© Nigel Treblin, ap

Online-Speicher

Wild Wild Cloud: Datenschutzkontrolle unmöglich

Christiane Schulzki-Haddouti

Datenschutz in Clouds gibt es nicht wirklich, stellt jetzt eine Untersuchung fest. Nutzer wissen nicht, wo ihre Daten in der Wolke physisch gespeichert werden. Datenschutzkontrollen finden ebenfalls keine statt. Gleichzeitig räumen sich Staaten weitreichende Abhör- und Zugriffsmöglichkeiten ein.

Dieser Artikel ist älter als ein Jahr!

Neelie Kroes, die EU-Kommissarin für die Digitale Agenda, sucht derzeit nach einer europäischen Strategie für Cloud Computing. Vor wenigen Tagen wollte sie ihr Konzept öffentlich vorstellen, doch der Termin wurde verschoben. Über die Gründe darf nur spekuliert werden, da es eine offizielle Begründung bislang nicht gibt: Vermutlich ist das Thema schlicht zu komplex, um rasch entschieden werden zu können.

Ende Juni teilte Kroes jedoch schon ihre Stoßrichtung mit: So soll nicht nur der rechtliche Rahmen definiert werden, auch technische Standards sollen festgeschrieben und entsprechende Pilotprojekte gestartet werden. Der erste Punkte dürfte der heikelste sein: Derzeit gelten in den 27 Mitgliedstaaten verschiedene Gesetze und Verordnungen, doch kein Cloud-Nutzer weiß, in welchem Land seine Daten oder Teile seiner Daten gespeichert werden, wenn er einen internationalen Anbieter nutzt. Brisant wird das, wenn die Daten außerhalb der Europäischen Union gespeichert werden, etwa in den USA, wo es insbesondere keine staatlichen Datenschutzregeln gibt.

Datenschutzkontrollen praktisch unmöglich
Die Rechte des Cloud-Nutzers sind entsprechend vage. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert veröffentlichte vor kurzem die Ergebnisse seiner Untersuchung zum Thema „Cloud Computing und Datenschutz". Demnach gibt es auch innerhalb der Europäischen Union erhebliche Defizite, wenn personenbezogene Daten verarbeitet werden:

So seien etwa anlasslose Kontrollen von Datenschutzbehörden in Clouds, die Daten in Drittländern speichern, „praktisch nicht möglich", sagt Weichert. Ihm sei innerhalb der EU kein Beispiel für eine derartige Überprüfung bekannt, die Datenschützer seien machtlos. Die Verantwortlichen könnten sich gezielt der Clouds bedienen, um sich Datenschutzkontrollen zu entziehen.

Sicherheit durch Verschleierung
Weichert besteht außerdem darauf, dass die technischen und organisatorischen Maßnahmen der Datensicherung im Vertrag benannt werden müssen. Es könne nicht das Prinzip „Sicherheit durch Verschleierung" gelten, wie es heute weitgehend praktiziert werde. Als beispielhaft dafür nennt er Google, das die Datensicherheit als „Frage des Vertrauens" bezeichne.

Auch hinsichtlich der Haftung von Cloud-Anbietern gegenüber den Nutzern sieht Weichert Regelungsbedarf. Für etwaige Schäden, die der Nutzer nicht zu vertreten habe, müsse der Anbieter aufkommen. Dabei müsse das anwendbare Recht und der Gerichtsort festgelegt werden. Außerdem müsse geklärt werden, was mit den gespeicherten Daten passiere, wenn ein Anbieter insolvent wird oder von einem anderen Unternehmen übernommen wird.

Safe Harbor genügt nicht
Hinzu kommt ein grenzüberschreitendes Problem: Europäische Daten dürfen nur in Staaten fließen, in denen ein „angemessenes Datenschutzniveau" besteht Das ist zurzeit in der Schweiz, in Kanada oder Argentinien der Fall. Ausgerechnet für die USA, wo die größten kommerziellen Cloud-Anbieter sitzen, konnte die EU-Kommission dies nicht feststellen.

Das Safe-Harbor-Abkommen, das praktikable Datenübermittlungen zwischen den USA und Europa ermöglichen sollte, könne hier keine Grundlage bilden, meint Thilo Weichert. Es beruhe nämlich allein auf der Selbstzertifizierung von US-Unternehmen. Die strengeren Datenschutzvorschriften in Europa könnten so nicht eingehalten werden.

Auch das so genannte SAS-70-Typ-II-Zertifikat, mit dem amerikanische Anbieter wie Google und Salesforce ihre Vertrauenswürdigkeit nachweisen, genüge nur teilweise, da es nicht alle Interessen der Betroffenen bei Datenübermittlungen berücksichtige. Immerhin bedeutet ein solches Zertifikat jedoch, dass es eine Kontrolle der Datenzentren durch unabhängige Dritte gibt. Weichert sieht eine Lösung allerdings in verbindlichen Unternehmensregeln, mit denen Firmen ein angemessenes Schutzniveau per Vertrag garantieren könnten. Doch Beispiele dafür gibt es in der Praxis bislang keine.

Grenzüberschreitende Abhörzugriffe
Hinzu kommt das Thema der ganz legalen Kommunikationsüberwachung. Staaten räumen sich ganz unterschiedliche Zugriffsrechte ein. Die USA etwa verlangen per Patriot Act den Datenzugriff auch bei Töchtern von US-Firmen, die im Ausland angesiedelt sind. Aber auch für Ermittlungen im Steuer-, Finanz-, Wirtschafts-, Drogen- und Organisierter Kriminalität gibt es Zugriffsmöglichkeiten auf Basis einer „Bank of Nova Scotia Subpoena". Clouds sind überdies im „Foreign Intelligence Surveillance Act" (FISA) gesondert berücksichtigt: Demnach dürfen Nicht-US-Bürger außerhalb der USA über „Remote Computing Services", zu denen auch Clouds gezählt werden, beobachtet werden.

Ähnliche Zugriffsbefugnisse auf Cloud-Daten sind auch aus Ländern wie China oder arabischen Staaten bekannt. Und auch europäische Mitgliedstaaten wissen sich Zugang zu verschaffen: Ein britisches Gesetz namens „Regulations of Investigatory Powers Act" verpflichtet bereits seit dem Jahr 2000 Nutzer und Betreiber dazu Kryptoschlüssel bei Androhung von Haftstrafen herauszugeben. In Schweden erlaubt ein Geheimdienst-Gesetz eine umfassende Internet- und Telekommunikationsüberwachung von Nicht-Schweden, wobei Informationen an andere Staaten weitergegeben werden dürfen. Die Folge: Betroffene Cloud-Nutzer können in keinem Fall nachvollziehen, wer welche Daten ausgewertet werden.

Nutzer müssen Risikoanalyse vornehmen können
Weil die europäische Telekom-Standardisierungsbehörde ETSI auch schon einen technischen Standard für das Einlesen und Speichern von Kommunikation in Web-2.0-Diensten - die in der Regel als Clouds organisiert sind - entwickelt hat, ist davon auszugehen, dass Sicherheitsbehörden bald europaweit einen möglicherweise richterlich unzureichend kontrollierten Zugang zur Cloud-Kommunikation haben werden.

Die schleswig-holsteinische stellvertretende Landesdatenschützerin Marit Hansen hat sich mit der Problematik ausgiebig befasst und kommt zu dem Schluss: „Anwender müssen über sämtliche mögliche Verarbeitungsorte informiert werden." Anderenfalls sei keine Risikoanalyse für rechtliche Zugriffsbefugnisse möglich.

Mehr zum Thema

  • Steve Wozniak findet Cloud "schrecklich"
  • Dropbox gibt neuerliche Sicherheitslücke zu
  • EU will einheitliche Regeln für Cloud-Dienste

Hat dir der Artikel gefallen? Jetzt teilen!

Stand: 08.08.2012, 14:16 Uhr

Christiane Schulzki-Haddouti

Christiane Schulzki-Haddouti berichtet seit 1996 als freie IT- und Medienjournalistin über das Leben in der Informationsgesellschaft. Wie digitale Bürgerrechte bewahrt werden können, ist ihr Hauptthema. Die europäische Perspektive ist ihr wichtig – da alle wichtigen Entscheidungen in Sachen Internet in Brüssel fallen.

mehr lesen
Christiane Schulzki-Haddouti

Kommentare