Eine simple Antwort schlägt hohe Wellen: Microsoft kann nicht unter Eid garantieren, dass Daten von EU-Kunden bei einer Anfrage nicht an US-Behörden übertragen werden. Obwohl sich die Anhörung auf die französische UGAP bezog, sind die potenziellen Auswirkungen weitaus größer – US-Cloud-Anbieter versuchen aktuell, mit Souveränitätsversprechen um Vertrauen in der EU zu werben. Eine solche Aussage konterkariert diese jedoch augenscheinlich. Um diese einzuordnen, haben wir zwei Meinungen von Experten eingeholt.

Dennis Kipker, Research Director, cyberintelligence.institute, sieht die Befürchtungen bestätigt:

Das Zugeständnis von Microsoft kommt nicht überraschend – aber ist gleichwohl erkenntnisreich, denn Microsoft hat in der Vergangenheit explizit mit Maßnahmen geworben, die angeblich eine höhere Datensicherheit im transatlantischen Datenaustausch gewährleisten beziehungsweise Zugriffe nach Möglichkeit ausschließen sollen.

Jetzt stellt sich heraus, dass diese blumigen Werbeversprechen, die Diskussionen um Datengrenzen und teilsouveräne Clouds keine effektiven Schutzmechanismen darstellen. Das ist umso fataler, als von den Werbeversprechen Entscheidungen von Unternehmen wie auch staatlichen Einrichtungen für die sichere und souveräne Datenhaltung abhängen und sich nun herausstellt, dass die Sicherheitsversprechen von Microsoft auf Sand gebaut sind.

Zwar räumt Microsoft ein, dass es bislang noch nicht zu einem Zugriff gekommen sei. Das war aber bislang nicht der Gegenstand der öffentlich geführten Argumentation – stets ging es nämlich nur darum, wie durch rechtliche, technische und organisatorische Maßnahmen das Zugriffsrisiko gemindert oder ausgeschlossen werden soll. Und damit sind wir wieder bei der ganz alten Erkenntnis angelangt: Als US-amerikanisches Unternehmen muss sich Microsoft der US-amerikanischen Jurisdiktion beugen – egal, was die Werbeversprechen sagen.

Und auch wenn argumentiert wird, dass auch in der EU entsprechende Zugriffsbefugnisse seitens der Behörden existieren, die dem US-amerikanischen Recht vergleichbar sind, geht dies fehl. Denn immerhin haben wir in Deutschland und in der gesamten Europäischen Union ein Datenschutzgrundrecht, das verfassungsrechtlich verankert ist. So etwas gibt es in den USA in dieser Form nicht.

Deshalb ist es eigentlich umso besser, dass diese Enthüllung jetzt offiziell bekannt wurde, damit sich Unternehmen und Behörden in ihrer Risikoabwägung im Rahmen von Cloud-Beschaffungsentscheidungen darauf einstellen können.

Stefan Hessel, Rechtsanwalt bei reuschlaw, schätzt die Situation jedoch anders ein:

In der Aussage eines Microsoft-Managers, er könne nicht garantieren, dass die Daten vor einer Übermittlung in diese USA sicher seien, wird vielfach als Beleg für einen Kontrollverlust beim Einsatz von US-Cloudanbietern gesehen. Doch dieser Schluss greift zu kurz und lässt zentrale rechtliche Rahmenbedingungen außer Acht.

Zunächst liegt keine Drittlandsübermittlung vor, wenn im Cloudvertrag mit der EU-Tochtergesellschaft klar geregelt ist, dass die Daten ausschließlich im Europäischen Wirtschaftsraum verarbeitet werden. Der Fall ist also grundlegend anders als bei einer direkten Datenübermittlung in die USA oder an die US-Muttergesellschaft, wo ein direkter Zugriff durch die US-Behörden möglich ist. Im Kern geht es stattdessen um den CLOUD Act. Dieser verpflichtet US-Cloudanbieter, auf Anordnung einen Zugriff auf Daten einzuräumen, auch wenn diese nicht in den USA verarbeitet werden. Oft wird daraus geschlossen, dass US-Cloudanbieter ihre europäischen Tochtergesellschaften zur Herausgabe von Daten zwingen könnten.

Juristisch ist das jedoch nicht haltbar. EU-Tochtergesellschaften von US-Unternehmen unterliegen wie jedes andere EU-Unternehmen dem europäischen Recht und sind bei der Verarbeitung personenbezogener Daten an die DSGVO gebunden. Gemäß Art. 28 Abs. 3 DSGVO dürfen Cloud-Anbieter als Auftragsverarbeiter Daten ausschließlich auf Weisung des Kunden verarbeiten. Eine Ausnahme von diesem Grundsatz gilt nur, wenn sie durch das EU-Recht oder das Recht eines EU-Mitgliedstaats zu einer Verarbeitung verpflichtet sind.

Außereuropäische Gesetze wie der CLOUD Act dürfen dabei nicht berücksichtigt werden. Eine Offenlegung personenbezogener Daten gegenüber Behörden in Drittländern wie den USA darf gemäß Art. 48 DSGVO nur im Wege der Rechtshilfe erfolgen. Wenn dieses Verfahren eingehalten wird, ist es jedoch auch möglich, dass der Kunde keine Mitteilung über die Datenweitergabe erhält. Denn in Art. 28 Abs. 3 DSGVO ist auch geregelt, dass eine Benachrichtigung unterbleiben muss, wenn ein entgegenstehendes wichtiges öffentliches Interesse besteht.

EU-Töchter von US-Cloudanbietern dürfen Herausgabeaufforderungen ihrer Muttergesellschaft deshalb im Ergebnis nur nachkommen, wenn die Voraussetzungen der DSGVO erfüllt sind. Ob dies der Fall ist, können die europäischen Datenschutzaufsichtsbehörden und Gerichte voll überprüfen und etwaige Verstöße wirksam ahnden. Es besteht also kein Anlass zur Panik.

(fo)

Damit der Windstrom von der Küste bis in die Industrieregionen im Westen und Süden Deutschlands und bundesweit bis zu den Verbrauchern kommt, sind starke Netze nötig. Das ist eine teure Sache.

33 Milliarden Euro

Die Kosten für Deutschlands Stromnetze haben sich binnen zehn Jahren mehr als verdoppelt. Wie aus Zahlen der Bundesnetzagentur hervorgeht, betragen die von den Verbrauchern und Unternehmen zu zahlenden Netzentgelte in diesem Jahr 33 Milliarden Euro. 2015 waren es nur 15,9 Milliarden Euro.

Die Zahlen der Bundesnetzagentur spiegeln den größten Teil der deutschen Stromnetzbetreiber wider. Kleinere Betreiber, für die die Netzagentur nicht zuständig ist und die nur eine Nebenrolle spielen, sind bei den Zahlen nicht inbegriffen.

Grund für den Anstieg ist die Energiewende – der Anteil erneuerbaren Energien bei der Stromerzeugung steigt, weswegen das Stromnetz und dessen Steuerung aufwendig umgebaut werden muss. Diese Kosten tragen die Stromkunden, also die Verbraucher und Firmen.

11,6 Cent pro Kilowattstunde

Ein durchschnittlicher Haushaltskunde zahlte im Jahr 2015 noch ein Netzentgelt von 6,59 Cent pro Kilowattstunde Strom, im vergangenen Jahr waren es 11,62 Cent.

Das BSW hatte die Zahlen bei der Bundesnetzagentur angefragt. Die Parteivorsitzende Sahra Wagenknecht nannte den starken Anstieg der Netzkosten „inakzeptabel“, sie wertete dies als „Versagen der Energiepolitik“. Es sei hausgemacht, dass Deutschland weltweit mit die höchsten Strompreise habe.

Die Bundesregierung müsse nicht nur die versprochene Entlastung bei der Stromsteuer liefern, sondern auch die Abzocke bei den Netzentgelten beenden, andernfalls werden die Strompreise nicht signifikant sinken, so Wagenknecht. „Die Netzentgelte sollten für die Verbraucher weitestgehend abgeschafft werden, die öffentliche Hand sollte die Netze übernehmen.“

(vbr)

Beim Hacker-Angriff auf den Klinik-Konzern Ameos sind laut Unternehmen möglicherweise auch Patientendaten abgefischt worden. Es könne nicht ausgeschlossen werden, dass die Daten im Internet zum Nachteil der betroffenen Personen verwendet oder Dritten zugänglich gemacht werden, teilte der Konzern mit: „Es könnten Daten von Patientinnen und Patienten, Mitarbeitenden und Partnern sowie Kontaktdaten zu ihrer Person/ihrem Unternehmen aufgrund eines unbefugten Zugriffs betroffen sein.“

Angriff betrifft alle deutschen Einrichtungen

Vor zwei Wochen hatte der Angriff auf die IT-Systeme des Gesundheitskonzerns zu massiven Störungen in den deutschen Einrichtungen geführt. Das Unternehmen spricht von einem gezielten Angriff auf die IT-Infrastruktur. Die Ameos Gruppe behandelt nach eigenen Angaben mehr als 500.000 Patienten jährlich. Zum Klinikverbund gehören mehr als 100 Einrichtungen an über 50 Standorten. Ameos gehört neben Helios und Sana zu den größeren privaten Klinikbetreibern im deutschsprachigen Raum.

Alle Kliniken der Region Ost seien einsatzbereit. Ebenso seien alle Notaufnahmen voll in Betrieb und anfahrbereit für die Rettungsdienste. Eine detaillierte Analyse, welche Daten betroffen sind, sei Bestandteil von Ermittlungen.

LKA Sachsen-Anhalt ermittelt

Inzwischen hat das Landeskriminalamt Sachsen-Anhalt Ermittlungen aufgenommen, nachdem das Unternehmen nach eigenen Angaben eine zentrale Strafanzeige gegen Unbekannt gestellt hatte. Bezüglich möglicher Tatverdächtiger oder zum Vorgehen könnten derzeit keine Angaben gemacht werden, teilte das LKA auf Anfrage mit.

(vbr)