Suche
Anzeige
(Bild: ERIC PIERMONT/AFP/Getty Images)

Cloud Act: Microsoft will Datenzugriff der USA im Ausland begrenzen

Sicherheitsbehörden sollen nicht nach Belieben auf Nutzerdaten in der Cloud zugreifen dürfen. Microsoft hat deshalb Prinzipien für die internationale Debatte formuliert. Anders als im Cloud Act sollen rudimentäre Schutzvorkehrungen getroffen und die Rechte der Nutzer gestärkt werden.

Bürgerrechtsorganisationen wie die Electronic Frontier Foundation (EFF) protestierten scharf gegen den im März vom US-Kongress beschlossenen Cloud Act, mit dem Anbieter von Cloud-Diensten Daten ihrer Kunden an Ermittler etwa in den USA herausgeben müssen, unabhängig vom physischen Speicherort. Die EFF sprach damals von einer Hintertür, mit der FBI, CIA und NSA praktisch jeden überwachen könnten, ohne eine richterliche Anordnung vorweisen zu müssen. Umso erfreuter verweisen die Aktivisten nun auf einen Katalog von sechs Prinzipien, mit dem Microsoft die Zugriffsmöglichkeiten der Sicherheitsbehörden eingrenzen und die internationale Debatte darüber beeinflussen will.

Anzeige

Der US-Konzern fordert in seinem Papier vor allem, dass Ermittler nur mit einer vorab eingeholten Richtergenehmigung an Cloud-Provider herantreten dürfen. Derlei rudimentäre Schutzvorkehrungen sieht der Cloud Act bislang nicht vor. Weiter setzt sich Microsoft dafür ein, dass die Anbieter detaillierte juristische Informationen rund um einschlägige Verfahren erhalten, um die Ansprüche auf Datenherausgabe prüfen zu können. Nötig sei zudem ein klar umrissener Mechanismus, um zum Schutz von Menschenrechten gegen unrechtmäßige und unangemessene Ersuchen gerichtlich vorgehen zu können.

Cloud-Nutzer sollen ein Recht auf Transparenz haben

"Abgesehen von engen Umständen haben Nutzer ein Recht zu erfahren, wenn Regierungen sich Zugang zu ihren Daten verschaffen", lautet eine weitere Forderung von Microsoft. Cloud-Provider wiederum müssten ein Recht haben, ihre Kunden über entsprechende Vorgänge aufzuklären. Transparenz sei auch unabdingbar, wenn internationale Vereinbarungen für den Zugriff auf Daten in der Cloud ausgehandelt und implementiert werden. Nur so könne das öffentliche Vertrauen in den Staat und die Technologie bewahrt werden. Alle Textentwürfe müssten vorab veröffentlicht und breit diskutiert werden. Die betroffenen Unternehmen sollten zudem das Recht erhalten, regelmäßig angemessene Transparenzberichte über die an sie gerichteten Verlangen zu publizieren.

Regierungen müssten zudem schon in den geplanten Übereinkommen Konflikte mit Rechtsbestimmungen in Drittstaaten zu vermeiden suchen und im Falle eines Falles Verfahren möglichst zur außergerichtlichen Konfliktlösung vorsehen, verlangt Microsoft. Prinzipiell könnte etwa ein US-Ersuchen zur Datenherausgabe bei einem Cloud-Anbieter in Europa gegen die EU-Datenschutzgrundverordnung verstoßen. Der Provider wäre damit in einer Zwickmühle und müsste selbst entscheiden, welches Recht er bricht.

Anzeige

Der Konzern aus Redmond plädiert ferner dafür, dass Unternehmen das Recht haben sollten, die Daten ihrer Kunden selbst zu kontrollieren. Anforderungen auf Zugriffe darauf sollten daher primär an die Firmen direkt gestellt werden, die die personenbezogenen Informationen erhoben und gesammelt haben, nicht an die Anbieter technischer Speicherinstrumente im Netz.

EFF: Wichtiger Schritt für Abkommen über internationale Datenabfragen

Die EFF begrüßt die vorgeschlagenen Prinzipien als wichtigen Schritt, um laufende und künftige Gespräche über Abkommen für internationale Datenabfragen in der Cloud auf den richtigen Kurs zu bringen. Andere einschlägige große US-Anbieter wie Amazon, Apple, Google, Facebook und das jetzt Oath heißende Yahoo müssten sich ähnlich einbringen und dürften nicht länger den Cloud Act bedingungslos unterstützen.

Gewünscht hätten sich die Bürgerrechtler nur noch, dass Microsoft sich auch für Leitlinien stark machen würde, wonach die verlangten Daten möglichst grundrechtsfreundlich gespeichert, genutzt, mit Dritten geteilt und zeitnah wieder gelöscht werden sollten.

Microsoft hatte sich zuvor einen jahrelangen Rechtsstreit mit der US-Regierung über die Weitergabe von Daten eines US-Bürger geliefert, die in Rechenzentren innerhalb der EU gespeichert waren. In dem Fall war es um Drogenkriminalität gegangen. Ein US-Berufungsgericht hatte dem Unternehmen Recht gegeben, sodass das Justizministerium den Supreme Court anrief. Beide Seiten erklärten die Auseinandersetzung wenige Tage nach dem Beschluss des Cloud Acts aber für erledigt. Microsoft sieht das Gesetz als guten Kompromiss an. Die damit ins Spiel gebrachten bilateralen Verträge für Datenzugriffe sollen laut dem Konzern jedoch die nun aufgezeigten Regeln berücksichtigen.

Die EU-Kommission hat im April ihrerseits einen Gesetzentwurf auf den Weg gebracht, über den Strafverfolger und Justizbehörden "elektronische Beweismittel" direkt bei Providern unabhängig vom Standort der jeweiligen Daten einfacher sicherstellen können sollen. Der Vorschlag für eine "europäische Vorlageanordnung" ähnelt in vielen Punkten dem Cloud Act.

Anzeige