Cloud Computing steckt in einem Dilemma. Grundsätzlich geht das Konzept von Cloud Services und Cloud Computing von virtualisierten, verteilten Resourcen aus, die sich im Extremfall sogar rund um den Erdball befinden können. In Bezug auf Datenschutz birgt dies jedoch eine grosse Gefahr. Besonders deutsche Unternehmen sind gemäss des Bundesdatenschutzgesetz angehalten, personenbezogene Daten nicht außerhalb der EU zu speichern, da die Einhaltung europäischer Datenschutzbestimmungen nicht gewährleistet werden kann.

Bei der Speicherung von Daten deutscher Unternehmen in US-Amerikanischen Rechenzentren stehen sich 2 Rechtsgebilde gegenüber: Das deutsche Bundesdatenschutzgesetz und der Patriot Act der USA – das erste verbietet die Offenlegung von Daten, das zweite verlangt die Offenlegung von Daten, sobald die Heimatschutzbehörde der USA hierfür eine Notwendigkeit sieht.

Es stellt sich nun heraus, dass dies nicht nur für die Speicherung von Daten in den Rechenzentren außerhalb der EU gilt, sondern auch für die europäischen Rechenzentren amerikanischer (Mutter-) Unternehmen in der EU.

Gemäß dem Patriot Act müssen in den USA ansässige Unternehmen den US-Behörden bei Bedarf auch Daten zugänglich machen, die sie außerhalb der USA gespeichert haben – also auch in Deutschland oder in einem anderen europäischen Land. Es kann daher auf Grund gesetzlicher Bestimmungen der USA nicht garantiert werden, dass personenbezogene Daten in der EU verbleiben, dass also die europäischen Vorschriften eingehalten werden. Daher sind auch “europäische” Cloud Anbieter mit amerikanischen Muttergesellschaten (wie z.B. Amazon, Microsoft, Hewlett-Packard, IBM und diverse andere) nicht in der Lage deutschen Unternehmen Rechtssicherheit zu gewähren. Dies wir spätestens offensichtlich, wenn ein Kunde versucht gesicherte Aussagen zum Thema Auftragsdatenverarbeitung und Datenschutz zu bekommen.

Bedeutet dies nun, dass deutsche und europäische Unternehmen grundsätzlich von der Welt des Cloud Computing ausgeschlossen sind? Mitnichten!!!

Laut EU-Recht ist die Weitergabe von Kunden-bezogenen Daten in andere Regionen ausserhalb der EU für europäische Cloud-Provider strikt verboten. Konkret bedeutet dies: Europäische Cloud-Anbieter können von US-Behörden nicht gezwungen werden, Daten von Nicht-Amerikanern herauszugeben – es sei denn, der Kunde gibt sein ausdrückliches Einverständnis. Das Gesetz ist unmissverständlich: Beauftragt ein europäischer Kunde einen europäischen Provider, und speichert dieser die Daten in Europa, so greift europäisches Recht.

Die Argumente grosser Hersteller (meist mit amerikanischen Muttergesellschaften), dass die Begrenzung der Rechenzentrumsstandorte auf eine Region dem Grundgedanken von Cloud Computing widerspricht, fällt für mich unter das Thema Verunsicherung der Kunden. Es ist durchaus auch nachzuvollziehen, dass niemand gerne über einen Umstand sprechen will, an dem die Verantwortlichen nichts ändern können – der patriot Act ist eben bindend.

Es reicht als Anbieter also nicht mehr aus, sich über Technologien und Service Level Agreements zu positionieren. Auch der Standort eines Rechenzentrums und die damit verbundenen rechtlichen Rahmenbedingungen, dem der Cloud-Provider unterliegt sind ein, wenn nicht sogar DAS, entscheidende Merkmal für die Auswahl eines Providers. Amerikanische Kunden und Unternehmen mögen, da sie dem Patriot Act unterliegen, augenblicklich keine Alternativen haben. Für Europa jedoch gilt: Eine Datenweitergabe ohne das ausdrückliche Einverständnis des Kunden ist gesetzlich nicht zulässig.

Für interessierte Kunden bedeutet dies, dass eine sorgfältige Prüfung im Vorfeld eines Service-Vertrags stattfinden muss. Die Datenschutzbestimmungen, der Standort des Rechenzentrums, die rechtliche Grundlage der Verträge und die Beteiligungsverhältnisse der Provider-Gesellschaft sind die zentralen Elemente.