Sysbus
CloudSecurity

Frage der Woche: Unternehmensdaten ab in die USA?

gcg

Vor kurzem hat ein Bundesgericht in den USA beschlossen, dass US-Unternehmen auch dann gezwungen sind, digitale Inhalte ihrer Kunden an US-Behörden herauszugeben, wenn diese Daten außerhalb der USA gespeichert sind. Konkret ging es darum, dass Microsoft Daten aus Irland zur Verfügung stellen sollte, die Entscheidung betrifft natürlich aber auch andere Anbieter und andere Länder. Das bedeutet, dass User, die mit Diensten wie Salesforce oder Office 365 arbeiten, davon ausgehen müssen, dass ihre Daten – unabhängig vom Speicherort – von US-Behörden einsehbar werden. Microsoft betont in diesem Zusammenhang, dass es sich bei der genannten Entscheidung um ein Urteil aus erster Instanz handelt, dass die Revision bereits läuft und dass sich momentan am Status Quo der Daten nichts geändert hat. Eine endgültige Entscheidung wird also erst die Zukunft bringen. Dennoch ergibt es Sinn, sich jetzt schon über die Frage Gedanken zu machen, ob sich aus dieser Entwicklung Vorteile für europäische beziehungsweise nicht-amerikanische Anbieter ergeben, oder ob sie keine Auswirkungen auf die Nutzung von Cloud-Angeboten haben wird. Hierzu äußern sich UNIT4, Norman, Ubique Technologies, secion, Talend, Adacor, wusys, maincubes one und – last but not least – Microsoft selbst.

Markus Kruse, Director Business Development & Product Management bei der UNIT4 Business Software GmbH meint: “Deutschland ist ein riesiger Markt, den sich kaum ein Cloud-Anbieter entgehen lassen will. Die Marketingbudgets um die Deutungshoheit in der Serverstandort-Diskussion werden nach den jüngsten Ereignissen noch einmal erhöht. Allerdings haben europäische gegenüber US-Unternehmen den Faktenvorteil auf ihrer Seite. Am Ende entscheidet aber wohl die Qualität und Kosteneffizienz der Angebote.”

Oliver Kunzmann, Manager Technical Consulting & Support bei der Norman Data Defense Systems GmbH fügt hinzu: “Mit der Entscheidung hat das Bundesgericht den US-amerikanischen Anbietern, die in Europa und vor allem in Deutschland aktiv sind, einen Bärendienst erwiesen. Die Frage nach dem Rechenzentrumsstandort wird von der Frage nach der Herkunft des Anbieters verdrängt. Bei den Unternehmen, die noch keine Cloud-Dienste nutzen, wird die Skepsis zunehmen. Und von den anderen werden viele zu europäischen Anbietern wechseln, oder sich, falls das nicht möglich ist, aus der Cloud verabschieden.”

“Nun wird es Gewissheit: Amerikanische Behörden haben die Möglichkeit, Daten amerikanischer Anbieter anzufordern,” so Christian Nowitzki, Geschäftsführer der Ubique Technologies GmbH. “Hinzu kommt die für uns noch beängstigendere Gewissheit, dass Kundendaten aus einer in Europa gehosteten Cloud von amerikanischen Behörden abgegriffen werden können. Und die Qualität der zur Verfügung stehenden Daten ist immens. Wann hat sich welcher meiner Kunden zu welchem Zeitpunkt auf sein Online-CRM eingeloggt? Mit wem steht mein Kunde in Verbindung und an wen verkauft mein Kunde welche Produkte und führt welche Gespräche? Nicht nur, dass nun jeder deutsche Kaufmann in der Pflicht ist, seine Daten zu schützen und damit auch die seiner Kunden. Auch muss sich jeder Anwender und Anbieter darüber im Klaren sein, dass er gegen geltendes nationales Recht verstößt, wenn er die Sicherheit seiner Daten und der Daten seiner Kunden nicht mehr gewährleisten kann und hierauf nicht reagiert. Ein Zurück zu Rechenzentrums-basierten Dienstleistungen deutscher Anbieter wird wohl der einzig gangbare Weg für die Zukunft der ‘Cloud’ sein, wenn sich nicht die gesamte Branche vom Markt zurückziehen möchte.”

“Grundsätzlich beinhaltet das erwähnte Urteil des New Yorker Bundesgerichts nichts Neues, sondern fügt sich in eine bereits seit über zehn Jahren in den USA praktizierte Rechtsprechung ein”, erklärt Erik Stengert, Key Account Manager bei der secion GmbH. “Damit deutsche und europäische Cloud-Anbieter ihre hieraus resultierenden Wettbewerbsvorteile tatsächlich nutzen können, müssen sie zwei Voraussetzungen erfüllen: Erstens, eine Bereitstellung gleichwertiger Alternativen (in Bezug auf Preise, Features, und so weiter) und zweitens eine dauerhafte Schärfung des Bewusstseins für die Nachteile von Lösungen aus ‘Five Eyes’-Ländern bei den Anwendern.”

Yves de Montcheuil, VP Marketing bei Talend gibt zu denken: “Machen wir uns nichts vor: Kann irgendein Provider nach den Snowden-Enthüllungen ehrlich vorgeben, vor einem Hack durch die NSA absolut sicher zu sein? Die Gerichtsentscheidung gegen Microsoft wurde zumindest öffentlich und nach den US-Gesetzen verhandelt. Ob diese immer fair sind, ist Ansichtssache, aber ich halte eine gerichtlich angeordnete Beschlagnahmung für besser als unkontrolliertes Hacken.”

“Natürlich ist das gutes Marketing für europäische Anbieter, aber in der Praxis hat es in Deutschland kaum Auswirkungen.” Dieser Meinung ist Thomas Wittbecker, CEO der ADACOR Hosting GmbH. “Es war schon bisher für deutsche Unternehmen sehr schwierig, einen gemäß BDSG rechtssicheren Vertrag über eine Auftragsdatenverarbeitung mit einem der großen amerikanischen Anbieter zu schließen. Auch wenn die Daten in Europa verarbeitet werden.”

“Die jüngsten Ereignisse zeigen nur wieder, wie wichtig es ist einen sicheren Provider für Rechenzentrumsdienstleistungen zu haben – auch für internationale Unternehmen”, kommentiert Gunter Papenberg, Geschäftsführer von wusys. “In Ausschreibungen, an denen wir uns als RZ-und Cloud-Dienstleister beteiligen, sind oftmals nicht nur der Preis und die Technologie entscheidend. Immer öfter ist die Standortfrage entscheidend und mit Frankfurt am Main liegen wir im Zentrum des deutschen Internets.”

Oliver Menzel, Geschäftsführer bei maincubes one GmbH: “RZ- und Colocation-Betreiber müssen heute weit mehr als Technik bieten. Sie müssen wirtschaftlich und vor allem sicher sein. Die Nachfrage hat sich seit den Spionageaffären international enorm erhöht und Deutschland liegt mit gutem Grund im Ranking als RZ-Standort vor der Schweiz auf Platz eins. Die Auftragslage ist Grund genug für uns ein neues HighEnd-Rechenzentrum im Rhein-Main-Gebiet zu bauen.”

Thomas Baumgärtner, Pressesprecher von Microsoft, schließt das Thema ab: “Microsoft ist der Auffassung, dass die US-amerikanische Regierung nicht über die Befugnis verfügt, eine Hausdurchsuchung in einem anderen Land durchzuführen und deswegen auch nicht die Befugnis haben sollte, die Inhalte von E-Mails, die nicht in den USA gespeichert werden, zu durchsuchen, und Microsoft hält sich an seine Aussage, gegen Beschlüsse vorzugehen, die aus unserer Sicht nicht rechtmäßig sind. Ein US-Richter hatte vor einigen Monaten in einem Durchsuchungsbeschluss (‘search warrant’) angeordnet, dass Microsoft den Inhalt einer Email eines privaten Outlook.com-Kunden an die US-Regierung herauszugeben habe. Das gelte selbst dann, wenn die Daten im US-Ausland (etwa Europa) gespeichert seien. Ein US Internetprovider dürfe nicht die Herausgabe verweigern, nur weil die Daten in Europa gespeichert oder EU-Bürger betroffen seien. Microsoft hat gegen diesen Durchsuchungsbeschluss bereits vor Monaten eine förmliche Anfechtungsklage (‘legal challenge’) eingereicht. Über diese Anfechtungsklage hat nun im ersten Schritt derselbe US-amerikanische Richter, der den Durchsuchungsbeschluss erlassen hatte, entschieden. Wie zu erwarten war, hat dieser ‘Magistrate Judge’ die Anfechtungsklage abgewiesen und den Status Quo aufrechterhalten. Die zitierte Gerichtsentscheidung ist jedoch erst der Beginn eines längeren Prozesses, den Microsoft in dieser Sache führen wird, um unsere Position gerichtlich zu verfolgen. Die nächsten Instanzen müssen abgewartet werden. Microsoft hat dazu den folgenden Blog Post entworfen: http://blogs.technet.com/b/publicsector/archive/2014/05/06/ein-schritt-auf-dem-weg-zur-220-berpr-252-fung-der-rechtsprechung-zu-durchsuchungsbeschl-252-ssen.aspx.”

[subscribe2]

Ähnliche Beiträge:

  1. Wettbewerbsvorteil Datenschutz
  2. Frage der Woche zum Thema “Verschlüsselung bei US-Firmen”
  3. Safe Harbor: Eine schrittweise Annäherung
  4. Blindes Vertrauen in Microsoft und Co.? – Warum viele deutsche Unternehmen mehr Wert auf DSGVO-Konformität legen sollten

Das könnte dir auch gefallen

Bomgar Privileged Access Management mit neuen Sicherheits- und Produktivitätsfunktionen

gg

Kostenkontrolle mit AWS Cost Anomaly Detection

gg

Multi-Faktor-Authentifizierung in der AWS Management Console konfigurieren

gcg
Die mobile Version verlassen
%%footer%%