Cloud Computing wurde kürzlich, neben zwei Innenpolitikern und einigen Unternehmen, mit einem Negativpreis für Datenkraken “ausgezeichnet”. Zu Recht? Den Ärger hat sich die Branche – zumindest teilweise – selber eingebrockt, findet Dr. Clemens Plieth.
And the Winner is: Cloud Computing! Nicht etwa, weil es wieder ein neues Anwendungsfeld für die IT-Technologie gibt. Oder eine neue, bahnbrechende Innovation. Nein, Cloud Computing erhielt jetzt den sogenannten “Big-Brother-Award”. Ähnlich der Goldenen Himbeere, dem Anti-Oscar für besonders schlechte schauspielerische Leistungen, ist diese Auszeichnung keineswegs schmeichelhaft. Den Negativpreis vergibt der Verein zur “Förderung des öffentlichen bewegten und unbewegten Datenverkehrs” (Foebud) an Personen, Organisationen oder auch Dienstleistungen, die besonders im Verdacht stehen, geltende Bestimmungen an den Datenschutz zu unterlaufen. Dieses Mal waren unter den “Gewinnern” auch die Innenminister zweier Bundesländer.
Und eben auch die Cloud. Die Begründung der Foebud: “…seine Daten in einer nebulösen Serverfarm irgendwo auf der Welt abzuspeichern, ist der Albtraum jedes datenbewussten Menschen”. Und weiter: “Fast alle Cloud-Anbieter sind amerikanische Firmen – und die sind laut Gesetz verpflichtet, US-Behörden Zugriff auf alle Daten in der Cloud zu geben, auch wenn sich die Rechnerparks auf europäischem Boden befinden. Damit ist die Cloud ein gefährlicher Trend, der die Nutzerinnen und Nutzer gläsern macht.”
Ungefragter Zugriff auf Daten
Recht hat der Verein. Und auch wieder nicht. Richtig ist, dass US-Behörden im Bedarfsfall Zugriff auf die Daten amerikanischer Cloud-Anbieter haben. Ob die Server sich dabei auf amerikanischem Boden befinden oder nicht, spielt bei dieser Regelung tatsächlich keine Rolle. Entscheidend ist, wo der Haupt-Firmensitz des Unternehmens ist. Näher betrachtet ist das Ganze sogar noch brisanter. Denn die Firmen oder Privatpersonen, die ihre Daten in einer US-Cloud gespeichert haben, bekommen im Zweifelsfall nichts von der Datenübermittlung mit. Auch werden sie weder vom Cloud-Anbieter noch von den US-Behörden über die Weitergabe ihrer Daten unterrichtet.
Diese Informationspolitik ist für deutsche Anwender einzigartig. Denn üblicherweise bestätigen Nutzer vor jeder Übermittlung ihrer Daten, ob diese gespeichert und an eine Dritte, namentlich genannte Partei, weitergegeben werden dürfen. Ob beim Zahnarzt, der persönliche Angaben seiner Patienten an seine Abrechnungsstelle übergibt, oder beim Online-Kauf im Netz. Selbst bei US-Behörden ist normalerweise zumindest ein Hinweis auf einen Eingriff in die Privatsphäre gang und gäbe. Durchsucht beispielsweise das Department of Homeland Security auf einem Inlandsflug innerhalb der USA einen Koffer, hinterlassen die Behörden einen Zettel im Gepäckstück, der den Inhaber über diesen Eingriff in seine Privatsphäre in Kenntnis setzt.
Undurchsichtiger Datenschutz-Nebel in der Cloud?
Nicht so beim Cloud-Computing-Angebot der US-Unternehmen. Sie sind per US-Gesetz verpflichtet, im Bedarfsfall persönliche Informationen ohne Wissen der Inhaber an amerikanische Behören zu übergeben. Selbst Datenschutz-Experten wissen derzeit nicht, ob die Daten dort gespeichert oder nach Einsicht wieder gelöscht werden. Richtigerweise heißt es demnach in der Begründung der Foebud, dass damit das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme eklatant verletzt werde. Die Jury urteilt: “Wer Adressbücher und Fotos oder Archive, Vertriebsinfos und Firmeninterna unverschlüsselt in den undurchsichtigen Nebel der Cloud verlagert, handelt mindestens fahrlässig.”
Ist das so? Ist der Datenschutz-Nebel der Cloud gänzlich undurchsichtig? Mitnichten! Denn zwischen US-Cloud- und deutschen Cloud-Dienstleistungen lässt sich eine klare und einfache Trennung vornehmen: Unternehmen, die in Deutschland eine Cloud betreiben, deren Server in Deutschland stehen und deren Haupt-Firmensitz in Deutschland liegt, unterliegen definitiv nicht dem US-Recht.
Das Urteil der Foebud, Cloud ist gleich Cloud, und der Datenschutz in der Cloud ist generell schlecht, ist daher falsch. Denn deutsche Cloud-Anbieter dürfen die Daten ihrer Kunden nicht ungefragt weitergeben. Weder an US-Behörden noch an irgendeine andere Institution. Sie unterliegen den, verglichen mit US-Recht, restriktiven europäischen und deutschen Datenschutzbestimmungen. So ist laut EU-Grundrechtecharta jeder Einzelne vor dem Missbrauch seiner persönlichen Daten wie Anschrift, Bankverbindung etc. geschützt. Zusätzlich hat nach dem deutschen “Recht auf informationelle Selbstbestimmung” jeder das Anrecht auf den Schutz seiner Privatsphäre.
IT-Branche muss sich mit Datenschutz-Thema auseinandersetzen
Sowohl Privat- als auch Unternehmensanwender stehen der Cloud durch Urteile wie dem der Foebud verständlicherweise zunehmend skeptisch gegenüber. Das Datenkrake-Image hat sich die IT-Branche jedoch auch selber zuzuschreiben. So haben es deutsche IT-Unternehmen in den letzten Jahren weitgehend versäumt, ihre Anwender auf die deutschen Datenschutzbestimmungen hinzuweisen, denen ihre Dienstleistungen unterliegen. “Wo Cloud drauf steht, muss auch Cloud drin sein”, denken die Anwender vollkommen berechtigt. Sie vergleichen die Preise und stellen bei ihrer Wahl etwa fest, dass die Cloud-Dienstleistungen von US-Anbietern günstiger sind. Dass sie mit dem Schritt in die US-Cloud in die Datenschutzfalle tappen, verschweigen selbst deutsche Cloud-Anbieter zu oft. Aus Angst, der Hinweis auf das Datenschutz-Dilemma werfe ein falsches Licht auch auf ihre Cloud-Dienstleistungen.
Hier ist jedoch ein Umdenken angebracht: Wollen sich deutsche Cloud-Anbieter klar gegenüber dem Mitbewerb positionieren, müssen sie sich offen zu der Datenschutzproblematik bekennen. Und deutlich kommunizieren, dass ihre IT-Dienstleistungen beispielsweise nicht dem US-Recht unterliegen.
Es bleibt die Frage, ob die Verleihung des Datenkrake-Awards an die Cloud gerechtfertigt war. Ja, sie war es. Denn sie warnt die Anwender vor tatsächlich vorhandenen Risiken beim Cloud Computing. Begriffe wie “Cloud made in Germany”, von denen seit mehr als zwei Jahren die Rede ist, oder spezielle Datenschutz-Zertifizierungen scheinen sich in der öffentlichen Wahrnehmung jedoch noch nicht durchgesetzt zu haben. Nun liegt es an den deutschen IT-Unternehmen, sich mit diesem Thema und ihrem Cloud-Angebot deutlicher als bislang von dem internationaler Anbieter abzugrenzen.