Rechtliche Fragen bei Cloud-Computing: Standort der Daten

Wer sich um den Schutz eigener oder Kundendaten sorgt, sollte bei der Wahl eines Anbieters von Cloud-Lösungen die Zuordnung des Rechtsraums beachten.

In einer Cloud-Computing-Umgebung werden Daten und Anwendungen "in der Cloud" untergebracht. Woraus diese Cloud besteht und wo sich ihre Komponenten befinden, ist dabei nicht unerheblich. Wenn Sie jedoch einen Cloud-Anbieter fragen, wo Ihre Daten gespeichert oder verarbeitet werden, wird er meist nur antworten "Naja, also... in der Cloud." oder "Wir haben überall Server, die Daten werden ständig bewegt." oder "Das kann ich Ihnen aus Sicherheitsgründen nicht sagen.".

Als Wächter über vertrauliche und wertvolle Daten wie persönliche oder Unternehmensinformationen müssen Sie jedoch jederzeit wissen, wo diese sich befinden. Denn in Cloud-Umgebungen kommt es durchaus auf den Standort an – insbesondere aus rechtlicher Sicht.

In der Welt der Juristerei wird Standort meist als bezogen auf einen "Rechtsraum" oder rechtliche Zuständigkeit verstanden. Dieses Konzept beruht auf der Überlegung, ob ein Richter oder eine Regierungsbehörde die Autorität hat, über die an einer bestimmten Handlung beteiligte Personen oder Objekte Recht zu sprechen und ihnen Vorgaben zu machen.

Dabei sind Rechtsräume nicht unbedingt exklusiv. So können mehrere Gerichte gleichzeitig für bestimmte Angelegenheiten zuständig sein – es gibt sogar oft Streitigkeiten unter den Parteien, welches Gericht in konkreten Fällen die Zuständigkeit hat. In einer Cloud-Umgebung kann der Standort eines Stücks Ausrüstung große Bedeutung haben. Das gilt etwa für die Frage, ob ein Gericht oder eine Behörde im Fall von Servern über die darauf liegenden Daten Recht sprechen kann.

Wenn Ihre Server in einer Cloud untergebracht sind, die auch Server im Ausland hat, können für Ihre Daten die Gesetze des Standort-Landes gelten. Sie bekommen es also unter Umständen mit vielen unterschiedlichen Rechtsräumen zu tun. Die folgenden rechtlichen Fragen im Zusammenhang mit dem Standort von Daten sollten Sie dabei beachten.

Rechtsfragen bei Cloud-Computing: Datenschutzgesetze

Angenommen, der Cloud-Dienst X stellt Hosting, E-Mail und Lösungen für Zusammenarbeit zur Verfügung. Der Kunde ist Acme, ein US-Unternehmen, das kein Geschäft im Ausland betreibt. Nehmen wir weiter an, dass das Netzwerk von X auch Server umfasst, die im Rechenzentrum in Großbritannien stehen. Damit nutzt Acme als Kunde von X auch Daten und Server in Großbritannien.

Der britische Data Protection Act (1998) regelt den Schutz von persönlichen Informationen, die in Großbritannien verarbeitet werden, und gilt natürlich für Unternehmen, die in dem Land ein Geschäft betreiben. Doch es reicht noch weiter: Gemäß Section 5(1)(b) des Gesetzes gilt es auch für Datenverantwortliche, die weder in Großbritannien noch in einem anderen Land der Europäischen Wirtschaftsraums (EWR – die EU plus Liechtenstein, Norwegen und Island) einen Sitz haben, aber "Anlagen in Großbritannien für die Verarbeitung der Daten mit Ausnahme eines reinen Transits durch Großbritannien nutzen".

Das bedeutet: Wenn ein ausländisches Unternehmen Ausrüstung an britischen Standorten zur Datenverarbeitung nutzt, muss diese Verarbeitung dem britischen Gesetz genügen, auch wenn das Unternehmen dort keinen Sitz hat und ansonsten nicht dort tätig ist. Ähnliche Bestimmungen finden sich auch in den Datenschutz-Gesetzen der 30 EWR-Mitgliedsstaaten und anderer Länder.

Wenn sich ein Anbieter von Cloud-Diensten entscheidet, Server im EWR oder anderen Ländern mit ähnlichen Gesetzen zu installieren, gelten die Datenschutz-Gesetze des jeweiligen Landes für alle Daten, die hier verarbeitet, gespeichert oder gepflegt werden. Diese Gesetze enthalten ausführliche Vorgaben, Beschränkungen und Verbote dazu, was mit persönlichen Daten gemacht werden darf und was nicht. Manchmal ist eine Registrierung bei der Datenschutzbehörde des Landes vorgeschrieben, in anderen Fällen werden bestimmte Datentransfers untersagt und anderes. Die Nichtbeachtung solcher Regeln kann schwerwiegende Konsequenzen haben.

Rechtsfragen bei Cloud-Computing: Überwachung durch Regierungen

Zu den Datenschutz-Gesetzen kommt noch die Möglichkeit hinzu, dass eine dritte Partei oder ausländische Regierung Zugriff auf einen Server eines Cloud-Dienstes verlangt, auf dem Ihre Daten liegen. Prinzipiell sind die Möglichkeiten dafür für Regierungen beschränkt – ohne entsprechende Autorisierung in Form eines Durchsuchungsbefehls bekommen nicht einmal die Polizei oder Geheimdienste für Durchsuchungen Zugang zu Anlagen oder Gerätschaften.

Dies gilt allerdings nicht überall. Wenn Ihre Daten zum Beispiel auf einem Server in Indien gespeichert sind, gelten für ihn die dortigen Gesetze. Der Information Technology Act des Landes aus dem Jahr 2000 (2009 überarbeitet) regelt viele Aspekte des Schutzes und der Verwendung von Computern, Netzwerken und dergleichen. Nach Section 69 dieses Gesetzes kann die Zentralregierung anordnen, Nachrichten von jedem Computer oder anderen Kommunikationsgeräten abzufangen, mitzulesen oder zu entschlüsseln. Als Gründe dafür reichen Sicherheit, öffentliche Ordnung, das Verhindern jeglicher größerer Straftaten und Ermittlungen bei Straftaten. Dank Section 69B(1) kann die Regierung wiederum beliebige Behörden dazu autorisieren, Verkehrsdaten zu überwachen und zu speichern. Das Gleiche gilt für Informationen, die auf irgendeinem Computer erstellt, übertragen, empfangen oder gespeichert werden. In beiden Fällen ist kein Gerichtsbeschluss oder andere Autorisierung dafür erforderlich und es gibt keine Grenzen bei den Befugnissen.

Auch welche Informationen aufbewahrt und erhalten bleiben, kann von der indischen Regierung bestimmt werden. Dies regelt Section 67C des Information Technology Act: Demnach müssen Unternehmen diejenigen Daten behalten, die von der Regierung spezifiziert werden – einschließlich Zeitraum, Art und Weise sowie Format.

Damit können Cloud-Dienste zwar vom geschäftsfreundlichen Umfeld eines Landes profitieren. Zugleich können dadurch aber Ausrüstung und darauf gespeicherte Daten zum Ziel von Überwachung und Abhören durch die Regierung dieses Landes werden.

Tipps für Verträge

Wenn Sie Ihren Vertrag für Cloud-Dienste aushandeln, entscheiden Sie, ob Ihnen die Kenntnis des Standorts Ihrer Daten wichtig ist. Falls ja, dann sollten sie das geografische Gebiet einzugrenzen versuchen, in dem Ihre Daten gespeichert und verarbeitet werden. So hat die City of Los Angeles in ihrem Vertrag mit Computer Sciences Corp. und Google Inc. für E-Mail und andere Dienste einige Beschränkungen durchgesetzt. Ein Teil der Daten wird damit nur in den USA untergebracht. Dies geht aus Anhang J.1, Section 1.7 des Vertrages hervor:

1.7 Daten-Transfer. Google erklärt sich damit einverstanden, E-Mails des Kunden und Daten von Google Message Discovery (GMD) nur auf dem Festland der USA zu speichern und zu verarbeiten. Sobald dies geschäftlich möglich ist, wird Google alle Daten des Kunden auch von allen anderen Google Apps nur auf dem Festland der USA speichern. Google wird sich im geschäftlich vertretbaren Rahmen darum bemühen, den Kunden darüber zu beraten, wann solche Speicher-Möglichkeiten verfügbar sind. Dessen ungeachtet kann Google Login-Daten in jedem Land speichern und verarbeiten, in dem Google oder seine Partner Anlagen betreiben.

Anbieter von Cloud-Diensten möchten Daten auf unterschiedliche Server verschieben dürfen, um vom Load-Balancing oder von Kostenvorteilen bei regionalen Versorgern und Personal zu profitieren. Dadurch können sie jedoch unbeabsichtigt die Daten ihrer Kunden in den Geltungsbereich von Gesetzen in Ländern bringen, in denen die Kunden gar nicht tätig sein wollen.

In der Zukunft könnte es so kommen: Länder, die ausländische Investitionen und Rechenzentren anlocken wollen, könnten dafür Ausnahmen  in ihren Datenschutz-Gesetzen einführen. In der Zwischenzeit aber kann es passieren, dass für Cloud-Nutzer auch Datenschutz-Regeln und andere Gesetze des Landes gelten, in dem die Server Ihres Providers stehen.

Über den Autor:

Francoise Gilbert ist Geschäftsführerin der IT Law Groupund Justitiarin für die Cloud Security Alliance. Ihre Spezialgebiete sind Datenschutz und Daten-Sicherheit, Cloud-Computing und Daten-Governance. In einer aktuellen Umfrage wurde sie als einer der wichtigsten Datenschutz-Berater in den USA bezeichnet, Chambers USA und Best Lawyers nennen sie als führende Rechtsanwältin für Datenschutz und -Sicherheit. Gilbert ist Autorin und Bearbeiterin des zweibändigen Werks Global Privacy & Security Law, das Datenschutz-Gesetze in mehr als 60 Ländern auf allen Kontinenten analysiert. Außerdem ist sie Mitglied des Boards of Directors der International Technology Law Association und des Technical Board of Advisors von ALI-ABA.

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close