Gutachten belegt: EU-Clouddaten nicht sicher vor US-Zugriffen

Seit Jahren schwelt ein transatlantischer Streit um die europäische Datensouveränität, wenn es um die Nutzung von Cloudservices US-amerikanischer Anbieter geht. Ein neues Gutachten unter Federführung des Bundesinnenministeriums schafft nun Klarheit, wo bislang nur ein Verdacht herrschte.

Wie weit erstreckt sich der CLOUD Act?

Europäische Datenschützer befürchten von jeher, US-Dienste könnten ungehindert auf europäische Cloudinhalte zugreifen. Schenkt man Microsoft und anderen großen Cloudservice-Betreibern Glauben, können die auf Servern in der EU gehostete Daten den Kontinent nicht verlassen. Nun verpflichtet aber der US CLOUD Act Cloudanbieter in bestimmten Fällen zur Datenherausgabe an US-Dienste, ohne diesen Eingriff bekanntzumachen. Um diese Praxis zu erhellen, gab das Bundesinnenministerium bei Rechtswissenschaftlern der Uni Köln ein Gutachten in Auftrag, das jetzt – mit einigen Schwärzungen – veröffentlicht wurde.

US-Justiz betrifft auch europäische Unternehmen

Das vorweggenommenes Resümee: US-Behörden haben Zugriff auf sensible europäische Daten, selbst wenn diese in EU-Rechenzentren gespeichert sind. Der Speicherort würde dabei von geringerer Wichtigkeit sein als die Herkunft des Cloudbetreibers. Bei einem US-Unternehmen könnte demnach auf Daten zugegriffen werden, auch wenn diese bei dessen europäischen Tochtergesellschaften gespeichert seien. Damit würden laut dem Gutachten die exterritorialen Arme der US-Jurisdiktion bis weit in die europäische Cloud-Unternehmenslandschaft reichen.

Weitreichende Konsequenzen

Doch nicht nur EU-Cloudservices drohen Eingriffe aus Übersee. Wenn andere europäische Unternehmen Geschäftsbeziehungen zu US-Firmen pflegen, sind auch diese potenziell von einer Einflussnahme durch amerikanische Behörden bedroht. Mit der Verschlüsselung von Clouddaten schützen Anbieter diese Informationen ihrer Kunden vor dem eigenen Zugriff. Ein Cloudbetreiber riskiert jedoch nach US-Prozessrecht hohe Bußgelder, sollten von ihm für einen Rechtsstreit relevante Daten nicht zuvor herausgegebenen und gespeichert werden. Hier besteht also ein Dilemma zwischen dem Kundenbedürfnis nach sicherer Verschlüsselung und den Interessen des Staates. In Europa allerdings untersagt die DSGVO heimischen Unternehmen eine Datenherausgabe an die Behörden von Drittstaaten. Einen, wenn auch geringen Spielraum bietet lediglich der Angemessenheitsbeschluss EU-US Data Privacy Framework.

Nur ein abstraktes Risiko?

Die Gutachter im Regierungsauftrag haben in ihrer Analyse rechtliche Aspekte durchleuchtet und die aufgrund von Unternehmensstrukturen immense Reichweite von US-Behörden aufgezeigt. Auf technische Einzelheiten ging die Studie nicht ein. Ist nun die weitere Nutzung von Cloudlösungen US-amerikanischer Muttergesellschaften wie Microsoft mit dem europäischen Datenschutz vereinbar? Heise online zitiert in diesem Zusammenhang Juristen, die von einem „abstrakten Risiko“ sprechen. Ein Cloudbetreiber sei nicht per se unzuverlässig, „solange keine systematischen Verstöße gegen europäisches Recht belegt seien“. Sicher gibt es Experten, die anhand des Gutachtens eine andere Einschätzung treffen.