Was bringt es, wo meine Daten liegen?
Foto: Glyn Lowe Photoworks, CC BY-ND
„Über den Wolken“, sang Reinhard Mey, „muss die Freiheit wohl grenzenlos sein“. Ähnliches wollen auch die IT-Unternehmen für ihre Cloud-Dienste glauben machen. Wenn es um die Durchsetzung von Verbraucher- und Datenschutzrechten sowie die Zugriffsrechte der Sicherheitsbehörden geht, landet man jedoch rasch auf dem harten Boden zäher juristischer Auseinandersetzungen.
Führende amerikanische Unternehmen wie Amazon, Microsoft oder Google vermarkten ihre Dienste nach dem Motto, dass es egal sei, wo die Daten gespeichert werden – Hauptsache, sie sind verfügbar. Aus pragmatischer Nutzerperspektive klingt das überzeugend. Nicht zuletzt deshalb werden so viele der oftmals kostenlosen Angebote nachgefragt.
US-Unternehmen gegen Durchgriffsrechte nach Europa
Aus juristischer Sicht ist es aber keineswegs irrelevant, wo die Daten physisch gespeichert werden. Microsoft wehrt sich derzeit erbittert gegen die Vorgabe eines New Yorker Gerichts, E-Mails an die amerikanische Justiz auszuhändigen, die bei einer irischen Tochtergesellschaft gespeichert sind. Für die US-Computerindustrie ist dies ein nahezu traumatisches Verfahren, da es das so wichtige Vertrauen der Nutzer in ihr Cloud-Geschäftsmodell untergräbt. So stagniert der Cloud-Markt zurzeit, weil die Anwender stark verunsichert sind.
Die New Yorker Richterin Loretta A. Preska, die zuletzt mit dem Fall befasst war, vertritt die Überzeugung: „Es geht darum, wer die Information kontrolliert, nicht wo sie liegt.“ Ähnlich würden es wohl auch die US-Geheimdienste formulieren. Inzwischen unterstützt fast die gesamte amerikanische IT-Industrie Microsoft in diesem richtungweisenden Verfahren, das bis zur letzten Instanz gebracht werden soll. Denn vor allem die europäischen Tochterfirmen der US-Konzerne könnten massive Probleme bekommen, wenn Unternehmen und Behörden sie angesichts der amerikanischen Durchgriffsrechte von einer Beauftragung ausschließen könnten
Faktisch versuchen allerdings auch die US-Unternehmen selbst den Grundsatz zu leben, wonach es auf die Kontrolle der Daten ankommt und nicht darauf, wo sie gespeichert und verarbeitet werden. Facebook etwa hat sich bislang erfolgreich den Regelungsansprüchen europäischer Datenschützer entzogen, um weiterhin den Umgang mit den Daten nach eigenem Gusto bestimmen zu können. Das aktuelle Verfahren in Wien, das der österreichische Jurist Max Schrems aus eigener Verbraucherperspektive angestrengt hat, versucht das Unternehmen mit dem Argument abzuwenden, das Gericht sei gar nicht zuständig. Laut österreichischem Verbraucherrecht kann aber ein Verbraucher dort klagen, wo er wohnt.
Wachsende Zweifel an „Safe Harbour“
Versucht ein europäischer Verbraucher seine Datenschutzrechte bei US-Unternehmen durchzusetzen, stehen seine Chancen eher schlecht. So gilt mit der Safe-Harbour-Vereinbarung für den Datenschutz ein Rechtskonstrukt, wonach es eigentlich egal ist, ob ein amerikanisches Unternehmen die Daten in Europa oder in den USA gespeichert werden. Hauptsache ist, das amerikanische Unternehmen sichert zu, für einen dem europäischen Standard angemessenen Datenschutz zu sorgen. Weil europäische Verbraucher bislang aber in den USA ihre Rechte nicht einklagen können, wurde dies auch nicht vor einem amerikanischen Gericht in Frage gestellt.
Studien wie die des Beratungsunternehmens Galexia für das EU-Parlament (PDF) zeigten mehrfach, dass viele Angaben der Unternehmen falsch oder veraltet sind. Die zuständige amerikanische Kontrollbehörde hat gegen die massenhaften Falschangaben bislang wenig unternommen, obgleich während der Verhandlungen des Abkommens von den Unterhändlern versichert worden war, dass falsche Angaben mit hohen Bußgeldern geahndet werden würden.
Wie relevant der Ort der Datenverarbeitung für die Rechte des Nutzers ist, hat Max Schrems bislang in seiner Auseinandersetzung mit Facebook und der für das Unternehmen zuständigen irischen Aufsichtsbehörde exemplarisch vorgeführt. Mit dem PRISM-Skandal wurde bekannt, dass amerikanische Geheimdienste Zugriff auf die Inhalte sozialer Netzwerke haben. Max Schrems wies die irische Aufsichtsbehörde darauf hin, dass Facebook die persönlichen Daten seiner Nutzer wohl nicht vor dem Zugriff geschützt habe. Die Behörde lehnte eine Überprüfung des Vorwurfs ab, da das so genannte Safe-Harbour-Abkommen einen Datentransfer in die USA ja erlaube.
Schrems wandte sich darauf hin an das oberste irische Gericht, welches das Verfahren wegen seiner grundsätzlichen Bedeutung an den Europäischen Gerichtshof überwies, der seit März in der Sache verhandelt. Damit steht das Safe-Harbour-Abkommen jetzt auf dem gerichtlichen Prüfstand, über dessen Reform die EU-Kommission seit Jahren ergebnislos mit den Amerikanern verhandelt. Die deutschen Aufsichtsbehörden erkannten das Problem mit Safe Harbour erst spät und nur zwei Behörden, nämlich Berlin und Bremen, leiteten deshalb 2014 ein Verwaltungsverfahren zur Überprüfung ein.
EU-Datenschutzreform: Jeder kann zu seiner Datenschutzbehörde gehen
Der Fall führt vor, dass europäische Nutzer in Sachen Datenschutz nach geltendem Recht sich immer an die für das Unternehmen zuständige Aufsichtsbehörde wenden müssen. Das kann wegen des Orts mit einem erhöhten zeitlichen und finanziellen Aufwand verbunden sein, zumal amerikanische IT-Konzerne sich aus Steuergründen in Irland oder Luxemburg niederlassen. Beides sind Länder, die aber auch ihre Aufsichtsbehörden nicht unbedingt personell üppig ausgestattet haben.
Die Europäische Kommission griff daher den Fall „Schrems“ bei der derzeit erarbeiteten Datenschutzreform auf. Tritt sie in Kraft, können Bürger sich direkt an ihre örtliche Datenschutzaufsichtsbehörde wenden, die dann den Fall an die Aufsichtsbehörde weiterleitet, die für das Unternehmen zuständig ist. Die Entscheidung dieser Aufsichtsbehörde kann der Verbraucher dann nur noch direkt beim Europäischen Gerichtshof in Luxemburg anfechten, der hierfür noch eine eigene Rechtsprechung entwickeln muss.
Etliches könnte dann künftig anders laufen, als es deutsche Bürger in ihrer Rechtstradition gewohnt sind. Darauf wiesen bereits etliche renommierte Juristen wie Johannes Masing und Rechtsexperten wie Spiros Simitis hin, als die EU-Kommission die Reform vorstellte. Die Entwicklung ist durchaus kritisch zu sehen, wie das Urteil zum „Recht auf Vergessenwerden“ gegen Google zeigte. Hier versäumte es das Gericht, für künftige Fälle Abwägungskriterien zu benennen.
Gütesiegel mit Lücken
Wie kann man als Nutzer also erfahren, wo die eigenen Daten gespeichert werden? Viele Dienste geben hierüber noch keine exakte Auskunft. Deshalb können Zertifikate hier Orientierung leisten. Für Cloud-Dienste etwa gibt es inzwischen zwei Dutzend europäische Gütesiegel. Doch keines reflektiert den oben geschilderten Microsoft-Rechtsstreit, also ob das europäische Rechenzentrum amerikanischer Rechtsprechung unterliegt, weil es zu einem US-Konzern gehört. So gibt das führende „Eurocloud“-Gütesiegel zwar den Standort eines Rechenzentrums an, mehr aber auch nicht. Daher führen auch US-Tochterfirmen dieses Gütesiegel, die derzeit überdies mit ausgefeilten Verschlüsselungsmaßnahmen um das Vertrauen der Kunden werben.
Helmut Fallmann, Vorstand des österreichischen Cloud-Anbieters Fabasoft, betont daher: „Es gibt derzeit kein europäisches Cloud-Gütesiegel, das dem Kunden auch Rechtssicherheit signalisiert.“ Er wirbt deshalb schon seit geraumer Zeit für ein Gütesiegel mit dem Prädikat „Made in Europe“. Ein entsprechendes Positionspapier hat Fallmann EU-Kommissar Günther Oettinger übergeben. Unterstützt wird Fallman durch Reinhard Clemens, Vorstand der Deutschen Telekom und Chef von T-Systems. Er glaubt, dass „unsere digitale Ökonomie von einem Gütesiegel profitieren würde, gerade auch im globalen Wettbewerb. Denn Cloud-Dienste kennen keine Grenzen.“
Unterstützt wird dieser Ansatz auch durch die aktuelle Rechtsentwicklung: Der Europäische Gerichtshof führt auch in seinem Urteil zur Vorratsdatenspeicherung aus, dass die Einhaltung von Datenschutz- und Datensicherheitsregeln nicht gewährleistet werden kann, wenn sensible Bürgerdaten außerhalb der Europäischen Union gespeichert werden. Auch fordert die kommende europäische Datenschutz-Grundverordnung dazu Audits und Gütesiegel.
Die „Cloud Select Industry Group“, in der sich IT-Unternehmen bei der EU-Kommission mit dem Thema Euro-Cloud beschäftigen, schloss interessanterweise aber die Schaffung eines neuen Gütesiegels bereits kategorisch aus. Auffallend tonangebend sind hier US-Unternehmen wie IBM und Microsoft, die über ein deutlich höheres Lobbybudget verfügen als die europäischen Mittelständler wie Fabasoft.
Besserung in Sicht, aber Orientierung bleibt schwierig
Mit der europäischen Datenschutzreform brechen neue Zeiten an, aber ob sie wirklich einen besseren Rechtsschutz liefern wird, muss sich erst noch heraus stellen. Das Safe-Harbour-Abkommen wird derzeit neu verhandelt, damit Nutzer ihre Rechte besser durchsetzen können. Vor allem die Datenschutz-Aufsichtsbehörden sind gefragt, rechtskonforme Bedingungen in der Realität durchzusetzen und Missstände umgehend anzugehen.
Freiwillige Mechanismen wie Gütesiegel werden derzeit aufgrund von Lobbydruck der US-Industrie nicht weiter entwickelt. Sie liefern gleichwohl für eine Grundorientierung für Nutzer, die dennoch selber sorgfältig entscheiden und abwägen müssen, wie sie bestimmte Dienste verwenden.
