Deutsches Datenschutzrecht und der USA PATRIOT Act

Am Dienstag, 6.12.2011, ging über einige IT-News-Ticker wie heise online , dass Microsoft ab Mitte Dezember die Nutzungsbestimmungen für seinen Cloud-Dienst Office 365 so ändern will, dass diese deutschen und europäischen Datenschutzbestimmungen genügen sollen. Das soll sogar vom bayerischen Datenschutzbeauftragen bescheinigt werden. Zeit also, einen Blick darauf zu werfen, ob Microsoft das Ei des Columbus gefunden hat.

Hintergrund ist der Konflikt zwischen dem deutschen Datenschutzrecht und dem USA PATRIOT Act. Nach Datenschutzrecht dürfen personenbezogene Daten nur in solche Länder exportiert werden, die ein Datenschutzniveau mindestens in der Höhe der EU-Datenschutzrichtlinie bieten. Die Weitergabe der Daten darf ausschließlich nach Erlaubnis des Kunden erfolgen. Dafür dürfen keine Generalklauseln eingesetzt werden. Jeder einzelne Fall der Weitergabe der Daten bedarf einer individuellen Zustimmung durch den Kunden.

Der USA Patriot Act erlaubt US-Behörden wie dem FBI den Zugriff auf Daten, die bei Unternehmen, die in den USA Geschäfte tätigen, liegen, in einem sehr weiten Mantel der Terrorismusbekämpfung. Der Patriot Act sieht zwar im Prinzip die Benachrichtigung der Betroffenen vor. Es gibt aber im Gesetz keine Vorschrift, in welchem zeitlichen Abstand die Benachrichtigung erfolgen muss. Das geschieht allein nach Ermessen der Behörde von Fall zu Fall, und wäre selbst dann noch gesetzeskonform, wenn die Benachrichtigung erst nach der in den USA für die Geheimhaltung von Behördendokumenten üblichen Zeit von 50 Jahren erfolgt. Cloudbetreiber wie Microsoft können verpflichtet werden, gegenüber ihren Kunden Stillschweigen zu bewahren. Möglicherweise Betroffene können also im Prinzip nicht feststellen, ob sie tatsächlich betroffen sind. Folglich kann auch kein deutscher Datenschutzbeauftragter jemals bestätigen, ob sich ein dem Patriot Act unterworfener Cloudbetreiber an deutsches Datenschutzrecht hält. Er kann bestenfalls feststellen, ob die Nutzungsbestimmungen auf dem Papier mit dem deutschen Datenschutzrecht übereinstimmen. Eine solche Bescheiningung hat aber einen sehr eingeschränkten Nutzen. Besagt sie doch eigentlich nur, dass sich der Anbieter an die deutschen Gesetze halten möchte. Ist das nicht selbstverständlich, wenn man in Deutschland Geschäfte machen möchte?

Grundsätzlich steht jeder Cloudanbieter, der in der EU ein Angebot macht und in den USA angesiedelt ist oder dort einen substantiellen Anteil seines Umsatzes erwirtschaftet, in einem nicht lösbaren Konflikt. Er kann sich nicht gleichzeitig an europäische Datenschutzvorschriften halten und den USA Patriot Act einhalten. Für in den USA beheimatete Cloudanbieter, und das sind alle großen, ist die Priorität klar. Die US-Behörden können die Einhaltung des Patriot Acts erzwingen. Im Zweifelsfalle werden die nationalen europäischen Gesetze gebrochen. Daraus ergibt sich vermutlich das Recht auf Schadenersatz für europäische Kunden. Aber solange die Kunden von diesem Rechtsbruch nicht einmal erfahren, ist der Anspruch auf Schadenersatz wohl sehr theoretisch.

In Europa beheimatete Cloudanbieter hätten zumindest theoretisch noch die Möglichkeit, die Kooperation mit den US-Behörden mit Verweis auf europäisches Datenschutzrecht zu verweigern, falls ihre Server in der EU stehen. Das würde aber wohl dazu führen, dass die US-Behörden das USA Geschäft sehr zügig beendeten. Wie real diese Gefahr ist, erfuhr die Schweizer Großbank UBS im Streit um die Weitergabe von Kundendaten an die US-Steuerbehörden. Diese nahmen die US-Tochter der UBS in Geiselhaft und erzwangen so die Herausgabe der Kundendaten. Stehen die Server in den USA, ist nicht einmal das möglich. Die US-Behörden hätten in jedem Fall Durchgriff auf die Daten durch Erzwingung eines physischen Zugangs.

Für Kunden bleiben daher nur zwei Alternativen. Entweder sie akzeptieren, dass US-Behörden im Prinzip Zugang zu ihren Daten haben und sie bei einem tatsächlichen Zugriff möglicherweise erst viel später davon erfahren. Oder sie weichen auf Cloudanbieter aus, die in der EU angesiedelt sind und nur dort ihr Geschäft betreiben.