US-Urteil zwingt Cloud-Anbieter zur Datenherausgabe

No-Spy-Abkommen muss Unternehmens-Know-how schützen

Microsoft, Google und alle anderen US-Cloud-Anbieter sind verpflichtet, Daten auch dann an amerikanische Geheimdienste herauszugeben, wenn sich der Server im Ausland befindet. So lautet das Urteil eines amerikanischen Bundesgerichts. Ein New Yorker Gericht bestätigte das Urteil nun in zweiter Instanz. „Somit müssen Kunden amerikanischer Cloud-Dienste ständig damit rechnen, dass US-Behörden an ihre Daten und damit auch an unternehmenskritische Informationen gelangen“, spricht Dr. Marco Lenck, Chef der SAP-Anwender im deutschsprachigen Raum (DSAG) Klartext. „US-Anbieter stehen seither unter Generalverdacht und können quasi keine sicheren und vertrauenswürdigen Dienste mehr anbieten.“ Was das für die Datensicherheit im transatlantischen Geschäftsverkehr bedeutet, wird die DSAG nun prüfen. „Wir brauchen ein internationales No-Spy-Abkommen“, so Marco Lenck weiter, „das nicht nur die Daten, sondern vor allem das Know-how von Unternehmen schützt“.

Was bedeutet das Urteil für deutsche Unternehmen, die Daten in der Cloud speichern?
Lenck: Im Klartext heißt es, dass Kunden, die zum Beispiel Cloud-Dienste amerikanischer Unternehmen nutzen, ständig damit rechnen müssen, dass US-Behörden an ihre Daten und damit auch an unternehmenskritische Informationen gelangen. Besonders kritisch daran ist, dass wir noch gar nicht wissen, in welchem Umfang zum Beispiel die NSA Daten bereits entwendet hat und was damit passiert.

Welche Auswirkungen entstehen daraus für die US-Unternehmen?
Lenck: US-Unternehmen stehen aufgrund des Urteils nun unter Generalverdacht. Sie können quasi keine sicheren und vertrauenswürdigen Dienste mehr anbieten, die durch nationales oder europäisches Recht geschützt sind, weil sie schlichtweg nicht mehr garantieren können, dass sie den Zugriff auf die Daten verhindern können.

Ist eine regionale Cloud eine praktikable Lösung?
Lenck: Vom Grundgedanken her sicher. Solange wir uns im europäischen Rechtsraum bewegen, lassen sich besonders sichere Verbindungen durchaus realisieren. Dann lässt sich zum Beispiel klar regeln, dass nur der Nutzer selbst Zugriff auf seine Daten hat. Da viele Unternehmen aber globale Prozesse brauchen, sind regionale Clouds für sie eher problematisch und deshalb kaum praktikabel. Wir brauchen hier klare Regeln, um eine unkontrollierte Weitergabe unternehmensrelevanter Informationen an Dritte durch US-Behörden zu verhindern.

Wo liegt dann das Problem?
Lenck: Dass die USA mit dem Urteil unsere Gesetze quasi übergehen. US-Unternehmen und auch Tochterfirmen mit Sitz in Deutschland werden gezwungen, Daten an den US-Geheimdienst herauszugeben – auch wenn dies unserer Rechtsprechung völlig widerspricht. Das Versprechen eines Cloud-Anbieters hat damit keinen Wert mehr.

Welche Möglichkeiten bleiben dann noch, wenn die Daten dennoch in die Cloud sollen?
Lenck: US-Behörden lassen sich nur dann sicher aussperren, wenn sie auch nach eigenem Recht keinen Anspruch auf Zugriff haben. Das bedeutet, Unternehmen sollten sich Anbieter suchen, die keine Konzernverbindung in die USA haben und deren Cloud-Dienste sicherstellen, dass die Daten den deutschen oder auch europäischen Raum nicht verlassen.

Wer trägt die Hauptverantwortung?
Lenck: Ich sehe hier auch den Gesetzgeber in der Pflicht. Um Unternehmen zu schützen, müssen die Gesetze vor allem im Datenschutz angeglichen werden, um grenzübergreifende Datenschutzverletzungen zu verhindern. Deshalb brauchen wir ein internationales No-Spy-Abkommen, das nicht nur die Daten, sondern vor allem das Know-how von Unternehmen schützt. Die Verantwortung liegt auch bei Unternehmen. Deshalb müssen sie mit ihrer „intellectual property“ gewissenhaft umgehen, damit diese nicht ungewollt in falsche Hände gerät.

Wie passt das Thema zur DSAG?
Lenck: Das Thema Sicherheit ist im IT-Bereich immer relevant. Wir streben Standards an, die auch den Datenschutz umfassen. Wenn sich andere Länder aber von vornherein über Normen hinwegsetzen, helfen uns auch die besten Sicherheits-Standards nicht weiter. Aus Anwender- und Unternehmenssicht ist dieses Urteil deshalb extrem kritisch zu sehen.

Dr. Marco Lenck ist Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. Die Wichtigkeit von internationalen Standards vor allem im Bereich Sicherheit globaler IT-Vernetzungen erfährt er als Vice President IT tagtäglich bei der Rhein Chemie Rheinau GmbH in Mannheim. Durch seine langjährige Erfahrung als Vermittler zwischen den Fachbereichen und der IT kennt er die Anforderungen an Cloud-Dienste und sichere Datenübermittlung genau.

ERROR: Content Element type "templavoila_pi1" has no rendering definition!