Wer dachte, er sei in Europa sicher vor den Datenschnüfflern aus USA, für den gab es ein böses Erwachen, als die Snowdon-Papiere und damit das Ausmaß der digitalen Bespitzelung der Welt durch den amerikanischen Geheimdienst NSA heraus kamen. Eine Branche bekam das vor allem zu spüren, nämlich die Anbieter von Cloud-Computing. Da es sich hierbei fast ausnahmslos um US-Firmen wie Amazon, Google und Microsoft handelt, munkelten die Auguren schon von einem drohenden Umsatzeinbruch, weil die Kunden diesseits des Atlantik zunehmend ungern ihre Datenschätze Unternehmen in einem Land an vertrauen würden, in dem sozusagen Polen offen sei. Keine Angst, erwiderten die Cloud-Konzerne, zumindest in Europa sind Eure Daten sicher, denn in der EU gilt ein anderes, strengeres Datenschutzrecht, und das verbiete es jedem Betreiber, personenbezogene Informationen ohne Zustimmung des Betroffenen außer Landes zu schaffen. Sobald solche Daten das physikalische Territorium der Europäischen Union verlassen, macht sich der Provider strafbar. Und da es bekanntlich so etwas wie Vorstands- oder Geschäftsführerhaftung gibt, steht in einem solchen Fall theoretisch der Chef des Konzerns mit einem Bein in einem (europäischen) Kittchen.
Wenn ich also Satya Nadella wäre, der Steve Balmer gerade als Microsoft-Chef abgelöst hat, wäre ich ziemlich unruhig. Muss der weltgrößte Softwarekonzern womöglich demnächst auf seinen Boss verzichten, weil der auf seiner nächsten Europareise am Frankfurter Flughafen festgenommen wird? Könnte durchaus sein, und wenn, dann hat ihn ein amerikanischer Bundesrichter dorthin gebracht.
Gestern entschied der Federal Magistrate Court in New York laut New York Times nämlich, dass Microsoft Informationen über einen seiner Kunden, die im Rechenzentrum der Firma in Dublin gespeichert sind, den US-Ermittlern aushändigen müssen, die in einem Kriminalfall (es geht angeblich um Drogen, aber niemand weiß etwas Genaueres) ermitteln.
Microsoft wehrt sich – noch – heftig gegen das Ansinnen, weil es doch nicht sein kann, dass amerikanisches Datenrecht in Europa gültig sei. Aber was, wenn der amerikanische Richter Ernst macht und Microsoft mit hohen Strafen belegt – oder den guten Satya vielleicht in ein New Yorker Gefängnis steckt? Man weiß ja, dass man in den USA noch ganz anders mit Vorständen umgeht, die sich was zuschulden haben kommen lassen: Die wandern tatsächlich in den Bau, im Gegensetz zu Europa, wo man es meistens mit einem Schlag auf den Handrücken und einer kleinen Geldstrafe bewenden lässt. Wenn Sie mir nicht glauben, fragen Sie nur Klaus Zumwinkel. Der mußte nach seiner Verurteilung wegen Steuerbetrugs zwar seinen Bundesverdienstkreuz zurückgeben, aber das war so ziemlich alles.
Ich denke, Microsoft wird am Ende wohl klein beigeben müssen. Und ich wette jetzt schon, dass die Politiker und Juristen in Europa dabei tatenlos zusehen werden. Denn die von ihnen erfundene „Zweistaaten-Lösung in der Cloud“ war von Anfang an eine Fehlgeburt. US-Firmen bauen seit Jahren Rechenzentren außerhalb Amerikas, so wie Microsoft in Dublin. Google betreibt deren zwölf alleine in Europa, darunter jeweils eines in München, Frankfurt und Berlin. Zur Eröffnung des neuen deutschen Rechenzentrums im schwäbischen Ehningen tönte am 4. April 2013 Alistair Rennie, General Manager, Social Business bei IBM: „Mit unserem neuen europäischen SmartCloud Rechenzentrum stellen wir unseren Kunden eine sichere Cloud-Umgebung mit deutschem und EU-Datenschutz für ihre Social Business-Transformation zur Verfügung und bauen so unsere Spitzenposition in diesem Markt weiter aus.“
Das dachte sich auch Amazon, als sie sich 2007 in Irland mit dem ersten außeramerikanischen Rechenzentrum niederließen und ihren Kunden hinfort so genannte Availability Zones anboten. Um dem EU-Recht zu gehorchen (und um ihre europäischen Kunden zu beruhigen) verspricht Amazon, europäische Daten grundsätzlich nur in Europa zu verarbeiten. Mir hat mal der Chef von AWS versucht zu erklären, wie das geht. Er redete lange von „regionalen IP-Adressen“ und anderen computertechnischen Zaubertricks, aber was bei mir, wie ich damals auf czyslansky.net berichtete, hängengeblieben ist war der Satz: „Und das alles garantieren wir Ihnen mittels Service Level Agreement sogar schriftlich!“ Aha, dachte ich, das genügt mir eigentlich. Wenn es bei Amazon eines Tages tatsächlich mal ein Datenpaket schafft, herauszuschlüpfen und dem Gesetz der Paketvermittlung gehorchend über den großen Teich zu hüpfen, bin ich als Firmenchef wenigstens aus dem Schneider, denn wenn der Staatanwalt kommt und mich einsperren will, zeige ich ihm die schöne SLA von Amazon und sage: „Fragen Sie bitte die!“
Aber leider hat sich dieser schöne Plan der Cloud-Provider durch die Entscheidung der US-Bundesrichter gegen Microsoft soeben in Luft aufgelöst. Aber was heißt das für die Unternehmenskunden? Ich denke, die müssen sehr, sehr misstrauisch sein, wenn das nächste Mal der Vertreter eines amerikanischen Cloud-Anbieters zur Tür hereinkommt.
Andererseits ist das Urteil Wasser auf die Mühlen europäischer Cloud-Provider wie die Deutsche Telekom, die sich für ihre Initiative „Cloud made in Germany“ allerdings ausgerechnet mit Microsoft zusammengetan hat. Bessere Karten haben da schon eher solche Vereinigungen wie die „Deutsche Wolke“, die den „Aufbau einer föderalen Cloud-Infrastruktur in Deutschland“ verspricht, oder die Initiative „Cloud Services Made in Germany“ meines alten Freundes Werner Grohmann, dem schlauen Fuchs, der schon mit der dem „SaaS Forum“ zu den Pionieren von Cloud Computing gehört hat und der nun die Zeichen der Zeit sogar noch vor dem amerikanischen Bundesrichter erkannt und ein gutes Dutzend deutsche Unternehmen in diesem Sektor um sich geschart hat. Gemeinsam haben sie sich zu strengen Aufnahmenvoraussetzungen verpflichtet. Das Unternehmen muss in Deutschland gegründet worden sein und dort seinen Hauptsitz haben, und sie müssen mit ihren seinen Kunden Verträge nach deutschem Recht abschließen.
Aber ob das alles etwas nützt? Oder anders gefragt: Was bringt mir im Zeitalter der weltweiten digitalen Vernetzung eine Cloud, die an der deutschen Grenze zu Ende ist? Sobald nämlich Daten ins Ausland transportiert werden, droht der tapferen kleinen Schar aus Germany das gleiche Schicksal wie der großen Microsoft: Ein US-Richter kann sie zum Herausrücken der Daten verknacken – und was dann?
Ich denke, der gute Werner wird wohl besser eine Weile keinen Urlaub mehr in Amerika machen, wenn er nicht mit Satya Nadella eine Zelle teilen will…
