Die ewige Mär von der Datensouveränität in der Cloud bekommt einen weiteren, unmissverständlichen Dämpfer. Seit Jahren versuchen US-Hyperscaler wie Microsoft und Amazon, lukrative europäische Aufträge mit dem Versprechen europäischer Datenzentren zu sichern. Das ist ein netter PR-Move, aber ein neues Rechtsgutachten, beauftragt vom Bundesinnenministerium und nun dank „Frag den Staat“ öffentlich, entlarvt diese Schutzbehauptung als weitgehend wirkungslos.
Die Quintessenz: Egal, ob deine Daten in Frankfurt oder Dublin liegen - wenn der Cloud-Anbieter eine signifikante Verbindung in die USA hat, sei es als Mutterkonzern, Tochtergesellschaft oder durch beträchtliche Geschäftsaktivitäten, kann er zur Herausgabe der Informationen gezwungen werden. Das ist keine Theorie, sondern knallhartes US-Recht. Der Cloud Act und andere US-Gesetze verpflichten diese Firmen im Kern dazu, die Daten zugänglich zu halten. Sie müssen sogar mit empfindlichen Geldstrafen rechnen, falls sie sich durch zu starke Verschlüsselung selbst vom Datenzugriff ausschließen. Wir sprechen hier also von einer staatlich verordneten, künstlichen Verwundbarkeit.
Dieser direkte Zugriff aus Übersee steht natürlich im krassen Widerspruch zur europäischen Datenschutz-Grundverordnung (DSGVO). Seit dem Fall des ersten Datentransferabkommens (Safe Harbor) und der Kassierung von Privacy Shield durch den Europäischen Gerichtshof (EuGH) ist die Rechtslage ohnehin ein Flickenteppich. Und das jüngste Abkommen dieser Art wird demnächst ebenfalls vor dem EuGH landen - die Wette, wie lange es hält, ist offen. Bisher hat noch kein Vertragswerk den Spagat zwischen den Überwachungsinteressen Washingtons und den Grundrechten der EU-Bürger überlebt.
Die politische Gemengelage, in der Washington die transatlantische Partnerschaft gerade in Rekordzeit demontiert, macht die Sache nicht einfacher. Die Konsequenz für Unternehmen und Behörden in Europa ist klar: Wer sensible Daten in US-geführte Clouds auslagert, sollte sich der juristischen Realität bewusst sein. Die physische Speicherung auf EU-Servern ist lediglich eine kosmetische Maßnahme. Echte Unabhängigkeit und damit echter Schutz verlangen europäische, oder besser noch, deutsche, souveräne Lösungen ohne US-Anker. Alles andere ist der Versuch, DSGVO-Konformität zu hoffen, anstatt sie zu garantieren.
Kommentare (0)