close

Statement of the Month: Wie europäische Daten in der Cloud geschützt sind

Geschätzte Lesezeit: 3 Minuten

Dr. Joseph Reger, Chief Tech­no­lo­gy Offi­cer bei Fuji­tsu Tech­no­lo­gy Solu­ti­ons

Aktu­el­le Zei­tungs­ar­ti­kel berich­ten, dass der USA Patri­ot Act ame­ri­ka­ni­sche Behör­den dazu berech­tigt, Kun­den­da­ten sogar in euro­päi­schen Daten­zen­tren ein­zu­se­hen, wenn es sich um einen ame­ri­ka­ni­schen Anbie­ter han­delt. Ein Rück­schlag für Cloud Com­pu­ting? Mit­nich­ten! Es ist an der Zeit, eini­ges klar­zu­stel­len, sagt Dr. Joseph Reger von Fuji­tsu Tech­no­lo­gy Solu­ti­ons. In jedem Fall kom­men Unter­neh­men nicht umhin, genau zu prü­fen, wem sie ihre Daten anver­trau­en.

Die jüngs­ten Aus­sa­gen zum USA Patri­ot Act und sei­ne Aus­wir­kung auf Daten in der Cloud haben in der ver­gan­ge­nen Woche vie­le Unter­neh­men in Euro­pa in Unru­he ver­setzt: Eini­ge der Berich­te lösen das unbe­hag­li­che Gefühl aus, die US-Behör­den erhiel­ten durch die­ses Gesetz die Voll­macht, auf sämt­li­che Daten zuzu­grei­fen – unab­hän­gig von ihrem Spei­cher­ort. Doch Panik wäre fehl am Plat­ze. Statt­des­sen soll­ten Unter­neh­men sich nur ein­mal mehr ins Bewusst­sein rufen, dass eine aus­führ­li­che Eva­lua­ti­on im Vor­feld der Nut­zung von Cloud Com­pu­ting uner­läss­lich ist.

Ein­ge­führt nach den Anschlä­gen vom 11. Sep­tem­ber 2011 als ein Anti-Ter­ror-Gesetz, erlaubt der USA Patri­ot Act ame­ri­ka­ni­schen Behör­den weit­rei­chen­den Zugriff auf Daten von US-Unter­neh­men und ihren Kun­den, unab­hän­gig vom Spei­cher­ort. Außer­dem ver­bie­tet das Gesetz den Anbie­tern, die Daten­wei­ter­ga­be gegen­über ihren Kun­den offen­zu­le­gen. Der USA Patri­ot Act ist eine gesetz­li­che Maß­nah­me der Ver­ei­nig­ten Staa­ten, um sich selbst und ihre Inter­es­sen zu schüt­zen. Dies mag gera­de ange­sichts der Ereig­nis­se von 9/11 ein nach­voll­zieh­ba­rer Wunsch der USA sein. Euro­päi­schen Unter­neh­men jedoch, die die­sem Wunsch nicht nach­kom­men und ihre Daten vor dem Zugriff von US-Behör­den schüt­zen wol­len, bleibt nur eine Mög­lich­keit: sich für einen Anbie­ter zu ent­schei­den, der eben nicht dem USA Patri­ot Act unter­liegt.

Das EU-Recht ver­bie­tet euro­päi­schen Cloud-Pro­vi­dern strikt die Wei­ter­ga­be von Kun­den­da­ten in ande­re Regio­nen. Kon­kret heißt dies: Euro­päi­sche Cloud-Anbie­ter kön­nen von US-Behör­den nicht gezwun­gen wer­den, Daten von Nicht-Ame­ri­ka­nern her­aus­zu­ge­ben – es sei denn, der Kun­de gibt sein aus­drück­li­ches Ein­ver­ständ­nis. Das Gesetz ist hier ein­deu­tig; es gibt kei­ne recht­li­chen Streit­punk­te. Beauf­tragt ein euro­päi­scher Kun­de einen euro­päi­schen Pro­vi­der, und spei­chert die­ser die Daten in Euro­pa, so greift euro­päi­sches Recht.

Auf den ers­ten Blick scheint das dem glo­ba­len Kon­zept von Cloud Com­pu­ting zu wider­spre­chen, lebt die­ses doch vom Gedan­ken stan­dar­di­sier­ter, ver­ein­heit­lich­ter und orts­un­ab­hän­gi­ger Ser­vices für einen glo­ba­len Mas­sen­markt. Doch ist die Idee der Cloud damit wirk­lich in Gefahr? Kei­nes­wegs. Den tat­säch­li­chen Nut­zen von Cloud Com­pu­ting näm­lich beein­träch­tigt die ame­ri­ka­ni­sche Rechts­la­ge nicht. Sie ruft uns nur ein­mal mehr ins Gedächt­nis, dass bei aller berech­tig­ten Eupho­rie für die Cloud eines nicht aus dem Fokus gera­ten darf: eine sorg­fäl­ti­ge Prü­fung im Vor­feld eines Ser­vice-Ver­trags. Da gilt es, sich ganz genau über den mög­li­chen Pro­vi­der und sei­ne Bedin­gun­gen zu infor­mie­ren. Und auch das Klein­ge­druck­te zu lesen. So kön­nen Unter­neh­men mög­li­che Fol­gen bes­ser abschät­zen – und Risi­ken ent­we­der eli­mi­nie­ren oder eben in Kauf neh­men.

Doch die aktu­el­le Dis­kus­si­on hat auch für die Anbie­ter von Cloud Com­pu­ting-Diens­ten Kon­se­quen­zen: Sie müs­sen fest­stel­len, dass es nicht mehr aus­reicht, sich über Tech­no­lo­gien und Dienst­gü­te­ver­ein­ba­run­gen zu posi­tio­nie­ren. Künf­tig kann auch der Stand­ort eines Rechen­zen­trums – und damit der recht­li­che Rah­men, dem der Pro­vi­der unter­liegt – zum Dif­fe­ren­zie­rungs­merk­mal wer­den.

Ame­ri­ka­ni­sche Kun­den mögen, da sie dem Patri­ot Act unter­lie­gen, augen­blick­lich kei­ne Alter­na­ti­ven haben. Für Euro­pa jedoch gilt: Eine Daten­wei­ter­ga­be ohne das aus­drück­li­che Ein­ver­ständ­nis des Kun­den ist gesetz­lich nicht legi­ti­miert.

Schlagwörter: , , , ,

Keine Trackbacks
Story Page