Weshalb ein Rechenzentrum in Europa nicht automatisch zum „sicheren Hafen“ wird

Die Aussage einiger namhafter amerikanischer Cloud Computing-Anbieter, mit dem Eröffnen europäischer Rechenzentren die nach dem EuGH-Safe Harbor-Urteil vom 6. Oktober 2015 entstandene rechtliche Lücke zu schließen und damit den von europäischen Behörden geforderten, höheren Datenschutz zu gewährleisten, wird von zahlreichen IT-Sicherheitsexperten als nicht ausreichend beurteilt. Denn die US-Anbieter unterliegen auch mit ihren europäischen Standorten dem amerikanischen Recht, das unter anderem eine Herausgabe von Anwenderdaten an Behörden und staatliche Stellen fordert. Dies beweist ein Rechtsstreit, den die Firma Microsoft bereits seit 2014 gegen eine Behörde aus den USA führt.

Im vorliegenden Fall, der im September 2015 in die Berufung ging, wehrt sich Microsoft gegen die Herausgabe von E-Mails eines europäischen Nutzers, die im Microsoft-Rechenzentrum in Dublin gespeichert sind. Wie die Zeitschrift Guardian berichtete, erklärte Microsoft-Justiziar Joshua Rosenkranz in der Verhandlung: „We would go crazy if China did this to us“, auf gut deutsch „Wir würden verrückt werden, wenn die Chinesen dies mit uns machen würden.“

Die Gegenseite, das US-Justizministerium, hielt dagegen, dass die Regierung das Recht habe, die E-Mails von jeder Person auf der Welt anzufordern, solange nur deren E-Mail-Anbieter sein Hauptquartier innerhalb der US-Grenzen habe.

Auch rein technisch sehen IT-Experten kaum Möglichkeiten, die Rechenzentren amerikanischer Cloud Anbieter vor dem Zugriff amerikanischer Stellen zu schützen. So erklärt der IT-Security Experte Frank Hißen in einem Kommentar zum EuGH-Safe Harbor Urteil in der Fachzeitschrift CIO: „Werden Data-Center in Europa, die von amerikanischen Unternehmen aufgebaut und betrieben werden, von Administratoren in den USA – die gegebenenfalls Weisungen von staatlichen Behörden befolgen müssen – durch technische und organisatorische Maßnahmen abgeschottet? Diese Vorstellung ist meiner Ansicht nach als völlig unrealistisch einzustufen. Selbst wenn dies vertraglich aufgrund von Datenschutzanforderungen zugesichert wird, fehlt jegliche Kontrollmöglichkeit technischer Art, ob dies auch tatsächlich umgesetzt wird.“

Eine ähnliche Meinung vertritt Peter Weger, Vice President International der oodrive Gruppe und in dieser Rolle auch Geschäftsführer der deutschen Niederlassung. „Ein Verhindern des ‚Durchgriffs‘ amerikanischer Behörden auf die europäischen Rechenzentren amerikanischer Unternehmen – das beweist das eingangs geschilderte Microsoft-Gerichtsverfahren – ist aus amerikanischer Behördensicht ein Verstoß gegen amerikanisches Recht. Lässt der Rechenzentrumsbetreiber dagegen diesen Durchgriff zu, verstößt er gegen deutsches und europäisches Datenschutzrecht. Speziell im Unternehmensumfeld sollten es Anwender sich derzeit sehr genau überlegen, ob sie die Cloud Services eines amerikanischen Anbieters nutzen.“

Die Oodrive Gruppe ist ein internationaler Anbieter von Secure Enterprise File Sharing und Collaboration-Lösungen mit Hauptsitz in Paris und unterliegt damit in keiner Weise den in den USA geltenden Vorschriften. Das Unternehmen garantiert vielmehr seinen Kunden, dass ihre Daten in dem für sie geltenden Rechtsraum – z.B. Frankreich für die französischen Kunden, Deutschland für die deutschen Kunden – gespeichert werden und diesen Rechtsraum nicht verlassen.