Daten-Treuhand als Abwehrmittel gegen Überwachung?

Damit wären möglicherweise auch die datenschutzrechtlichen Probleme, die in der Facebook-Entscheidung des EuGH thematisiert wurden, vom Tisch. Wenn da nicht die EU-Datenschutzgrundverordnung wäre.

US-Cloudanbieter: Die NSA liest mit

Unter bestimmten Umständen können US-Provider (wie beispielsweise Microsoft oder Google) verpflichtet werden, auch die in europäischen Rechenzentren gespeicherten Daten an US-Behörden herauszugeben. Diese Pflicht kann sich unter anderem aus dem Patriot Act ergeben. Danach sind europäische Daten selbst dann nicht vor dem Zugriff amerikanischer Sicherheitsbehörden sicher, wenn sie gar nicht in den USA, sondern in europäischen Rechenzentren liegen und dort verarbeitet werden. Denn solange die Muttergesellschaft des Cloud-Anbieters ihren Sitz in den USA hat, können die Verpflichtungen aus dem Patriot Act auch die Tochterunternehmen treffen.

In welchem Umfang US-Behörden Gebrauch von diesen Zugriffsrechten machen ist nicht bekannt, weil die Provider bei den Herausgabe-Anordnungen häufig zur Verschwiegenheit verpflichtet werden. Betroffene - also diejenigen deren Daten herausgegeben werden - erlangen daher meist keine Kenntnis von den Eingriffen.

Neues Datenschutzkonzept: Die deutsche Microsoft-Cloud

Nach dem neuen Konzept von Microsoft befinden sich bei der deutschen Cloud sämtliche Kundendaten in deutschen Rechenzentren. Zwischen den Rechenzentren besteht ein eigenständiges deutsches, vom öffentlichen Internet getrenntes, Datennetzwerk. Sogenannte Role Based Access Control (RBAC)-Tools kontrollieren dabei jeglichen Zugriff auf Kundendaten, während die Mitarbeiter von Microsoft selbst keinerlei administrative Top-Level-Rechte haben, also von sich aus keinen Zugriff auf Kundendaten nehmen können. Nur im Einzelfall werden zeitlich befristet Zugriffsrechte gewährt. Die Rechtegewährung nimmt dabei einzig der Datentreuhänder T-Systems vor, nicht Microsoft selbst.

Zusätzlich zu dem normalen Lizenzvertrag, den ein Kunde zur Nutzung der Cloud-Services mit Microsoft schließt, werden bei der deutschen Cloud auch "Treuhandvereinbarungen" zwischen Microsoft, T-Systems und dem einzelnen Kunden geschlossen. Danach kontrolliert allein die T-Systems als "deutscher Datentreuhänder" des Kunden den physischen und technischen Zugriff auf die Kundendaten. Allein der Datentreuhänder ist nach dem Treuhandvertrag berechtigt und aufgrund der zuvor dargestellten technischen Infrastruktur auch faktisch in der Lage, Zugriff auf die Kundendaten und/oder auf die Infrastruktur, auf der sich Kundendaten befinden, zu nehmen. Microsoft kann daher nur mit Hilfe des Datentreuhänders T-Systems nach Maßgabe der vertraglichen Vereinbarung oder gesonderter Erlaubnis des Kunden temporären Zugriff bekommen. Die Zwecke des Datenzugriffs durch Microsoft und das korrespondierende Recht des Treuhänders, den Zugriff auf die Daten zu gewähren, sind nach dem Treuhandvertrag streng auf Fehlerbehebung und Wartung limitiert.

Wie reagieren US-Gerichte auf die "deutsche Cloud"?

Fraglich ist, ob diese technischen Besonderheiten und die rechtliche Konstruktion einer Datentreuhänderschaft letztlich einen Zugriff auf in Deutschland belegene Daten aus den USA heraus abwenden können. Denn US-Behörden und -Gerichte nehmen für sich in Anspruch, Herausgabeverlangen auch unmittelbar gegenüber europäischen Gesellschaften durchzusetzen. So räumen eine Vielzahl an Gesetzen den US-Behörden die Berechtigung ein, Anordnungen ("warrants", "subpoenas", "administrative orders" und "judicial orders") gegenüber amerikanischen Gesellschaften zu erlassen, die auf die Herausgabe von Daten gerichtet sind, die sich "in custody, possession or control" der amerikanischen Gesellschaft befinden. Diese Eingriffsbefugnisse, insbesondere die Normen des Patriot Act, werden von den US-Gerichten dabei regelmäßig so ausgelegt, dass von amerikanischen Gesellschaften auch Daten herausverlangt werden können, die im Ausland lokalisiert sind. Es kommt nach Ansicht der US-Richter lediglich darauf an, ob der amerikanischen Gesellschaft der Zugriff auf bestimmte Daten tatsächlich möglich ist.

US-Gerichte erachten es meist auch schon als ausreichend, dass die amerikanische Gesellschaft die Möglichkeit hat, diese Daten bei einer ausländischen Gesellschaft anzufragen. Bei der "deutschen Cloud" hat aber Microsoft (von den zuvor dargestellten, sehr limitierten Möglichkeiten einmal abgesehen) gerade keinen technischen Zugang und keinen regelmäßigen oder gar routinemäßigen Zugriff auf die in dem Rechenzentrum des Datentreuhänders gespeicherten Daten. Auch steht Microsoft in dem neuen Datentreuhand-Modell gerade kein Recht zu, auf die Daten zuzugreifen. Allein der Datentreuhänder und natürlich die jeweiligen Kunden haben den physikalischen und logischen Zugriff auf die Daten. Wenn aber keine faktische Zugriffsmöglichkeit für den US-Provider Microsoft besteht, greifen ihm gegenüber auch die Eingriffsbefugnisse nach dem Patriot Act nicht.

Was sagt die neue EU-Datenschutzgrundverordnung?

Die neuen Bestimmungen der europäischen Datenschutzgrundverordnung ("DSGVO-E") vom 15.12.2015 werden an dem zuvor skizzierten Konflikt zwischen US-Recht und europäischem Datenschutzrecht nichts ändern. Denn Art. 43a DSGVO-E sieht vor, dass gerichtliche und behördliche Entscheidungen unsicherer Drittstaaten, die auf die Herausgabe personenbezogener Daten gerichtet sind, nur dann innerhalb der Europäischen Union anerkannt werden und durchsetzbar sind, wenn ein internationales Rechtshilfeabkommen zwischen den Staaten besteht oder eine andere Rechtsgrundlage die Übermittlung von Daten in den unsicheren Drittstaaten erlaubt.

Nach der eingangs erwähnten Entscheidung des EuGH zu Safe Harbor besteht aber, gerade auch aufgrund der umfangreichen Zugriffsmöglichkeiten von Behörden, in den USA kein angemessenes Datenschutzniveau und eine Rechtfertigung der Datenübermittlung auf der Grundlage von Safe Harbor ist nicht mehr möglich. Aufgrund der strengen Voraussetzungen die nach der DSGVO-E an den Transfer von Daten in unsichere Drittstaaten, einschließlich der USA, gestellt werden, ist zwar davon auszugehen, dass die bald geltende DSGVO ähnlich wie das derzeit geltende Bundesdatenschutzgesetz nach US-Recht als sog. "Blocking Statute" einzuordnen sein wird. Indes hat ein "Blocking Statute" keineswegs zur Folge, dass der Herausgabeanspruch deshalb nicht besteht; vielmehr soll der Herausgabeanspruch in solchen Fällen von dem Ergebnis einer Abwägung der widerstreitenden Interessen abhängig gemacht werden. Häufig geht diese Abwägung zugunsten des staatlichen Auskunftsanspruchs aus. Es bleibt mithin abzuwarten, ob es bald einen "Safe Harbor 2"-Konsens geben wird, der den letztlich für beide Seiten unbefriedigenden Konflikt zwischen amerikanischen Informations- und europäischen Privatsphäreinteressen auflösen wird.

Schutzschild Deutsche Cloud

Das ab Mitte 2016 verfügbare Konzept einer rein deutschen Microsoft-Cloud mit Datentreuhand (T-Systems) hat Charme. Denn wenn US-Behörden Zugriff auf Daten des Kunden verlangen, die ausschließlich in den deutschen Rechenzentren von T-Systems, liegen, darf nach den zuvor dargestellten Treuhand-Vereinbarungen diesem Verlangen nur dann Rechnung getragen werden, wenn die Herausgabe der Daten auch nach deutschem Recht und den Treuhandvereinbarungen zulässig ist.

Es ist also nicht (mehr) allein (nur) deutsches Datenschutzrecht, sondern es sind auch die vertraglichen Regelungen mit Dritten (T-Systems und deren Kunden) sowie die technische Besonderheiten der "deutschen Cloud", die gegen den unbeschränkten Datenzugriff sprechen. Ob die Datentreuhand damit den Zugriff von US-(Sicherheits-) Behörden auf in Deutschland belegene Daten vollständig verhindern kann, wird sich letztlich erst durch Urteile der US-Gerichte zeigen. (fm)