Cloud Computing: EU-Datenschutz erschwert Verträge mit US-Anbietern

Die Europäische Union ist sehr bedacht, den Datenschutz ihrer Bürger und Unternehmen zu wahren. Damit erschwert sie die Auftragsdatenverarbeitung mit Cloud-Anbietern in den USA und könnte sich zum Business-Killer entwickeln. Auf die Lobby-Verbände kommt viel Arbeit zu.

Es gibt nicht viele Lieder, die es schaffen über Generationen hinweg beliebt zu sein. Bestes Beispiel ist das Lied des Singer-Songwriters Reinhard Mey aus dem Jahr 1974 mit dem Refrain: „Über den Wolken muss die Freiheit wohl grenzenlos sein„. Daran muss ich häufig denken, wenn ich Artikel über Cloud Computing schreibe. Wäre es nicht eine schöne Vorstellung, wenn wir die Cloud als globale, freie, grenzenlose und unendliche Speicherlösung begreifen könnten? Die Realität sieht leider anders aus.

Ich habe in diesem Artikel bereits beschrieben, dass Verträge zwischen Cloud-Anbietern und -Nutzern eine Wissenschaft für sich sind. Außerdem unterliegen europäische Unternehmen hohen Datenschutzanforderungen, die es ihnen quasi unmöglich machen, ihre Daten so ohne Weiteres in die Public Cloud oder in die Hände eines US-amerikanischen Anbieters zu geben.

Keine Daten in die Public Cloud

Die größte Hürde stellt der Patriot Act dar. Er ermächtigt US-amerikanische Behörden dazu, jederzeit auf Daten zugreifen können, die von Cloud-Anbietern mit Hauptsitz in den Vereinigten Staaten verarbeitet werden. „Diese Gesetzeslage verbietet es deutschen Unternehmen und Verwaltungen grundsätzlich personenbezogene Daten – beispielsweise der Mitarbeiter – in Clouds zu speichern, die von US-amerikanischen Unternehmen betrieben werden“, erklärt Daniel Veit, Professer an der Universität Mannheim, das Dilemma. Es müssen also aufwändige Garantievereinbarungen mit dem US-Anbieter oder Unter-Anbieter geschlossen werden, die gewährleisten, dass die personenbezogenen Daten ausschließlich innerhalb des EWR verarbeitet werden.

Ferner können in den USA ansässige Cloud-Anbieter dem Safe-Habor-Abkommen beitreten, indem sie sich verpflichten, besondere Vorkehrungen zum Datenschutz zu treffen. Allerdings steht das Abkommen in Europa immer wieder in der Kritik. So kam es wiederholt vor, dass Unternehmen zwar dem Programm beitreten, aber nicht über die erforderliche Datenschutzverpflichtung verfügen oder diese nur mangelhaft ist. Auch ist die vom US-Handelsministerium zu führende Liste nicht immer aktuell.

Es drohen hohe Strafen

Diese rechtlichen Herausforderungen können sich zu einem nachhaltigen Business-Killer entwickeln. Europäische Unternehmen werden den Datenschutz nicht fahrlässig aufs Spiel setzen. Verstöße bedeuten nicht nur einen Image- und Vertrauensverlust in der Öffentlichkeit, sondern werden mit einer ganzen Bandbreite von Sanktionen belegt. Der Bußgeldrahmen im Bundesdatenschutzgesetz (BDSG) wurde bei einfachen Ordnungswidrigkeiten inzwischen auf nunmehr bis zu 50.000 Euro angehoben. Schwerwiegendere Ordnungswidrigkeiten wie die unbefugte Datenerhebung und Verarbeitung können mit bis zu 300.000 Euro geahndet werden. Das Telemediengesetz (TMG) sieht einen Bußgeldrahmen von 10.000 bis 50.000 Euro vor, das Telekommunikationsgesetz (TKG) in besonders schweren Fällen sogar bis 500.000 Euro.

Und es könnte noch heftiger kommen: Seit 2009 arbeitet die EU an einer gemeinsamen Datenschutzrichtlinie, deren Entwurf Anfang des Jahres veröffentlicht wurde. Danach drohen größeren Unternehmen nach Artikel 79 schon beim ersten Vergehen hohe Strafen:

• Von bis zu 250.000 Euro oder 0,5 Prozent des weltweiten Jahresumsatzes gegen jeden, der Verfahren und Vorkehrungen missachtet oder behindert, damit Personen oder Unternehmen ihre Rechte, etwa auf Auskunft, ausüben können.
• Von bis zu 500.000 EUR oder 1 Prozent des weltweiten Jahresumsatzes gegen jeden, der unter anderem Transparenzgebote oder das Recht auf Löschung missachtet.
• Von bis zu 1.000.000 EUR oder 2 Prozent des Jahresumsatzes gegen jeden, der zum Beispiel widerrechtlich personenbezogene Daten verarbeitet (sowie einige andere Verstöße).

Es ist völlig verständlich, dass die USA nach 9/11 und um Terrorgefahren abzuwehren, sich das Recht vorbehalten wollen, präventiv Informationen und Daten zu überwachen. Auf der anderen Seite hat Europa ein großes Interesse die Daten seiner Bürger und Unternehmen zu schützen. Dieser Interessenkonflikt wird die Lobby-Verbände beider Seiten noch länger beschäftigen. Mit einer Umsetzung des Entwurfs ist wohl nicht vor 2014 zu rechnen. Wollen Sie eine Prognose wagen, wohin das führen wird?