adaper

Digitale Souveränität – Teil 1

von

Alexander Nolting
in

Der Fall IStGH und die Abhängigkeit von der Cloud

US-Behörden können auf Cloud-Daten ausländischer Nutzer zugreifen – sogar ohne deren Wissen. Der Fall Karim Khan zeigt, wie unsicher US-Cloud-Dienste für europäische Kunden sind.

Zuerst erschienen auf unserer Partner-Website: itnerds.ch.

Im Februar diesen Jahres (2025) hat laut eines Artikel der APNews US-Präsident Donald Trump Microsoft aufgefordert, dem Chefankläger des Internationalen Gerichtshofs, Karim Khan, die Anmeldung an seinem Microsoft-Konto in der Azure Cloud zu sperren und ihm somit den Zugang zu den Diensten wie seinem E-Mail-Konto zu verwehren. Karim Khan ist der Chefankläger des Internationalen Strafgerichtshofs (IStGH), der im Fall von mutmasslichen Kriegsverbrechen durch Israels Ministerpräsident Netanjahu und seinem ehemaligen Verteidigungsminister Yoav Gallant ermittelt. Diese Forderung verdeutlicht, wie wenig Sicherheit die von Brad Smith (VP Microsoft) gestartete Charme- und Beruhigungsinitiative den europäischen Kunden und Nutzern der Azure Cloud Microsofts tatsächlich bietet.

Rechtliche Möglichkeiten der USA gegen ausländische Cloud-Kunden

Die USA haben durch Gesetze wie den CLOUD Act, den Patriot Act, den Freedom Act und den FISA Act weitreichende Befugnisse, um auf Daten zuzugreifen, die von US-Unternehmen oder deren Tochtergesellschaften bereitgestellt werden – unabhängig davon, wo die Daten physisch gespeichert sind. Das bedeutet: Wenn ein ausländischer Kunde Cloud-Produkte von US-Anbietern (wie Microsoft, AWS, Google) nutzt, können US-Behörden im Rahmen strafrechtlicher Ermittlungen oder zur Gefahrenabwehr auf diese Daten zugreifen – auch wenn sich die Server im Ausland befinden.

Informationspflicht gegenüber ausländischen Kunden

Es besteht grundsätzlich keine Verpflichtung der US-Behörden, die betroffenen ausländischen Kunden über den Zugriff oder die Herausgabe ihrer Daten zu informieren.
Viele Anfragen erfolgen sogar explizit geheim, insbesondere wenn sie sich auf Ermittlungen im Bereich der nationalen Sicherheit oder Strafverfolgung beziehen.

Rechtliche Konflikte und Schutzmöglichkeiten
  • Die Herausgabe von Daten kann in Konflikt mit lokalen Datenschutzgesetzen stehen, etwa der DSGVO in der EU oder revDSG der Schweiz
  • US-Anbieter können im Einzelfall versuchen, rechtliche Einwände zu erheben, wenn die Herausgabe gegen das Recht eines qualifizierten ausländischen Staates verstösst – dies ist aber ein komplexes und selten erfolgreiches Verfahren
  • Unternehmen, die keine Verbindung zu den USA haben, sind nicht verpflichtet, US-Behörden Zugriff zu gewähren

Daraus resultiert, dass US-Behörden auf Daten ausländischer Cloud-Kunden zugreifen können, wenn diese US-Cloud-Produkte nutzen, ohne die Kunden darüber informieren zu müssen. Dies kann zu erheblichen Datenschutzkonflikten führen, insbesondere in Europa.

Verwendung von externen Cloud Diensten

Welche Rückschlüssen lassen sich auf die Verwendung von externen Cloud Diensten ziehen beziehungsweise welche Überlegungen sollten im Bezug auf die Verfügbarkeit, die Betriebsicherheit und das Business Continuity Management gezogen respektive angestellt werden?
Zunächst gilt folgendes festzuhalten: Dieses Ereignis verdeutlicht, dass derzeit grosse Risiken für eine Nutzung amerikanischer Cloudangebote durch nicht-US-amerikanische Unternehmen bestehen, über die man sich wie in Zeiten voriger US-Regierungen, die mit sich reden liessen und ein vitales Interesse an guten Beziehungen zum ausländischen Marketeilnehmern hatten (Regierung sind genauso wie Unternehmer eine Teilgruppe dieser Marktteilnehmer) nicht mehr einfach in Kauf nehmen kann.

Risiken für nicht-US-amerikanische Unternehmen
  • Dienstunterbrechung: Nicht-US-Unternehmen, die auf US-basierte Cloud-Dienste (z.B. von Microsoft, Amazon AWS, Google Cloud) angewiesen sind, könnten von Dienstunterbrechungen oder -kündigungen betroffen sein, falls die US-Regierung Sanktionen gegen sie oder mit ihnen verbundene Personen verhängt. Dies kann auch dann geschehen, wenn das Unternehmen selbst nicht direkt an einem Fehlverhalten beteiligt ist.
  • Datenzugriffsbeschränkungen: Der Zugriff auf Daten, die auf US-amerikanischen Cloud-Servern gespeichert sind, könnte blockiert werden. Dies kann zu erheblichen Betriebsstörungen und potenziellem Datenverlust führen, wenn keine angemessenen Sicherungs- und alternativen Zugriffsmethoden vorhanden sind.
  • Abhängigkeit von Anbietern (Vendor Lock-in): Eine starke Abhängigkeit von einem einzelnen US-Anbieter kann eine erhebliche Schwachstelle darstellen. Wenn dieser Anbieter durch US-Gesetze oder eine Präsidialanordnung gezwungen wird, Dienste einzustellen, kann es für das betroffene Unternehmen schwierig und zeitaufwändig sein, zu einem neuen Anbieter zu wechseln.
  • Geopolitischer Einfluss: Die US-Aussenpolitik und rechtliche Massnahmen können sich direkt auf die Dienstleistungen auswirken, die US-Unternehmen weltweit anbieten. Dies bedeutet, dass nicht-US-Unternehmen bei der Nutzung dieser Dienste den geopolitischen Entscheidungen der US-Regierung unterliegen.
  • Unsicherheit und Unvorhersehbarkeit: Solche Anordnungen können ohne merkliche Vorwarnung erlassen werden, was zu einem instabilen und unvorhersehbaren Umfeld für nicht-US-Unternehmen führt, die von US-Technologiediensten abhängig sind.

Wenn ihnen der Artikel gefallen hat – bleiben Sie dran. Im zweiten Teil werden wir auf die Herausforderungen für das Business Continuity Management eingehen.

Links

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert