Categories: Cloud

Wie steht es nun um den Datenschutz bei Amazon Web Services?

Diese Woche hat Amazon Web Services darauf hingewiesen, dass stellvertretend für die in der Artikel-29-Datenschutzgruppe organisierten EU-Datenschutzbehörden die luxemburgische CNPD seine Datenverarbeitungsvereinbarung geprüft habe. Der Anbieter nahm dies zum Anlass, um zu erklären, er erfülle damit nun die EU-Datenschutzgesetze – wohl auch als flankierende Maßnahme, um die gerade erst verfügbare gewordene Amazon-Region Frankfurt zu pushen. In einer Pressemitteilung erklärte Werner Vogels, Chief Technology Officer bei Amazon.com. „Indem wir unseren Kunden in Europa und dem Rest der Welt eine DPA anbieten, die von der EU-Datenschutzbehörde abgesegnet wurde, machen wir ganz klar, dass sie von AWS Datenschutz auf höchstem Niveau erwarten können.“

Bei näherem Hinsehen schränkt die luxemburgische Behörde die Aussagen in ihrem Schreiben allerdings erheblich ein. Gegenstand der Prüfung sei lediglich das „Data Processing Addendum“ – also die Datenverarbeitungsvereinbarung und der Annex 2 zu den Standardvertragsklauseln von Amazon gewesen. Die genügen der CNPD zufolge zwar den Anforderungen der EU-Datenschutzregeln, gleichzeitig solle das positive Ergebnis „dieser begrenzten Untersuchung“ nicht „als Beleg dafür missverstanden werden, dass Amazons vertragliche Regelungen als Ganzes den EU-Datenschutzrichtlinien entsprechen oder als Bestätigung dafür, dass AWS in der Praxis generell EU-Datenschutzbestimmungen entspricht.“

Für Firmen wird damit die Frage, ob sie nun Amazon Web Services auch für unter Datenschutzgesetze fallende Daten nutzen dürfen, also nach wie vor nicht abschließend geklärt – auch wenn Amazon in seiner Kommunikation geschickt versucht, einen gegenteiligen Eindruck zu erwecken. Dass diese Frage aber auch in Zukunft nicht so einfach zu beantworten sein dürfte, fürchtet auch Oliver Dehning, Geschäftsführer von Hornetsecurity und Leiter der Arbeitsgruppe Cloud Security bei TeleTrust. Er verweist darauf, dass er kein Jurist sei, und damit keine rechtsverbindliche Auskunft geben könne, weiß aber aus seiner Tätigkeit heraus, dass dieses Thema gleich mehrere juristische Fragen berührt.

Dehning gegenüber ZDNet: „Wir haben in der EU im Augenblick kein harmonisches Datenschutzrecht. Es gibt eine EU Datenschutzrichtlinie, auf die sich viele Firmen (insbesondere US-Internetkonzerne) berufen, die zum Beispiel in Irland ihre europäischen Aktivitäten angesiedelt haben, um die dort sehr schwache Umsetzung von Datenschutz für ihre Zwecke zu nutzen. Rechtlich ist dem nur schwer beizukommen, auch wenn das dann tatsächlich bestehende Datenschutzniveau deutlich unterhalb dessen liegt, was in Deutschland gesetzliche Norm ist.“

„Es gibt gar kein strenges EU-Datenschutzgesetz“, gibt Oliver Dehning, Geschäftsführer von Hornetsecurity, zu bedenken (Bild: Hornetsecurity).

Ob die in Vorbereitung befindliche EU-Datenschutzverordnung diese Situation signifikant verbessert, ist laut Dehning noch offen. Fest stehe jedenfalls, dass Amazons Behauptung, man erfülle nun ein „strenges EU-Datenschutzgesetz“ so nicht zutreffe: „Es gibt gar kein ’strenges EU-Datenschutzgesetz‘, es gibt allenfalls ein strenges deutsches Datenschutzgesetz, das aber für EU-Provider nicht wirklich greift“, so Dehning auf Anfrage von ZDNet.

Im Datenverkehr mit den USA sei die Situation noch schlechter: Zwar gebe es auf EU-Ebene ein Abkommen („Safe Harbour“) und Standardvertragsbedingungen, die dazu führen sollen, dass US-Provider ein dem EU-Niveau entsprechendes Datenschutzniveau bieten. Doch gibt Dehning zu bedenken: „Bei tatsächlicher Einhaltung dieser Richtlinien durch den Provider entsteht eine gewisse rechtliche Sicherheit für das EU-Unternehmen, das personenbezogene Daten an diesen Provider übermittelt beziehungsweise Daten durch ihn verarbeiten lässt. Ob das tatsächliche Datenschutzniveau dem in Deutschland geforderten Niveau entspricht, ist dadurch aber nicht gesagt, weil sich diese Richtlinien zum einen auf EU-Recht und nicht auf deutsches Recht beziehen und zum anderen die tatsächliche Einhaltung in der Regel gar nicht geprüft wird.“

In eine ähnliche Kerbe schlägt Hubert Jäger von der deutschen Firma Uniscon. Er ist in das vom Bundeswirtschaftsministerium geförderte Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“ involviert und findet, dass sich durch die nun vorgelegten Dokumente grundsätzlich nichts geändert hat: Von Amazon angeführten Zertifizierungen, etwa die nach ISO/IEC 27001, SOC oder PCI DSS belegten ein sorgfältiges Vorgehen hinsichtlich der Anforderungen, die das IT-Sicherheitsmanagement einer Organisation oder eines Dienstes betreffen. „Sie werden aber anhand einer individuellen Risikoanalyse durchgeführt, das heißt, nach einer Analyse, die der zu zertifizierende Dienst selbst vornimmt, nicht etwa nach einem festen Katalog. Sie geben keine Auskunft darüber, ob der Dienst Richtlinien im Bereich des EU-Datenschutzes oder nationale Gesetze befolgt.“

Thomas Bösel, Sicherheits- und Datenschutzbeauftragter bei QSC (Bild: QSC).

Ähnlich sieht das auch Thomas Bösel, Leiter Fraud-Management sowie Sicherheits- und Datenschutzbeauftragter bei QSC in Köln: „Auch eine Genehmigung selbst auferlegter Datenschutzregeln durch die EU-Datenschutzbehörden ändert nichts an den mal mehr oder auch mal weniger streng ausgelegten Datenschutzvorschriften der einzelnen EU-Länder. Die Aussage, die Daten unterlägen nun ‚überall auf der Welt‘ den gleichen strengen EU-Datenschutzvorschriften ist zudem irreführend. So dürften sich beispielsweise amerikanische Sicherheitsbehörden herzlich wenig für eine Datenschutzvereinbarung zwischen Kunde und Anbieter sowie die Anerkennung selbiger durch eine europäische Behörde interessieren.“

Uniscon-Experte Jäger fasst das so zusammen: „Aufgrund des Patriot Act und des FISA bestehen grundsätzliche Bedenken gegenüber Diensten, deren Anbieter diesen US-amerikanischen Gesetzen unterworfen sind. „Dem stimmt Oliver Dehning zu: „Ein zentrales Problem ist die Möglichkeit des Zugriffs durch Behörden in den Herkunftsländern des Providers, zum Beispiel den USA. Wenn nach geltendem Recht des Herkunftslandes des Providers eine dortige Behörde legitim die Herausgabe von Daten verlangt, dann muss der Provider dem nachkommen – auch wenn diese Daten ausländische (zum Beispiel deutsche) Personen oder Unternehmen betreffen und nach derzeitigem Stand zum Beispiel in den USA auch dann, wenn diese Daten außerhalb der USA (zum Beispiel in Irland oder Deutschland) gespeichert sind.

Das sei aber übrigens gar nicht ungewöhnlich, sondern gelte umgekehrt gleichermaßen: „Auch ein deutscher Provider müsste in den USA gespeicherte Daten eines US-Bürgers an deutsche Behörden herausgeben, wenn zum Beispiel eine entsprechende Verfügung vorliegt und der Provider Zugriff auf diese Daten hat.“

Der Knackpunkt hier ist jedoch, das unterschiedliche Datenschutzniveau der Länder. Derzeit ist nicht gewährleistet, dass die Verfügung zur Herausgabe personenbezogener Daten in den USA den gleichen rechtsstaatlichen Grundsätzen unterliegt, wie das in Deutschland der Fall ist. „Es könnten die Rechte deutscher Bürger dadurch verletzt sein, dass eine ausländische Behörde (zum Beispiel eine US-Behörde) auf ihre Daten Zugriff hat, ohne dass dazu ein Einverständnis der Person vorliegt oder ein Rechtfertigung nach deutschem Recht besteht“, so Dehning.

Die problematische Rechtslage in Bezug auf von US-Firmen angebotene Cloud-Angebote hat sich offenbar bereits bei verantwortlichen IT-Managern rumgesprochen. Eine kürzlich vom Bitkom durchgeführte Umfrage bestätigt die Skepsis deutscher IT-Verantwortlichen gegenüber Cloud-Lösungen aus den USA. Für die Mehrheit kommen nur Lösungen infrage, die von in Europa ansässigen Firmen stammen.

Jörg Mecke, Business Unit Manager Business Productivity bei Fritz &Macziol (Bild: Fritz&Macziol).

Jörg Mecke, Business Unit Manager Business Productivity beim System- und Beratungshaus Fritz & Macziol, kann dem Vorgehen von Amazon aber wenigstens einige gute Seiten abgewinnen: „Es ein guter Schritt für das Vertrauen in die Public Cloud, die Amazon mit seinem erfolgreichen Bemühen um eine europäische Freigabe im Sinne des Datenschutzes erreicht hat. Das verdient Respekt und reiht sich ein in eine Vielzahl von Aktivitäten, die die großen amerikanischen Cloud-Anbieter vollbringen.“ Auch Microsofts Zertifizierung für ISO 27018 gehe in gleiche Richtung.

Aber so Mecke weiter, es sei eben auch nur ein weiterer Schritt. „Da es aktuell kein europäisches Datenschutzrecht gibt, dass das deutsche BDSG ‚überstimmt‘, dürfte diese Mitteilung der EU nur informativ sein. Folgt man der Orientierungshilfe Cloud Computing (PDF) der Konferenz der Datenschutzbeauftragten vom 9. Oktober 2014, ist bei dem Vertragsabschluss zumindest Vorsicht geboten, je nach dem, was in der Public Cloud im außereuropäischen Raum verarbeitet wird.“

Was weiterhin offen ist – und hier kämpfe Microsoft stellvertretend auch für Amazon – ist die Frage nach der Herausgabepflicht von in Europa verarbeiteten Daten an die amerikanischen Behörden. Das Urteil der letzten Instanz wird für dieses Jahr erwartet und dürfte ebenfalls richtungweisend sein.“

Laut Mecke sind diese Schritte notwendig, um nach und nach nachhaltiges Vertrauen zu schaffen. „Compliance ist zum Stammtischthema geworden und gehört zu den Experten. Und wer jemals ein Cloud-Rechenzentrum von Amazon, Microsoft oder IBM besuchen durfte, wird feststellen: Die Sicherheit dort für Zutritt als auch Zugriff und gegen Ausfall ist um ein Vielfaches höher, als die Situation und Voraussetzungen bei 99 Prozent der deutschen Unternehmen.“

Das sieht grundsätzlich auch Dehning so: „Amazon will sicherlich die Daten seiner deutschen Kunden entsprechend deutschen Datenschutzgesetzen schützen und trifft dazu wohl auch die nötigen technischen Maßnahmen. Er hält aber auch fest: „Allein, das wird faktisch nichts ändern, wenn Amazon durch US-Recht zur Herausgabe von Daten an US-Behörden gezwungen ist.“

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

10 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

11 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago