Die deutsche Microsoft Cloud

Daten-Treuhand als Abwehrmittel gegen Überwachung?

28.01.2016
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Simone Bach arbeitet als Rechtsanwältin in der Kanzlei Luther Rechtsanwaltsgesellschaft mbH in Köln. Ihre Themengebiete sind Technologie, Medien, Telekommunikation und Datenschutz.

Wie reagieren US-Gerichte auf die "deutsche Cloud"?

Fraglich ist, ob diese technischen Besonderheiten und die rechtliche Konstruktion einer Datentreuhänderschaft letztlich einen Zugriff auf in Deutschland belegene Daten aus den USA heraus abwenden können. Denn US-Behörden und -Gerichte nehmen für sich in Anspruch, Herausgabeverlangen auch unmittelbar gegenüber europäischen Gesellschaften durchzusetzen. So räumen eine Vielzahl an Gesetzen den US-Behörden die Berechtigung ein, Anordnungen ("warrants", "subpoenas", "administrative orders" und "judicial orders") gegenüber amerikanischen Gesellschaften zu erlassen, die auf die Herausgabe von Daten gerichtet sind, die sich "in custody, possession or control" der amerikanischen Gesellschaft befinden. Diese Eingriffsbefugnisse, insbesondere die Normen des Patriot Act, werden von den US-Gerichten dabei regelmäßig so ausgelegt, dass von amerikanischen Gesellschaften auch Daten herausverlangt werden können, die im Ausland lokalisiert sind. Es kommt nach Ansicht der US-Richter lediglich darauf an, ob der amerikanischen Gesellschaft der Zugriff auf bestimmte Daten tatsächlich möglich ist.

US-Gerichte erachten es meist auch schon als ausreichend, dass die amerikanische Gesellschaft die Möglichkeit hat, diese Daten bei einer ausländischen Gesellschaft anzufragen. Bei der "deutschen Cloud" hat aber Microsoft (von den zuvor dargestellten, sehr limitierten Möglichkeiten einmal abgesehen) gerade keinen technischen Zugang und keinen regelmäßigen oder gar routinemäßigen Zugriff auf die in dem Rechenzentrum des Datentreuhänders gespeicherten Daten. Auch steht Microsoft in dem neuen Datentreuhand-Modell gerade kein Recht zu, auf die Daten zuzugreifen. Allein der Datentreuhänder und natürlich die jeweiligen Kunden haben den physikalischen und logischen Zugriff auf die Daten. Wenn aber keine faktische Zugriffsmöglichkeit für den US-Provider Microsoft besteht, greifen ihm gegenüber auch die Eingriffsbefugnisse nach dem Patriot Act nicht.

Was sagt die neue EU-Datenschutzgrundverordnung?

Die neuen Bestimmungen der europäischen Datenschutzgrundverordnung ("DSGVO-E") vom 15.12.2015 werden an dem zuvor skizzierten Konflikt zwischen US-Recht und europäischem Datenschutzrecht nichts ändern. Denn Art. 43a DSGVO-E sieht vor, dass gerichtliche und behördliche Entscheidungen unsicherer Drittstaaten, die auf die Herausgabe personenbezogener Daten gerichtet sind, nur dann innerhalb der Europäischen Union anerkannt werden und durchsetzbar sind, wenn ein internationales Rechtshilfeabkommen zwischen den Staaten besteht oder eine andere Rechtsgrundlage die Übermittlung von Daten in den unsicheren Drittstaaten erlaubt.

Nach der eingangs erwähnten Entscheidung des EuGH zu Safe Harbor besteht aber, gerade auch aufgrund der umfangreichen Zugriffsmöglichkeiten von Behörden, in den USA kein angemessenes Datenschutzniveau und eine Rechtfertigung der Datenübermittlung auf der Grundlage von Safe Harbor ist nicht mehr möglich. Aufgrund der strengen Voraussetzungen die nach der DSGVO-E an den Transfer von Daten in unsichere Drittstaaten, einschließlich der USA, gestellt werden, ist zwar davon auszugehen, dass die bald geltende DSGVO ähnlich wie das derzeit geltende Bundesdatenschutzgesetz nach US-Recht als sog. "Blocking Statute" einzuordnen sein wird. Indes hat ein "Blocking Statute" keineswegs zur Folge, dass der Herausgabeanspruch deshalb nicht besteht; vielmehr soll der Herausgabeanspruch in solchen Fällen von dem Ergebnis einer Abwägung der widerstreitenden Interessen abhängig gemacht werden. Häufig geht diese Abwägung zugunsten des staatlichen Auskunftsanspruchs aus. Es bleibt mithin abzuwarten, ob es bald einen "Safe Harbor 2"-Konsens geben wird, der den letztlich für beide Seiten unbefriedigenden Konflikt zwischen amerikanischen Informations- und europäischen Privatsphäreinteressen auflösen wird.

Schutzschild Deutsche Cloud

Das ab Mitte 2016 verfügbare Konzept einer rein deutschen Microsoft-Cloud mit Datentreuhand (T-Systems) hat Charme. Denn wenn US-Behörden Zugriff auf Daten des Kunden verlangen, die ausschließlich in den deutschen Rechenzentren von T-Systems, liegen, darf nach den zuvor dargestellten Treuhand-Vereinbarungen diesem Verlangen nur dann Rechnung getragen werden, wenn die Herausgabe der Daten auch nach deutschem Recht und den Treuhandvereinbarungen zulässig ist.

Es ist also nicht (mehr) allein (nur) deutsches Datenschutzrecht, sondern es sind auch die vertraglichen Regelungen mit Dritten (T-Systems und deren Kunden) sowie die technische Besonderheiten der "deutschen Cloud", die gegen den unbeschränkten Datenzugriff sprechen. Ob die Datentreuhand damit den Zugriff von US-(Sicherheits-) Behörden auf in Deutschland belegene Daten vollständig verhindern kann, wird sich letztlich erst durch Urteile der US-Gerichte zeigen. (fm)