Von Vera Hermes
Das im Jahr 2000 in Kraft getretene Safe Harbor-Abkommen regelt den EU-datenschutzkonformen Umgang mit aus der EU übermittelten personenbezogenen Daten in den USA. Es ist als Datenschutzlöwe gestartet und verendet derzeit als Papiertiger: US-Unternehmen können sich mit einer Anmeldung beim US-Handelsministerium ganz einfach selbst als „Unternehmen mit angemessenem Datenschutzniveau“ zertifizieren. Ihre Angaben werden weder evaluiert noch überprüft. Der Düsseldorfer Kreis hat daraufhin Verschärfungen beschlossen – und die treffen nicht die US-Anbieter, sondern die Auftraggeber: Der deutsche Datenexporteur muss nun nachweisen, dass der US-Anbieter gemäß dem Safe Harbor-Abkommen agiert und er muss dies dokumentieren.
Damit nicht genug: Seit den Terroranschlägen 2001 gilt in den USA der Patriot Act. Dieser gewährt US-Behörden einen weitgehenden Zugriff auf Daten – ohne Anlass, ohne richterlichen Beschluss und ohne die Betroffenen zu informieren. Das lässt EU- Datenschützern die Haare zu Berge stehen. Im vergangenen Sommer folgte ein datenschutzrechtlich ebenfalls bedenkliches Bekenntnis von Gordon Frazer, Managing Director vom Microsoft UK: Microsoft, ein US-Unternehmen, ist durch den Patriot Act gezwungen, auch auf europäischen Servern gespeicherte Daten an die US-Behören weiterzugeben. Google räumte wenig später Gleiches ein. Dieses Prozedere widerspricht definitiv dem EU-Datenschutz. Damit werben nun deutsche und europäische Cloud-Anbieter. Die US-Konkurrenten beklagen den Wettbewerbsnachteil bei ihrer Regierung – ohne Erfolg.
Welche Konsequenzen folgen? Genau weiß das noch keiner. Die EU, so heißt es, sei an dem Thema dran, und solange sie noch dran ist, bleibt die Cloud außerhalb der EU-Grenzen eine Grauzone.
Matthias Ehrlich, Vizepräsident des Bundesverbandes Digitale Wirtschaft (BVDW), sagt auf Anfrage: „Cloud Computing erfordert eindeutig verständliche und international anwendbare Regeln, die von allen Marktakteuren akzeptiert werden und unabhängig von einem einzelnen Dienst gelten. Mit anderen Worten: Wir benötigen ein global harmonisiertes Datenschutzrecht. Hierzu enthält der letzte Woche veröffentlichte Entwurf der EU-Kommission für ein neues europäisches Datenschutzrecht sehr begrüßenswerte Ansätze. Bis zu wirklich global einheitlichen Standards ist es jedoch noch ein langer Weg. Daher sollten Cloud-Nutzer wissen, wo ihre Daten gespeichert werden und wie sie ihre Rechte auch bei den Anbietern durchsetzen können, die keinen Sitz in der EU haben.“
Übrigens: Fast wäre es Mitte Januar zu einer höchstrichterlichen Aussage zu diesem Thema gekommen: Der deutsche Cloud-Computing-Anbieter Wice in Hamburg hatte im unternehmenseigenen Blog eine Stellungnahme des Deutschen Anwaltvereins (DAV) zitiert. Demzufolge sind Cloud-Computing-Lösungen von US-amerikanischen Anbietern mit dem deutschen Datenschutz nicht vereinbar. Das brachte den ungleich größeren US-Mitbewerber Salesforce dermaßen auf die Palme, dass er eine Einstweilige Verfügung gegen Wice – nicht gegen den DAV – erwirkte. Die Hamburger wiederum legten Widerspruch ein, im Januar sollte man sich vor Gericht treffen. Einen Tag vor der Verhandlung meldeten die Kontrahenten eine außergerichtliche Einigung, über die sich beide zur Verschwiegenheit verpflichtet hatten.