Nonplusultra in puncto Datenschutz?

Cloud - made in Germany

07.05.2012
Ist eine deutsche Cloud wirklich das Nonplusultra in puncto Datenschutz? Experten streiten sich, inwieweit nationale Regeln in einer zunehmend vernetzten Welt zu halten sind.
Für Unternehmen sind Sicherheitsaspekte und Datenschutz die zwei Hauptgründe, von Cloud-Lösungen abzusehen. Quelle: Statista
Für Unternehmen sind Sicherheitsaspekte und Datenschutz die zwei Hauptgründe, von Cloud-Lösungen abzusehen. Quelle: Statista
Foto:

Ist eine deutsche Cloud wirklich das Nonplusultra in puncto Datenschutz? Experten streiten sich, inwieweit nationale Regeln in einer zunehmend vernetzten Welt zu halten sind.
von Manuel Göpelt (freier Autor in Köln)
Sind nationale Datenschutzregeln in einer vernetzten und globalisierten Welt noch eindeutig anwendbar? Für Staatsanwalt Markus Hartmann stellt sich das in der Praxis als schwierig dar. "Für Staatsanwaltschaften ist besonders Cloud Computing eine große Herausforderung, da wir uns beim Zugriff auf Daten immer vergewissern müssen, wo sich der Datenträger befindet", erklärt der auf Computerkriminalität spezialisierte Jurist von der Staatsanwaltschaft Köln. "Die Strafprozessordnung (StPO) und internationale Übereinkommen sind aber im Wesentlichen noch auf das klassische, auf Papier gedruckte Beweismittel bezogen."

Wie ist der Datenschutz zeitgemäß zu interpretieren?

Die Frage nach einer zeitgemäßen Interpretation von Datenschutzrechten beschäftigt auch die EU-Kommission. Immer wieder drängen Abgeordnete auf Klarheit, welches Recht in der Cloud gilt. In einer Plenardebatte Mitte Februar in Straßburg sagte Jan Philipp Albrecht, EU-Abgeordneter der Grünen, die jüngste Datenschutzreform der Europäischen Kommission stelle nicht klar, ob Drittstaaten nur dann auf Daten europäischer Bürger Zugriff haben dürften, "wenn es im Rahmen der gegenseitigen Unterstützung in der polizeilichen und justiziellen Zusammenarbeit auch erlaubt ist".

Geschäfte mit deutschen Datenschutzvorgaben

Datenschützer sind mit der aktuellen Gesetzgebung in Deutschland und Europa nicht durchgehend zufrieden. Für einige deutsche Cloud-Service-Anbieter dagegen scheint die Frage nach ausreichendem Datenschutz beantwortet zu sein: Die deutsche Cloud steht für sie in puncto Datenschutz an der Spitze. Mit diesem Selbstlob wollen die Betreiber mit deutschem Datenschutzrecht im Cloud-Computing-Markt Geschäft machen. "Unternehmen kommen vermehrt mit dem Wunsch auf uns zu, Cloud-Services aus deutschen Rechenzentren zu nutzen", sagt T-Systems-Chef Reinhard Clemens. "Wir stellen dann sicher, dass sich alle ihre Daten auch in Deutschland befinden und damit das deutsche Datenschutzrecht greift."

Deutsche Cloud-Anbieter wollen sich mit dem Verweis auf deutsches Datenschutzrecht von internationalen Anbietern - insbesondere aus den USA - abheben. Die Politik greift dieses Made-in-Germany-Prädikat dankend auf. "Für Cloud-Computing-Dienste aus Deutschland sprechen mehrere Gründe. Neben einem hohen Datenschutzniveau zählen dazu unter anderem Qualität, Zuverlässigkeit und Sicherheit der Dienste", teilt das Bundeswirtschaftsministerium (BMWi) auf Anfrage mit. "Das BMWi sieht im Cloud Computing einen wachsenden Markt und ein zunehmendes Interesse an dem Thema sowie gleichzeitig eine hohe Sensibilität für den Aspekt Datenschutz." Der parlamentarische Staatssekretär Hans-Joachim Otto ist sogar überzeugt: "Bei allen Fragen, die sich rund um Sicherheit ranken, ist das Made-in-Germany-Label von ganz besonderer Bedeutung. Deswegen glaube ich, dass bei der Frage nach der Trusted Cloud deutsche Unternehmen in besonderer Weise Chancen haben. Sie müssen sie jetzt ergreifen."

Deutsches Recht macht Cloud noch nicht sicher

Reicht schon der Hinweis auf den Datenschutz, um sich im globalen Cloud-Wettbewerb abzuheben? Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein, bekannt als unnachgiebiger Verteidiger des Datenschutzes, schränkt ein: "Allein die Anwendbarkeit deutschen Rechts macht noch keine sichere Cloud. Insofern ist das Marketing-Argument ‚Äödeutsche Cloud` für sich wenig wert. Es besagt nur, dass hinsichtlich staatlicher Zugriffe gesetzliche Regeln gelten, die das Grundrecht auf Datenschutz berücksichtigen, und dass es grundsätzlich eine funktionierende Datenschutzaufsicht gibt. Tatsächlich kann aber eine deutsche Cloud viel unsicherer sein als irgendwo in Europa oder in der Welt." Zum Beispiel dann, wenn der Betreiber eines Rechenzentrums und einer Cloud in puncto IT-Sicherheit nicht die notwendigen Vorkehrungen trifft.

Auch Telekom-Vorstand Clemens stellt dies nicht in Abrede. Jeder Anbieter müsse erheblichen Aufwand betreiben, um seine Rechenzentren und die Kundendaten gegen alle möglichen Cyber-Attacken zu schützen. "Das hat nichts mit Datenschutz zu tun und ist unabhängig vom Niveau der länderspezifischen Gesetzgebung. Hier sind umfassende, zunehmend komplexe und nicht gerade preiswerte IT-Sicherheitsmaßnahmen notwendig." So lassen sich technisch basierte Sicherheitskonzepte wie Firewalls, Virenscanner oder Identity- und Access-Lösungen durch ein spezielles Security Information and Event Management-Team (SIEM-Team) ergänzen. Dieser interne IT-Wachschutz entwickelt auf Basis von Echtzeitforensik, künstlicher Intelligenz und Data Mining vorbeugende Maßnahmen gegen Angriffsversuche.

In den USA verursachen die europäi-schen Cloud-Anbieter mit der Betonung des hohen Datenschutzniveaus inzwischen heftige Gegenwehr. Schon ist die Rede von Cloud-Protektionismus. Das findet Weichert unverständlich, denn "die Datenschutzanforderungen in Europa dienen nicht der Abschottung der Märkte, sondern dem Grundrechtsschutz. Wenn die USA so grundrechts-ignorant bleiben wie bisher, müssen sie sich nicht beschweren, wenn es für sie Marktnachteile gibt."

Zankapfel ist der Patriot Act, der für US-amerikanische Ermittlungsbehörden quasi ein Freibrief für den Zugriff auf Daten in Rechenzentren sein soll. Zum Beispiel hat das FBI das Recht, Einsicht in die finanziellen Daten von Bankkunden zu nehmen, ohne dass Beweise für eine Straftat vorliegen müssen. Die Ermittlungsbehörde muss auch keine Durchsuchungsfreigabe durch ein Gericht erwirken, sondern kann selbst einen National Security Letter (NSL) erlassen. Die Zahl dieser NSLs liegt inzwischen deutlich höher als die Zahl der offiziellen Durchsuchungserlaubnisse durch ein Gericht.

Vorteil Europa: Gerichte prüfen den Grundrechtsschutz

Aber gilt Gleiches nicht auch für deutsche Ermittlungsbehörden, wenn sie einem Verdacht nachgehen müssen? "Der Unterschied zwischen den USA und Europa ist, dass wir einen gerichtlich überprüfbaren Grundrechtsschutz haben, die USA nicht", sagt Datenschützer Weichert. Die ‚reasonable expectations of privacy` des US-amerikanischen Supreme Court - wonach etwa die Überwachung von gewählten Telefonnummern offiziell keine Durchsuchung ist - seien ein offenes Scheunentor für die Sicherheitsbehörden. Das deutsche Bundesverfassungsgericht sei dagegen ein Garant für eine umsichtige Interessenabwägung.

Staatsanwalt Hartmann bestätigt das aus der Praxis. Die Ermittlungsbehörden in Deutschland müssten immer die Verhältnismäßigkeit beachten. "Was wir nicht haben, auch wenn dies gerüchteweise gern in Online-Publikatio-nen kolportiert wird, sind formalisierte Schnittstellen, mit denen wir ohne einen gerichtlichen Beschluss auf Eigeninitiative und mit eigenen Mitteln unmittelbar Daten abgreifen können. Im Regelfall ist die Voraussetzung für Zugriffsmaßnahmen der Gerichtsbeschluss. Für den muss man je nach Qualität der Daten ganz erheblichen Begründungsaufwand betreiben", unterstreicht Hartmann. Dies ändere sich auch nicht dadurch, dass der Anbieter woanders sitze: "Für uns gilt also immer die strenge Anforderung des deutschen Datenschutzes." Wie Geheimdienste das handhaben, lässt sich nicht abschließend beurteilen. Die Pressestelle des Bundesamts für Verfassungsschutz (BfV) weist hierzu auf die Kontrollmechanismen hin: durch den Innenminister, die Parlamente, die Datenschutzbeauftragten sowie durch die kritische Beobachtung seitens der Medien.

Am Ende entscheidet auch hier die Nachfrage der Kunden

Die USA haben einen anderen Ansatz gewählt. Der Patriot Act erlaubt den Zugriff nicht nur in den USA, sondern auch auf die Tochterfirmen von amerikanischen Anbietern in anderen Ländern. Weichert: "Der Patriot Act ist zudem nicht das einzige Gesetz, über das sich die USA weltweit bedienen. Um Willkür auszuschließen, bedarf es einer unabhängigen Datenschutzkontrolle. Einen solchen Vertrauensanker können die USA bis heute nicht bieten."

Das BMWi geht auf die Frage nach den Konsequenzen des Patriot Act im Zusammenhang mit Cloud Computing nur indirekt ein: "Letztlich wird der Markt entscheiden, in welchem Umfang in Deutschland oder beispielsweise in den USA Cloud-Dienste welchen Schutzniveaus nachgefragt werden. Wer sich hierzulande rechtskonform verhält, hat wie auch sonst im Wirtschaftsleben nichts zu befürchten. Wir sollten alles daran setzen, dass europäische und deutsche Anbieter sich im stark wachsenden globalen Cloud-Computing-Markt gut behaupten."

(Computerwoche / rb)

Deutsche Cloud

Befinden sich alle Rechenzentren, Anwendungen und Daten in Deutschland, sprechen Anbieter von der deutschen Cloud. Der Cloud-Nutzer hat damit die Garantie, dass seine Daten und der Cloud-Betreiber dem deutschen Datenschutzrecht unterliegen. Im Gegensatz dazu können Daten auch in weltweit verteilten Rechenzentren gespeichert sein. Ein Unternehmen weiß dann nicht unbedingt, in welchem Land der Cloud-Anbieter seine Daten verarbeitet. Das lässt sich aber vertraglich festlegen.

Zur Startseite