Deutschen Unternehmen, welche Cloud-Dienste von US-Anbietern nutzen, können ggf. schwerwiegende Konsequenzen drohen, bis hin zu Bußgeldern. Grund hierfür ist die mangelnde Kompatibilität mit dem deutschen Datenschutz.
Microsoft räumte im Juni ein, dass Daten auch an das FBI und andere US-Behörden herausgegeben werden müssten. Es ist daher zweifelhaft, ob deutsche Unternehmen Cloud-Anbieter aus den USA überhaupt beauftragen dürfen und wenn ja, sind die gesetzlichen Anforderungen hoch.
Deutschen Unternehmen, welche Cloud-Dienste von US-Anbietern nutzen, können ggf. schwerwiegende Konsequenzen drohen, bis hin zu Bußgeldern. Grund hierfür ist die mangelnde Kompatibilität mit dem deutschen Datenschutz.
Microsoft räumte im Juni ein, dass Daten auch an das FBI und andere US-Behörden herausgegeben werden müssten. Es ist daher zweifelhaft, ob deutsche Unternehmen Cloud-Anbieter aus den USA überhaupt beauftragen dürfen und wenn ja, sind die gesetzlichen Anforderungen hoch.
So müssen Unternehmen und Anbieter im Vertrag ausdrücklich vorsehen, personenbezogene Daten ausschließlich in Rechenzentren innerhalb des Europäischen Wirtschaftsraums zu verarbeiten, das heißt innerhalb der EU sowie Island, Liechtenstein und Norwegen. Außerdem muss sich der Cloud-Anbieter zwingend der Geltung des EU-Rechts unterwerfen. Daneben sieht die Stellungnahme die Möglichkeit vor, dass der Vertrag eine Verarbeitung der Daten in Rechenzentren in den USA zulässt. Für eine solche Übermittlung müssen mehrere Voraussetzungen erfüllt werden. Der Cloud-Anbieter aus den USA muss sich gegenüber dem US-Handelsministerium zur Einhaltung der Safe-Harbor-Grundsätze verpflichtet haben. Außerdem muss er mit den europäischen Datenschutzbehörden kooperieren. Das deutsche Unternehmen und der US-Cloud-Anbieter müssen zudem eine Vereinbarung nach den Grundsätzen der Auftragsdatenverarbeitung nach deutschem Datenschutzrecht schließen, die eine Reihe von Garantien enthält.
Diese Anforderungen gelten auch für bereits bestehende Verträge. Genau hier liegt die Brisanz, denn die meisten Verträge mit US-Anbietern erfüllen die Voraussetzungen nicht. Bisher konnte man sich auf eine gewisse Rechtsunsicherheit berufen und darauf hoffen, dass nichts passiert. Nachdem die Datenschutzbeauftragten aber eine einheitliche Stellungnahme abgegeben haben, besteht diese Möglichkeit nicht mehr. Jetzt drohen den deutschen Unternehmen schwerwiegende Konsequenzen. Daher müssen die Unternehmen ihre bestehenden Verträge kritisch prüfen und nachverhandeln. Dabei ist die veröffentlichte Stellungnahme eine Hilfe, denn sie gibt auch den Anbietern aus den USA Rechtssicherheit für ihre Verträge mit deutschen Unternehmenskunden.
Die deutschen Datenschutzbeauftragten des Bundes und der Länder haben eine "Orientierungshilfe" 
(PDF) zu wichtigen Fragen des Cloud-Computings verabschiedet, auch zu Verträgen mit Cloud-Anbietern aus den USA.
Quelle: heise.de (Arnd Böken) / (ur)
