Eintrag markiert ‘Datenschutz in den USA’

Nun ist es eindeutig: Cloud-Verarbeitung von personenbezogenen Daten bei US-Unternehmen unzulässig!

Freitag, 1. Juli 2011

US-Behörden, besonders die Strafverfolgungsbehörden, haben Zugriff auf Daten von Kunden, die bei US-Unternehmen gespeichert sind. Dies gilt auch, wenn die Daten in europäischen Rechenzentren gespeichert werden. Nach dem „Patriot Act“ müssen US-Firmen den US-Strafverfolgungsbehörden Zugriff auf die bei Ihnen gespeicherten Daten geben, unter Umständen sogar ohne die Kunden zu informieren. Microsoft, als ein Cloud-Anbieter, gibt dies z. B. offen zu: http://www.microsoft.com/online/legal/v2/?docid=23

Doch welche Auswirkungen hat dies für Nutzer von Cloud-Diensten? Die Auswirkungen sind einfach und eindeutig:

  1. Kein Nutzer von Cloud-Diensten kann sich auf die Vertraulichkeit seines Anbieters verlassen, wenn dieser unter US-Einfluss steht.
  2. Nach bundesdeutschem Datenschutzrecht dürfen keine personenbezogenen Daten ohne Zustimmung des Betroffenen in außereuropäische Länder übertragen werden. In §4b steht: „Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist.“ Die USA gelten als Land ohne angemessenes Datenschutzniveau. Hier widersprechen sich also US- und bundesdeutsches Recht. Da die Gefahr besteht, dass sich die US-Firmen als Cloud-Betreiber an US-Recht halten werden, scheiden US-Firmen als Datenverarbeitungsdienstleister für personenbezogene Daten für deutsche Firmen aus. Firmen, die also personenbezogene Daten in der Cloud bei US-Firmen speichern oder verarbeiten, verstoßen gehen das Bundesdatenschutzgesetz.

Fazit:

  1. Überprüfen Sie, ob Sie die Cloud-Dienste von Firmen nutzen, die unter US-Kontrolle stehen.
  2. Falls ja, übertragen Sie die Daten unverzüglich zu datenschutzrechtlich konformen Dienstleistern.
  3. Überprüfen Sie, ob Sie ggf. ein Sonderkündigungsrecht Ihres Vertrages mit dem US-Dienstleister haben, denn die öffentliche Aussage zu den Zugriffsmöglichkeiten ist relativ neu (28.6.2011).