Zugriffe auf Cloud-Daten außerhalb der EU

EU-Datenherausgabe nach US-Recht?

04.03.2018, München, Utimaco | Autor: Malte Pollmann

Nur noch mit eigenen Schlüsseln in die Cloud!

Microsoft wehrte sich diese Woche vor dem Supreme Court nochmal nach Kräften, private Daten aus anderen Ländern freiwillig herauszugeben. Geht der Rechtsstreit im Sinne des US-Justizministeriums aus, müsste ein Land nur einen Gerichtsbeschluss vorlegen, um die Datenherausgabe verlangen zu können – egal wo die Daten liegen, frei nach dem Motto: Extraterritoriale Wünsche der Behörden gehen vor Datenschutz der Betroffenen.

Laut Medienberichten will die EU-Kommission Ende März einen Gesetzesvorschlag ins EU-Parlament einbringen, der die Rechtsauffassung der USA quasi kopieren würde. Das Argument: Die Strafverfolgung über Rechtshilfeabkommen ist zu langsam. Läge künftig ein Gerichtsbeschluss vor, müssten beispielsweise Provider, die zumindest eine Niederlassung in der EU haben, die Daten ihrer Nutzer rausrücken, auch wenn sie deren Daten außerhalb der EU speichern und dafür dann erst aktiv in die EU holen müssten.

Eine Grundrechtssicherung vor dem drohenden grenzüberschreitenden Datenzugriff hat jetzt der UN-Beauftragte für Datenschutz angeregt. Er will die Strafverfolgung in der Cloud einer „Internationalen Datenzugriffsbehörde“ aus unabhängigen Richtern überlassen.

Technisch lässt sich aber auch schon jetzt etwas tun: Egal ob unberechtigtes Interesse von Kriminellen oder berechtigtes Interesse von Behörden und Geheimdiensten – der Datenzugriff bleibt verwehrt, wenn Anwender konsequent auf Verschlüsselung und ihre eigene Schlüsselhoheit setzen. In Kombination mit einem Hardware-basierten Schlüsselmanagement via Hardware-Sicherheitsmodul im eigenen Rechenzentrum behält der Nutzer eines Cloud-Dienstes die Kontrolle über die kryptografischen Schlüssel – und damit über seine Datensouveränität. Die pragmatische Grundrechtssicherung lautet daher: Cloud ja, aber nur mit den eigenen Schlüsseln.