Es ist nichts Neues, dass die sogenannten Antiterrorgesetze der USA den US-Behörden einen Zugriff auch auf die Daten europäischer Nutzer ermöglichen. Gerade durch die Bekanntgabe einiger großer Cloud-Anbieter wie Microsoft, dass sie verpflichtet seien, Daten aus EU-Rechenzentren an US-Behörden weiterzugeben und dies auch schon getan hätten, wurde über diese Tatsache viel diskutiert.
Da ist es nicht verwunderlich, wenn sich viele Nutzer von Cloud-Diensten aufgrund der Vielzahl und Komplexität der Datenschutzregelungen auch oft überfordert fühlen und ihre Daten nicht ausreichend gesichert sehen.
Sollte man daher Cloud-Angebote aus den USA überhaupt noch nutzen – auch wenn man nichts zu verbergen hat? Denn gerade die Nutzung großer amerikanischer Anbieter wie Google und Microsoft sind auch bei deutschen Privatpersonen und sogar Unternehmen weit verbreitet.
Wie bereits vor einiger Zeit bekannt wurde scannen viele dieser Anbieter die von Nutzern hochgeladenen Inhalte von sich aus auf mögliche strafrechtlich verfolgbare Inhalte, wie beispielsweise Kinderpornografie. Die Überprüfung geschieht offensichtlich automatisch und bringt auch in Deutschland Ermittlungen in Gang. Ein einziges, fragwürdiges Bild unter etlichen unbedenklicher Aufnahmen kann dabei zu einer Meldung an die zuständige US-amerikanische Behörde führen. Über diese werden dann auch die entsprechenden deutschen Einheiten alarmiert, um die weiteren strafrechtlichen Maßnahmen einzuleiten. Ins Zwielicht geraten dann möglicherweise im Falle von Verdacht auf Kinderpornografie auch Eltern, die Aufnahmen ihrer Kinder in der Cloud speichern.
Zwar sind die in der Cloud gespeicherten Daten noch einigermaßen gegen den Zugriff Dritter gesichert, aber eben nicht gegen die Durchleuchtung durch den jeweiligen Anbieter. Vielmehr überprüfen diese wohl tatsächlich automatisch alles, was in die Cloud hochgeladen wird und informieren dann von sich aus die Ermittlungsbehörden.
Sowohl die amerikanischen als auch die europäischen Regelungen ermächtigen zum Teil zu einer Überwachung ohne richterlichen Vorbehalt. Garantiert ein US-Anbieter vertraglich (Vertrag zur Auftragsdatenverarbeitung), dass Daten den EWR nicht verlassen, so muss er diese Zusage auch einhalten. Der Cloud-Anbieter muss sich dann vor den US-Gerichten gegen den Zugriff durch das FBI wehren, denn er würde mit einer Datenweitergabe aus einem EU-Rechenzentrum an US-Behörden das EU-Recht verletzen. Kann ein US-Anbieter nicht garantieren, dass die Daten ausschließlich innerhalb des EWR verarbeitet werden, so kann er keine EWR-Cloud anbieten. Die Verträge müssen in diesem Fall anderen Grundsätzen folgen. Unternehmen und Cloud Anbieter schließen dann einen Vertrag über eine internationale Cloud.
—> Schlussfolgerung … !!!