! Darauf sch… Politik doch immer offensichtlicher!

  7. Interessant wird es wenn es spezialisierte europäische Anbieter geben wird die nur in Europa tätig sind, und sich damit nicht Gesetzen von anderen Ländern außerhalb Europas unterwerfen müssen.

  8. Hier muss auch unterschieden werden zwischen amerikanischen Cloud-Anbietern und europäischen. Das EU-Recht greift verbietet europäischen Cloud-Providern strikt die Weitergabe von Kundendaten in andere Regionen. Konkret heißt dies: Europäische Cloud-Anbieter können von US-Behörden nicht gezwungen werden, Daten von Nicht-Amerikanern herauszugeben – es sei denn, der Kunde gibt sein ausdrückliches Einverständnis. Das Gesetz ist hier eindeutig; es gibt keine rechtlichen Streitpunkte. Beauftragt ein europäischer Kunde einen europäischen Provider, und speichert dieser die Daten in Europa, so greift europäisches Recht.

    Dazu hat Fujitsu bereits letztes Jahr ein ausführliches Statement geschrieben: http://blog.de.ts.fujitsu.com/allgemeines/statement-of-the-month-wie-europaische-daten-in-der-cloud-geschutzt-sind/

    Mit freundlichen Grüßen
    Sina Laustroer, Pressesprecherin Fujitsu Technology Solutions

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.