Deutsche Provider zu Prism
Bei uns sind Kundendaten sicher
Anfang Juni haben die US-amerikanische "Washington Post" und der britischen "Guardian" erstmals vom seit 2007 laufenden Überwachungsprojekt "Prism" berichtet, in dessen Rahmen der amerikanischen Geheimdienst National Security Agency (NSA) die Kundendaten verschiedener Online-Dienste überwacht und analysiert. Bislang sind die Namen von neun Firmen bekannt, die sich am Prism-Projekt beteiligen (Microsoft, Google, Facebook, Yahoo, Apple, AOL und Paltalk, sowie Skype und YouTube).
Wir haben die Veröffentlichungen zum Anlass genommen, bei einigen in Deutschland aktiven Cloud-Provider nachzufragen, wie sie es mit dem Datenschutz und der Zusammenarbeit mit Ermittlungs- und Strafverfolgungsbehörden sowie Geheimdiensten halten.
- Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten: - Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“ - Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“ - Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“ - Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“
Erster Anlaufpunkt aller Ermittler in Fragen der TK- und IT-Überwachung dürfte die Deutsche Telekom sein. Sie ist der größte Kommunikations-Provider mit dem breitesten Portfolio und betreibt die umfangreichste IKT-Infrastruktur in Deutschland. Auf Anfrage der COMPUTERWOCHE bestritt die Telekom auch nicht, dass die Behörden regelmäßig bei ihr vorstellig werden. "Die Anfragen werden bei der Telekom von Experten auf Rechtmäßigkeit geprüft und nur wenn die rechtlichen Voraussetzungen erfüllt sind, erfolgt die Auskunft an die Sicherheitsbehörden", antwortete der Bonner Konzern auf Anfrage. Zum Umfang gab der Carrier keine direkte Antwort. Er verwies dazu auf den TK-Überwachungsbericht vom Bundesamt für Justiz, der die Zahl der Verfahren unter anderem nach Straftatverdacht und Bundesland auflistet.
Telekom wird häufig angefragt
Die Telekom betonte indes, dass es grundsätzlich keinen direkten Zugriff internationaler oder nationaler Behörden auf Kundendaten gebe. Benötigten ausländische Sicherheitsbehörden Daten, müssten sie sich dafür im Rahmen eines Rechtshilfeersuchens an deutsche Dienststellen wenden. Dort werde das Anliegen geprüft und bei positivem Bescheid der Telekom zugestellt, die wiederum ihrerseits die Anfrage juristisch bewertet. "Sind die rechtlichen Voraussetzungen erfüllt, teilen wir der deutschen Behörde die angeordnete Auskunft mit", schilderte die Telekom das Prozedere.
Eine vergleichbare Prüfroutine durchlaufen auch die Ersuchen nationaler Behörden. Herausgegeben werden, sofern ein richterlicher Beschluss vorliegt, ausschließlich Verkehrsdaten, die die Telekom für den eigenen, reibungslosen Geschäftsbetrieb benötigt. Sie sammelt eigenen Angaben zufolge keine speziellen Daten auf Geheiß der Behörde.