
Viele US-Cloud-Provider sind sauer. Europäische Konkurrenten werben damit, ihre Angebote seien sicher vor dem Zugriff von US-Behörden.
von Joachim Hackmann
Die US-Anbieter beklagen einen massiven Wettbewerbsnachteil. Ursache für die schlechte Stimmung ist der Patriot Act, der amerikanischen Behörden das Recht einräumt, unter bestimmten Umständen in der Cloud gespeicherte Kundendaten einsehen zu dürfen. Dieses Recht erstreckt sich auch auf die europäischen Tochtergesellschaften von US-Firmen. Entscheidend ist nicht der Speicherort, sondern der Sitz der Muttergesellschaft.
"Europäische Daten sind selbst dann nicht immer vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht auf einem Server in den USA liegen", erläutert Michael Rath, Anwalt für IT-Recht bei der Kanzlei Luther Rechtsanwaltgesellschaft mbH in Köln. So konnte etwa die britische Microsoft-Dependance während der Office-365-Präsentation im Juni 2011 einen Zugriff der US-Behörden auf Kundendaten nicht ausschließen. Laut Ermittlungen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gehen die Zugriffsrechte der US-Behörden sogar noch weiter. Die Konzernmutter müsse keineswegs ihren Sitz in den USA haben, um den Bestimmungen des Patriot Acts zu unterliegen. Sobald eine irgendwie geartete Konzernverbindung in die USA bestehe, bestehe Auskunftspflicht.
Das Antiterrorgesetz bremst die US-Anbieter aus, wenn Kunden europäische Datenschutzstandards verlangen und eigentlich Schutz vor dem Patriot Act meinen. "Offiziell wird das keiner sagen", räumte ein Mitarbeiter eines großen IT-Providers ein. "Aber kein Kunde wird seine Daten auf einem Server ablegen, der Schlupflöcher für Wirtschaftsspionage lässt."
Markenzeichen "Deutsche Cloud"
Zum Ärger der US-Provider spielt die europäische Konkurrenz den Datenschutz als Trumpfkarte gegenüber Kunden aus. Bereits vor zwei Jahren brachte T-Systems-Chef Reinhard Clemens die "Deutsche Cloud" ins Gespräch (siehe "Brauchen wir eine deutsche Cloud"), die mit einer Art Siegel hiesigen Datenschutz garantieren soll. Zudem preschen kleine Anbieter in sich öffnende Nischen vor: "Der Zugriff durch US-Behörden gemäß US Patriot Act ist ausgeschlossen", wirbt etwa Fabasoft für den Collaborations-Dienst "Folio Cloud". Der Nachrichtendienst Bloomberg meldete, T-Systems umwerbe Kunden mit Zugriffsschutz vor US-Behörden. "Wir agieren im europäischen Rechtsraum, und die US-Behörden können nicht einfach auf Daten unserer Kunden zugreifen", verteidigte Clemens daraufhin die Strategie.
Foto: Reinhard Clemens
Der Druck der US-Industrie auf die eigene Regierung wächst. Inzwischen sahen sich zwei hochrangige US-Beamte veranlasst, die Branche zu beschwichtigen. Bruce Swartz, stellvertretender Generalstaatsanwalt im Justizministerium, und Philip Verveer, stellvertretender Staatssekretär für internationale Kommunikation im Außenministerium, betonten, die USA hätten ähnlich hohe Datenschutzstandards wie die EU. Allerdings machten weder Swartz noch Verveer den Anbietern Hoffnung auf Änderungen am Patriot Act.
Sie räumten ein, dass das Cloud Computing die Art und Weise verändert habe, wie Unternehmen Daten speichern und darauf zugreifen, betonten im gleichen Atemzug aber, dass die fundamentalen rechtlichen Schutzmechanismen für Auslandsgeschäfte unangetastet bestehen bleiben. "Jede Darstellung, die Vereinigten Staaten schätzen den Wert des Datenschutz nicht, ist falsch", sagte Swartz.
Die US-Presse greift derweil die EU an: "Die zynische Kampagne der EU gegen amerikanische Cloud-Provider" überschreibt etwa David Linthicum seinen Kommentar in der CW-Schwesterpublikation Infoworld und fragt: "Macht die EU die US-Cloud-Provider schlecht, um Raum für europäische Cloud-Companies zu schaffen?" Der Online-Dienst gigaom.com schimpft: "Anschnallen für die nächste Welle des Cloud-Protektionismus."
Philip Verveer, stellvertretender Staatssekretär im Außenministerium, hält die Kontroverse für aufgeblasen. Das Thema sei in Krisenzeiten auf die Agenda gerückt, weil das Cloud-Geschäft Wachstum verspreche. Er verwies auf Gartner-Zahlen, wonach im Jahr 2015 im westeuropäischen Cloud-Markt 47 Milliarden Dollar verteilt werden. "Es steht viel Geld auf dem Spiel", bringt es Verveer auf den Punkt.
Die Position des Bitkom
Der Bitkom muss die Interesse sowohl der IT-Firmen mit amerikanischen Wurzeln als auch die der heimischen Anbieter vertreten. Das ist angesichts des Trubels um den Patriot Act ein heikles Unterfangen. Der Verband antwortete auf eine CW-Anfrage zum Thema folgendermaßen:
"Für alle Unternehmen, die auf beiden Seiten des Atlantiks Daten verarbeiten, stellen die teils widersprechenden rechtlichen Verpflichtungen aus der amerikanischen und der europäischen Rechtsordnung eine erhebliche Rechtsunsicherheit dar. Der Bitkom schlägt Gespräche zwischen Europa und den USA zur Klärung der Voraussetzungen für einen staatlichen Zugriff auf personenbezogene Daten auch jenseits des staatlichen Hoheitsgebiets vor.
Es sollten schnellstmöglich ein gemeinsames Verständnis und ein in beiden Regionen gültiger Rechtsrahmen entwickelt und umgesetzt werden, unter welchen Voraussetzungen Unternehmen zur Herausgabe von personenbezogenen Daten verpflichtet werden können. Entsprechend sollten dann auch die Pflichten aus dem jeweiligen Datenschutzrecht im Sinne einer Harmonisierung auf hohem Datenschutzniveau angepasst werden."
(Computerwoche / rb)
Der Patriot Act
Der Patriot Act wurde im Oktober 2001 als Reaktion auf die Terroranschläge vom 11. September 2001 von der damaligen Bush-Administration auf den Weg gebracht. Es räumt den Ermittlungsbehörden weit reichende Befugnisse ein und schränkt amerikanische Bürgerrechte ein. So ist etwa die Telefon- und Internet-Überwachung ohne richterliche Kontrolle möglich. Die Behörden können unter bestimmten Umständen im Zuge des Patriot Acts auch Daten auf ausländischen Servern einsehen. Das Gesetz wurde von US-Präsident Barack Obama im Mai 2011 um vier Jahre verlängert.