US-Cloud: Gutachten zeigen hohen Handlungsbedarf
Fest steht dagegen eindeutig, dass der US-Staatsapparat auf europäische Daten bei seinen Hyperscalern zugreifen kann, selbst wenn sie nur Kundenbeziehungen in die USA haben. Das ging aus einem Rechtsgutachten der Universität Köln im Auftrag des Bundesinnenministeriums hervor. "Die Reichweite der Jurisdiktion US-amerikanischer Gerichte bemisst sich daran, welche Kontakte ein Unternehmen zu den USA pflegt." Betreibe ein europäisches Unternehmen eine Niederlassung in den USA, sei davon auszugehen, dass die dortigen Gerichte ihre Zuständigkeit über das Unternehmen ausüben würden. Je nach Einzelfall könne aber sogar das Bestehen geschäftlicher Kontakte bereits ausreichend sein.
Auch das Betreiben einer Website, die sich zumindest auch an US-Kunden richtet, beziehungsweise diese vom Zugriff auf die Website nicht explizit ausschließt, kann demnach für die Annahme von "specific personal jurisdiction" bereits ausreichen. Für einen Cloudanbieter kann bereits das Anbieten für US-Kunden ausreichend sein.
Darüber hinaus können laut Gutachten US-amerikanische "Geheimdienste unter Voraussetzungen, die nicht öffentlich bekannt sind, auf im Ausland gespeicherte Daten auch ohne die Mitwirkung von Cloud-Anbietern zugreifen".
US-Hyperscaler eigentlich immer zur Zusammenarbeit mit der CIA verpflichtet
Bekannt ist, dass alle US-Cloudanbieter nach dem Patriot Act und dem Cloud Act auch im Ausland zur Zusammenarbeit mit der US-Regierung, dem FBI und anderen US-Geheimdiensten verpflichtet sind. Dazu kommt auch bei eigenem Hosting mit US-Cloudsoftware und Tools wie bei der Delos Cloud die Gefahr eines langsamen Abschaltens der Cloudversorgung, indem es auf US-Anordnung keine Updates mehr gibt. Ein deutscher Experte sagte Golem dazu: "Das kann man zum Teil managen, aber wenn man dauerhaft keine BMS Updates (Firmware der Server) kriegt, ist das langfristig eine Baustelle."
Auch die Zugriffsbefugnisse von US-Behörden auf in Europa gespeicherte Daten, etwa in Rechenzentren europäischer Tochtergesellschaften von US-Unternehmen, sind viel umfassender als bisher angenommen und entziehen sich jeder parlamentarisch-demokratischen Kontrolle.
"Der Zugriff auf solche Informationen ist sehr umfassend, wenn sich die Server auf US-Territorium befinden. Aber auch ausländische Server und Cloud-Betreiber können der Herausgabepflicht unterworfen sein. Nicht in allen Fällen muss dafür ein gerichtlicher Durchsuchungsbeschluss vorliegen", fasst das Gutachten weiter zusammen.
Wenn hingegen der Server außerhalb des US-Territoriums steht, unterläge eine ausländische US-Tochtergesellschaft in der Regel der Herausgabepflicht. Ob auch die Muttergesellschaft oder ein verbundenes Unternehmen zwingend umfasst ist, ist laut Gutachten weniger eindeutig.