Datenschutz in der Cloud: Wo meine Dateien wirklich sicher sind

Flavio Trillo 10

iCloud, Dropbox, Google Drive, SkyDrive — das sind die „großen vier“ im Geschäft der Cloud-basierten Speicherlösungen. Sie alle versichern natürlich, die Daten ihrer Anwender vor Fremdzugriffen zu schützen. Allerdings stehen sämtliche Server dieser Anbieter in den USA. Wie sicher sind sensible Informationen in Übersee aber wirklich?

Cloud-Sicherheit: Entscheidet der Standort?

Verschlüsselung, redundanter Speicher, stündliche Backups — all das schützt vor einem kompletten Verlust der Daten. Auch die Gefahr eines physischen Zugriff auf die Festplatten durch Bösewichte ist denkbar gering. Doch alle noch so ausgeklügelten und ausfallsicheren Maßnahmen können nicht vor der rechtmäßigen Einsichtnahme durch Behörden schützen.

Manche Dienste betreiben einige ihrer Server innerhalb der EU oder Deutschlands. Die Kunden könnten so auf die Idee kommen, dass ihre Daten so vor dem Zugriff durch US-amerikanische Behörden sicher sind. Anders als im „wilden Westen“, wo jede niedere Behörde problemlos an alle persönlichen Daten ausländischer Kunden amerikanischer Unternehmen gelangt.

Aber stimmt das auch? Ist „Serverstandort Deutschland/EU“ wirklich ein Siegel für den effektiven Schutz der Privatsphäre?

Der Patriot Act: Freischein zur Dateneinsicht in Europa

Thilo Schmidt, Experte für Urheber- und Datenschutzrecht, erklärt uns, dass dem nicht unbedingt so sein muss. Zwar gilt für alle Daten, die hierzulande verarbeitet (also auch gespeichert) werden, das Bundesdatenschutzgesetz (BDSG), dem auch in anderen EU-Staaten ähnliche Regelungen entsprechen. Dieses gebietet eine richterliche Kontrolle jedweden Zugriffs auf Benutzerdaten durch die Behörden. Trotzdem kann es praktisch zu einer Weitergabe der sensiblen Informationen an US-amerikanische Behörden kommen.

Seit der Verabschiedung des Patriot Act im Jahr 2001 ist es in den USA vielfach möglich, ganz einfach auf Kundendaten zuzugreifen. Eine Reaktion auf die Terroranschläge auf das World Trade Center am 11. September. Die Bundespolizei FBI sowie der Nachrichtendienst CIA können auf eigene Faust, ohne eine vorherige Kontrolle durch einen Richter verlangen, dass ein Unternehmen ihnen den Zugriff auf seine Server ermöglicht. Auch wenn diese eigentlich deutschem Recht unterstehen. Für den Patriot Act ist nämlich nicht der Serverstandort, sondern der Hauptsitz des zugehörigen Anbieters ausschlaggebend.

Nicht ohne meine Tochter: Konzernverbindungen in die USA

Selbst wenn viele der großen Anbieter auch Datenzentren in Deutschland durch Tochterfirmen betreiben lassen, so Schmidt, ist das kein wirksamer Schutz gegen eine Weitergabe persönlicher Informationen an US-Behörden. Deutsche Unternehmen, die US-Firmen untergeordnet sind, befinden sich in einer Zwickmühle. Einerseits werden sie vom „Mutterschiff“ angehalten, die fraglichen Informationen freizugeben. Andererseits verhalten sie sich so nach hiesigem Recht rechtswidrig.

„Der Verstoß wird aber nicht auffallen, da die deutschen Behörden ja den Datenverkehr nicht überwachen können. Zum anderen wäre ein deutsches Bußgeld in den USA nur sehr schwer zu vollstrecken.“ Zudem sieht das US-Gesetz nur in höchst seltenen Fällen eine Information der User über die Abfrage vor. Und wo kein Kläger, da kein Richter, könnte man sagen.

Wo sind meine Daten wirklich sicher?

Die einzige Möglichkeit, sich diesem Zugriff wirksam zu entziehen, erklärt Schmidt, bestehe darin, sich aus dem Wirkungsbereich des Patriot Act zu entfernen. Befindet sich die Muttergesellschaft nämlich in Deutschland und nur eine Tochterfirma in den USA, können CIA und FBI nicht so einfach eine Datenherausgabe fordern.

Am Ende steht fest: Allein der Serverstandort ist noch keine Garantie für absolute Sicherheit der eigenen persönlichen Daten. Der Patriot Act sieht umfassende Zugriffsrechte vor, auch für Server im Ausland. „Sicher sind die Daten nur bei Unternehmen, die keine Konzernmutter in den USA besitzen“, schließt Schmidt.

Das Prädikat „Serverstandort: Deutschland“ ist also nur mit dem Zusatz „Konzernhauptsitz: Ebenfalls Deutschland“ tatsächlich sinnvoll.

Ein paar Beispiele für Anbieter, die garantiert frei von prekären Verbindungen zu US-Unternehmen sind: CloudSafe, Fruux (verwendet Amazon-Server), macbay, cloudgermany.de sowie alle Anbieter, die sowohl ihre Server als auch ihren Hauptsitz innerhalb der EU haben.

Quiz: Wie gut kennst du dich in der iPhone-Welt aus?

Wie gut kennst du dich in der iPhone-Welt aus? Teste es in diesem Quiz. Manche Fragen sind sehr leicht, manche schwer und manche etwas hinterhältig. Viel Spaß!

Zu den Kommentaren

Kommentare zu diesem Artikel

* Werbung