Wie zdnet bereits 2011 herausfand, sind EU-Cloud Daten nicht sicher vor dem Patriot Act in den USA. Dieses Gesetz, das 2001 als Antwort auf die Terroranschläge auf das World Trade Center verabschiedet wurde, erlaubt es den US-Behörden wie NSA, FBI usw. ohne richterliche Anordnung auf die Server von US-Unternehmen zuzugreifen. Dies gilt auch für die ausländischen Töchter, selbst wenn lokale Gesetze dies verbieten.

MICROSOFT GESTEHT…

Firmen mit Zentrale in den USA müssen sich an nationale Gesetze der USA halten, genauso wie an die der Länder in denen man einen Firmensitz betreibt. Gordon Frazer von Microsoft UK war einer der ersten der hier öffentlich gestand, dass man keine Garantien geben könne, dass Daten nicht im Zuge des Gesetzes weitergegeben würden: „Microsoft kann dies nicht garantieren. Und auch kein anderes Unternehmen“. Wenigstens ergänzte er seine Aussage damit, dass man die betroffenen Kunden, sofern möglich, informieren würde.

STUDIE BRACHTE GLEICHES ERGEBNIS

Wie die Studie „Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act“ der niederländischen Rechtsexperten Joris van Hoboken, Axel Arnbak und Nico van Eijk belegt hatte könne der Patriot Act dafür benutzt werden, die strengen europäischen Datenschutzbestimmungen zu umgehen um an private Daten europäischer Staatsbürger zu gelangen.

RECHTSSICHERE CLOUD-DIENSTE

Dirk Bongardt von Mittelstandswiki gibt folgende Tipps für rechtssicheres Cloud-Computing:

• – Nutzen Sie Dienste, die in der EU beheimatet sind, oder US-Dienste, die eine Datenverarbeitung in der EU anbieten.
  – Schließen Sie Auftragsdatenverarbeitungsverträge mit allen Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten! (Eine Mustervereinbarung gibt es im Datenschutz-Wiki des BfDI, die Anbieter haben aber in aller Regel eigene Vorlagen.)
  – Erläutern Sie in Ihrer Datenschutzerklärung detailliert, welche Daten Sie erheben, wie und wie lange Sie diese speichern, und zu welchen Zwecken!
  – Holen Sie, wann immer realisierbar, das Einverständnis der Betroffenen ein – im Idealfall per Double-Opt-in – und bieten Sie eine einfache Möglichkeit, dieses Einverständnis zu widerrufen!