Studie
07.12.2012, 11:41 Uhr
US-Behörden können in der Cloud schnüffeln
Eine holländische Studie kommt zum Schluss, dass US-Behörden in Cloud-Daten schnüffeln können, auch wenn der Server ausserhalb der USA steht. Einzig der Firmensitz in den USA gebe ihnen das Recht dazu.
Verschiedene US-Gesetze, wie der Patrio-Act geben den US-Justiz- und Sicherheitsbehörden «weitreichende Möglichkeiten» um die Herausgabe von Daten in Cloud verlangen zu können. Der Glaube, dass nationale Datenschutzbestimmungen höher gewichtet sind als das amerikanische Recht, sei irreführend. Zu diesem Schluss kommt eine aktuelle Studie des Instituts fr Informationsrecht der Universitt Amsterdam. Anscheinend spiele es keine Rolle, wo der Datenserver physisch steht. Es reiche schon aus, wenn ein Cloud-Anbieter seinen Hauptsitz in den USA habe, wie das bei Amazon, Apple, Google oder Microsoft der Fall sei. Auch Partner im In- oder Ausland, mit dem der Anbieter «Geschäftsbeziehungen ständiger oder systematischer Natur» mit einem US-Unternehmen pflege, seien nicht vor Zugriffen gefeit.
Wenig substanzielle Barrieren für Geheimdienste
So gebe es für die US-Geheimdienste «wenig substanzielle Barrieren», um an Informationen in der Cloud zu gelangen. Dabei kommt nicht nur der Patriot-Act zum tragen, sondern auch das US-amerikanische Anti-Terror-Gesetz. Dieses sei bereits mehrfach ausgedehnt worden und biete der National Security Agency (NSA) weitreichende Kompetenzen, ohne dass Richter ihre Bewilligung dazu geben müssen. Die Cloud-Anbieter dürfen natürlich nicht von sich aus Daten herausgeben. Doch sei davon auszugehen, dass entsprechende Anfragen der US-Behörden zunähmen. Dies sei aus Sicht europäischer Datenschutzbestimmung besorgniserregend, schreiben die Forscher. So schütze die US-Verfassung nur US-Bürger von unverhältnismässigen Beschattungsmassnahmen. Europäische Gesetzte zum Schutz der Privatsphäre böten keine Abwehrmassnahmen.
Striktere Regelungen in Europa
Zwar können Strafverfolgungsbehörden oder Geheimdienste in Europa bei hängigen Rechtshilfeverfahren ebenfalls an Cloud-Daten herankommen, aber nur unter den Voraussetzungen der nationalen oder europäischen Datenschutzbestimmungen. Direkte Zugriffsmöglichkeiten bestünden nicht. Die Verfasser des Reports empfehlen Cloud-Kunden, eine gründliche Risikoanalyse vorzunehmen. Auch empfiehlt es sich, eine vertragliche Ausstiegsklausel festzulegen, die eine sofortige Kündigung vorsieht, sobald der Cloud-Anbieter durch sich ändernde geschäftliche Beziehungen plötzlich dem US-Recht unterliegt. Auch technische Massnahmen wie Verschlüsselung oder Aufteilung von Dateien seien möglich. Diese divergieren jedoch oft mit der Usability für normale Benutzer.