Netzpolitik
01.07.2011

Microsoft: "Man muss US-Rechtssystem vertrauen"

In der Diskussion um den US-Zugriff auf europäische Datencenter ist Microsoft um Kalmierung bemüht. Im Gespräch mit der futurezone unterstreicht der für die Region Westeuropa zuständige Microsoft-Manager Klaus Holse Andersen, dass man naturgemäß kein Interesse daran habe, Kunden zu verunsichern. Wie alle anderen Unternehmen sei man allerdings verpflichtet, geltende Gesetze einzuhalten und gegebenenfalls mit Behörden zu kooperieren.

„Letztlich läuft es sowohl in Europa als auch in den USA darauf hinaus, dass man dem Rechtssystem eines demokratischen Staates wie den USA vertrauen muss. Wenn man das prinzipiell in Frage stellt, wird es natürlich problematisch“, meint

. Die Diskussion betreffe allerdings eine Vielzahl von Unternehmen, zumal auch Services wie Gmail oder Facebook im Prinzip bereits als Cloud-Dienste von in den USA beheimateten Unternehmen gesehen werden müssten. Hier setze Microsoft auf maximale Transparenz und Information der Kunden.

Was den

oder anderer staatlicher Behörden auf Kundendaten betrifft, versicherte Andersen, dass man nur auf richterliche Anweisung hin aktiv werde. „Wenn es nicht dezidiert gerichtlich verboten wird, nehmen wir im Fall einer behördlichen Anfrage Kontakt mit dem Kunden auf und bitten ihn, die Auflagen zu erfüllen. Sollte dies aus einem bestimmten Grund nicht möglich sein, müssen wir unsererseits aktiv werden“, so Andersen. In einzelnen Fällen könne man allerdings nicht ausschließen, dass die Behörden eine Kontaktaufnahme mit dem Kunden untersage.

Steht der Patriot Act über den EU-Bestimmungen?
Kaum Klarheit herrscht allerdings weiterhin in der Frage des umstrittenen Patriot Acts, der US-Behörden den Zugriff auf Daten und Informationen verdächtiger Personen oder Unternehmen ohne langwierigen Rechtsprozess ermöglicht. Während der britische Microsoft-Chef Gordon Frazer davon überzeugt ist, dass sich Microsoft als US-Unternehmen einer Anfrage auf Basis des Patriot Acts nicht entziehen kann, sind Datenschutz-Rechtler zwiegespalten, ob der US-Zugriff auf Datenzentren in der EU mit europäischem Recht vereinbar ist.

„Stehen die Server im EU-Raum, ist prinzipiell auch europäisches Datenschutzrecht anwendbar“, erklärt Eva Souhrada-Kirchmayer von der österreichischen Datenschutzkommission. „Ein Datentransfer von Europa in die USA muss in jedem Fall von der Datenschutzkommission genehmigt werden, es sei denn, er ist in einem bilateralen Abkommen geregelt“, so Souhrada-Kirchmayer.

Was im Falle einer nicht genehmigten Datenweitergabe im Rahmen des Patriot Acts passiert, ist jedoch ungewiss. So müsse in diesem Fall diskutiert werden, welches Recht zur Anwendung gelange. Über die Unternehmen, welche die Daten weitergegeben haben, könne die Kommission allerdings keine Strafen verhängen.

Gefahr von Missbrauch
Für den Datenschutzexperten Hans Zeger von der ARGE Daten ist die nachträgliche Aufarbeitung in so einem Fall ohnehin wenig zielführend. „Die Daten sind dann ja schon weg, das kann man nicht mehr rückgängig machen“, so Zeger im Gespräch mit der futurezone. Zudem müsse dieser Datentransfer erst entdeckt werden, da die US-Behörden dem Unternehmen ja auch Schweigepflicht auferlegen könne.

Für Zeger bietet gerade der auch in den USA vieldiskutierte Patriot Act eine große Missbrauchsgefahr. „Terrorverdächtig ist man schnell. Es gibt immer wieder Verdachtsfälle, laut denen die USA den Vorwand der Terrorismusbekämpfung massiv ausnutzt, um wirtschaftliche Abläufe auszuspähen“, sagt Zeger. Wenn möglich sollte man bei der Wahl eines Cloud-Anbieters eher auf lokale Angebote zurückgreifen, ist der Datenschutzexperte überzeugt. Aber auch hier gelte es abzuklären, wo die Server stehen. „Auch ein österreichischer Anbieter kann seine Cloud-Services auf indische Server auslagern.“

Mehr zum Thema

Der USA PATRIOT Act:
Im Zuge der Terrorismusbekämpfung wurde 2001 der USA Patriot Act verabschiedet.   Er räumt US-Bundesbehörden  weitreichende Befugnisse ein, um Ermittlungen bei terroristischen Bedrohungen zu beschleunigen. So können etwa Hausdurchsuchungen ohne Wissen des  Verdächtigen durchgeführt werden. Die Überwachung von Telefon und Internet muss einem  Richter  gemeldet werden, dieser hat aber keine Möglichkeit, es abzulehnen.