Patriot Act erlaubt Zugriff auf Daten in der Cloud auch außerhalb der USA

Auch die (verhältnismäßig) starken europäischen Datenschutz-Regularien schützen EU-Daten in der Cloud nicht, haben niederländische Forscher in einer neuen Studie zu „Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act“ festgestellt. Sie sagen:

Institutionen verlagern ihre Daten und IT-Operationen zunehmend in die Cloud. Die Konsequenz: Weniger Überblick und Kontrolle für die Regierungen über Daten für Strafverfolgung und Fragen der nationalen Sicherheit.

Konkret geht es um die Möglichkeiten, die sich die US-Regierung mit dem US-Patriot-Act 2001 gegeben hat.

Axel Arnbak, einer der Autoren der Studie, dazu auf CBS News:

Die meisten Cloud-Anbieter, darunter ganz sicher die Marktführer, fallen in die Zuständigkeit der US-amerikanischen Rechtsprechung entweder weil sie US-Firmen sind oder aber weil sie regelmäßig in den USA Geschäfte betreiben. Vor allem das FISA-Gesetz (Foreign Intelligence Surveillance Amendments Act) erleichtert es US-Behörden, kommunale und regionale Behörden zu umgehen und eine direkten und einfachen Zugang zu Cloud-Daten anzuordnen, die Nicht-US-BürgerInnen gehören, die außerhalb der USA leben, mit wenig oder keiner Verpflichtung zu Transparenz bezüglich dieser Praktiken – nicht einmal zur Anzahl solcher Abfragen.

Die Frage nach Zugriffsmöglichkeiten auf eigentlich durch Datenschutz-Regelungen geschützte Cloud-Daten ist nicht neu. Microsoft hat bereits 2011 zugegeben, dass nicht garantiert werden könne, dass seine KundInnen aus der EU überhaupt erfahren, wenn auf ihre Daten, die sich in Rechenzentren in der EU befinden, durch den Patriot Act legitimiert zugegriffen wird. Microsoft U.K. Managing Director Gordon Frazer 2011: „Und das kann auch kein anderes Unternehmen garantieren„.

Joris van Hoboken, ebenfalls Autor der Studie und Forscher am Institute for Information Law der Universität Amsterdam, kritisiert die Verschleierungstaktik der US-Regierung:

Während der Arbeit an der Studie, aber auch jetzt, nachdem sie veröffentlicht wurde, wurde deutlich, wie schwierig es ist, auch nur eine gemeinsame Grundlage für Diskussion oder gar Fortschritt bei diesem Thema zu finden. Die US-Regierung hat zum Beispiel erst kürzlich seine juristische Legitimation verteidigt (pdf), auf Daten von Nicht-US-BürgerInnen zugreifen zu können: das FISA-Erweiterungsgesetz von 2008, das wir in unserer Studie als besonders großzügig problematisiert haben. Wenn man das dem Statement über die fünf Mythen über den Schutz der Privatsphäre (pdf) des US-Botschafters bei der EU gegenüberstellt, könnte man fast den Eindruck haben, dass hier eine parallele Realität geschaffen wird.

Das vollständige Statement des US-Botschafters bei der EU, William E. Kennard, bei der 3. Jährlichen Europäischen Konferenz zu Datenschutz und Privatsphäre am 4. Dezember in Brüssel lässt sich hier nachlesen.

Besondere Brisanz bekamen die Ergebnisse der Studie in den Niederlanden in der vergangenen Woche, als bekannt wurde, dass US-Behörden möglicherweise Zugang zu den niederländischen PatientInnen-Daten haben. Das System zur digitalen Verwaltung der Daten wurde von CSC entwickelt, einer US-Firma mit einer Niederlassung in den Niederlanden, die die Daten auch weiterhin pflegt. Bereits im Juni hatte die sozialliberale Partei D66 darauf hingewiesen, dass die niederländischen Pässe von der US-Firma Morpho produziert werden und damit sämtliche Fingerabdrücke und weiteren biometrischen Daten US-Behörden per Patriot Act zugänglich sind . Die niederländische Innenministerin Lisbeth Spies erklärte gegenüber dem Parlament im Sommer, dass sie diese Möglichkeit nicht ausschließen könne. Die niederländische Ärzte-Vereinigung VPG klagt inzwischen gegen die digitale Patienten-Akte. Das Argument: die ärztliche Schweigepflicht kann nicht mehr garantiert werden.

CSC hat auch einen Sitz in Deutschland und wirbt u.a. mit den „Success Stories“ Software für Exporte des Bundesamtes für Wirtschaft und Ausfuhrkontrolle (BAFA), Architecture Personnel Recovery beim Waffensystemkommando der Luftwaffe oder die e-Vergabe für das Beschaffungsamt des Bundesinnenministeriums.

 

Bild: Flickr, CC-BY-Lizenz, by FutUndBeidl

Crosspost von netzpolitik.org