Cloud Act: Microsoft will Datenzugriff der USA im Ausland begrenzen

Sicherheitsbehörden sollen nicht nach Belieben auf Nutzerdaten in der Cloud zugreifen dürfen. Microsoft hat deshalb Prinzipien für die internationale Debatte formuliert. Anders als im Cloud Act sollen rudimentäre Schutzvorkehrungen getroffen und die Rechte der Nutzer gestärkt werden.

Artikel veröffentlicht am , Stefan Krempl
Microsoft will die Cloud absichern.
Microsoft will die Cloud absichern. (Bild: ERIC PIERMONT/AFP/Getty Images)

Bürgerrechtsorganisationen wie die Electronic Frontier Foundation (EFF) protestierten scharf gegen den im März vom US-Kongress beschlossenen Cloud Act, mit dem Anbieter von Cloud-Diensten Daten ihrer Kunden an Ermittler etwa in den USA herausgeben müssen, unabhängig vom physischen Speicherort. Die EFF sprach damals von einer Hintertür, mit der FBI, CIA und NSA praktisch jeden überwachen könnten, ohne eine richterliche Anordnung vorweisen zu müssen. Umso erfreuter verweisen die Aktivisten nun auf einen Katalog von sechs Prinzipien, mit dem Microsoft die Zugriffsmöglichkeiten der Sicherheitsbehörden eingrenzen und die internationale Debatte darüber beeinflussen will.

Stellenmarkt
  1. Doktorandin / Doktorand für (Bio)-Informatik oder verwandte Fächer (KI/»Data Science«)
    Universitätsklinikum Frankfurt, Frankfurt am Main
  2. Embedded Software Development Engineer (m/w/d)
    RIEDEL Communications GmbH & Co. KG, Wuppertal
Detailsuche

Der US-Konzern fordert in seinem Papier vor allem, dass Ermittler nur mit einer vorab eingeholten Richtergenehmigung an Cloud-Provider herantreten dürfen. Derlei rudimentäre Schutzvorkehrungen sieht der Cloud Act bislang nicht vor. Weiter setzt sich Microsoft dafür ein, dass die Anbieter detaillierte juristische Informationen rund um einschlägige Verfahren erhalten, um die Ansprüche auf Datenherausgabe prüfen zu können. Nötig sei zudem ein klar umrissener Mechanismus, um zum Schutz von Menschenrechten gegen unrechtmäßige und unangemessene Ersuchen gerichtlich vorgehen zu können.

Cloud-Nutzer sollen ein Recht auf Transparenz haben

"Abgesehen von engen Umständen haben Nutzer ein Recht zu erfahren, wenn Regierungen sich Zugang zu ihren Daten verschaffen", lautet eine weitere Forderung von Microsoft. Cloud-Provider wiederum müssten ein Recht haben, ihre Kunden über entsprechende Vorgänge aufzuklären. Transparenz sei auch unabdingbar, wenn internationale Vereinbarungen für den Zugriff auf Daten in der Cloud ausgehandelt und implementiert werden. Nur so könne das öffentliche Vertrauen in den Staat und die Technologie bewahrt werden. Alle Textentwürfe müssten vorab veröffentlicht und breit diskutiert werden. Die betroffenen Unternehmen sollten zudem das Recht erhalten, regelmäßig angemessene Transparenzberichte über die an sie gerichteten Verlangen zu publizieren.

Regierungen müssten zudem schon in den geplanten Übereinkommen Konflikte mit Rechtsbestimmungen in Drittstaaten zu vermeiden suchen und im Falle eines Falles Verfahren möglichst zur außergerichtlichen Konfliktlösung vorsehen, verlangt Microsoft. Prinzipiell könnte etwa ein US-Ersuchen zur Datenherausgabe bei einem Cloud-Anbieter in Europa gegen die EU-Datenschutzgrundverordnung verstoßen. Der Provider wäre damit in einer Zwickmühle und müsste selbst entscheiden, welches Recht er bricht.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Der Konzern aus Redmond plädiert ferner dafür, dass Unternehmen das Recht haben sollten, die Daten ihrer Kunden selbst zu kontrollieren. Anforderungen auf Zugriffe darauf sollten daher primär an die Firmen direkt gestellt werden, die die personenbezogenen Informationen erhoben und gesammelt haben, nicht an die Anbieter technischer Speicherinstrumente im Netz.

EFF: Wichtiger Schritt für Abkommen über internationale Datenabfragen

Die EFF begrüßt die vorgeschlagenen Prinzipien als wichtigen Schritt, um laufende und künftige Gespräche über Abkommen für internationale Datenabfragen in der Cloud auf den richtigen Kurs zu bringen. Andere einschlägige große US-Anbieter wie Amazon, Apple, Google, Facebook und das jetzt Oath heißende Yahoo müssten sich ähnlich einbringen und dürften nicht länger den Cloud Act bedingungslos unterstützen.

Gewünscht hätten sich die Bürgerrechtler nur noch, dass Microsoft sich auch für Leitlinien stark machen würde, wonach die verlangten Daten möglichst grundrechtsfreundlich gespeichert, genutzt, mit Dritten geteilt und zeitnah wieder gelöscht werden sollten.

Microsoft hatte sich zuvor einen jahrelangen Rechtsstreit mit der US-Regierung über die Weitergabe von Daten eines US-Bürger geliefert, die in Rechenzentren innerhalb der EU gespeichert waren. In dem Fall war es um Drogenkriminalität gegangen. Ein US-Berufungsgericht hatte dem Unternehmen Recht gegeben, sodass das Justizministerium den Supreme Court anrief. Beide Seiten erklärten die Auseinandersetzung wenige Tage nach dem Beschluss des Cloud Acts aber für erledigt. Microsoft sieht das Gesetz als guten Kompromiss an. Die damit ins Spiel gebrachten bilateralen Verträge für Datenzugriffe sollen laut dem Konzern jedoch die nun aufgezeigten Regeln berücksichtigen.

Die EU-Kommission hat im April ihrerseits einen Gesetzentwurf auf den Weg gebracht, über den Strafverfolger und Justizbehörden "elektronische Beweismittel" direkt bei Providern unabhängig vom Standort der jeweiligen Daten einfacher sicherstellen können sollen. Der Vorschlag für eine "europäische Vorlageanordnung" ähnelt in vielen Punkten dem Cloud Act.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /