Langfristige Aussicht: Wolkig mit gelegentlichen Erheiterungen
Neulich hatte ich mal wieder den historischen Weltatlas in der Hand und habe mit leichtem Schmunzeln die Deutschlandkarte von 1795 betrachtet, als es mehr als 300 Kleinfürstentümer gab, was aussah wie ein ziemlich bunter Flickenteppich. Das ist zum Glück ja längst Geschichte, aber wenn wir Pech haben, droht so etwas Ähnliches im Internet.
Das globale Netz verspricht grenzenlose Kommunikation, und das gilt ganz besonders für das Thema Cloud Computing: Statt meine Daten auf der heimischen Festplatte abzulegen, soll ich sie demnächst irgendwo auf fremden Servern speichern, wo sie von einem „Provider“ sicher verwahrt und mir bei Bedarf jederzeit und an jedem Ort der Erde zur Verfügung gestellt werden. Gerade mittelständische Firmen versprechen sich von der Computer-Wolke riesige Kostenvorteile, denn sie müssen nicht mehr selbst teure IT-Abteilungen unterhalten, sich dauernd um Updates und Backups kümmern und ständig Angst haben, dass beim nächsten Hochwasser der Serverraum im Keller vollläuft – so wie seinerzeit in Dresden, als Tausende von Computern in den Fluten der Elbe versanken.
Doch die Cloud-Provider haben wohl die Rechnung ohne den Wirt gemacht, sprich ohne die Datenschützer. In Europa gilt nämlich die europäische Datenschutzrichtlinie von 1995. Und da steht explizit drin, dass personenbezogene Daten nicht das Gebiet der EU verlassen dürfen. Wenn doch, dann drohen Geldstrafen von bis zu 300.000 Euro.
Das alles beweist nur, dass dem angeblich so „grenzenlosen Internet“ in Wirklichkeit doch zum Teil recht enge Grenzen gesetzt sind. „Das Internet ist kein rechtsfreier Raum“, hat mir neulich der Chef des Bundesamts für Informationssicherheit (BSI), Michael Hange gesagt, als ich ihn bei einer Pressekonferenz nach der grenzenlosen Online-Freiheit fragte. Und das ist andererseits ja auch irgendwie beruhigend.
Das wissen natürlich auch die Cloud-Betreiber, und einige haben auch schon reagiert, wie ich neulich in einem Vortrag von Amazon gehört habe. Dort hat man das Problem auf sehr elegante Art und Weise gelöst, indem man einfach eine zweite, nämlich eine europäische Cloud geschaffen hat. Sie wird von Dublin aus betrieben, und Amazon garantiert seinen Kunden, dass die Daten niemals die Grenzen Europas verlassen. Der Referent hat auch erklärt, wie das geht, aber das war mir, ehrlich gesagt, viel zu hoch. Es geht dabei um Dinge wie „regionale IP-Adressen“ und so, aber im Grunde kann mir das als Kunde ja völlig wurscht sein, Hauptsache Amazon gibt mir schriftlich, dass alles rechtskonform ist und nichts schiefgehen kann.
Aber wenn Europa seine eigene Cloud bekommt, was ist dann mit anderen Ländern, deren Rechtssystem anders gestrickt ist als das unsere? China zum Beispiel oder Russland? Neulich ging die Nachricht durch die Gazetten, dass die indische Regierung vom Blackberry-Hersteller RIM einen „Nachschlüssel“ verlangt, damit die dortigen Behörden auf den verschlüsselten Datenverkehr zugreifen können, der über diese Geräte läuft – und zwar wann immer der indische Staatsanwalt das will. Was, wenn die Inder auf die Idee kommen, eine eigene Cloud zu verlangen?
Und was, wenn erst die richtig exotischen Länder nachziehen: Diktaturen in Nordafrika, Monarchien auf der arabischen Halbinsel – oder gar landwirtschaftlich geprägte, infrastrukturell kaum erschlossene Gebiete unter Verwaltungsaufsicht. Bayern zum Beispiel. Was machen wir denn, wenn der Freistaat seine Mia-san-mia-Mentalität auch im Netz beweisen will? Eine Wolke in weiß-blau?
Ganz so einfach ist es dann doch nicht.
Richtig ist, daß die USA eine der rückständigsten Datenschutzgesetzgebungen vergleichbarer Industrienationen haben, nämlich praktisch gar keine. Datenschutz wird dort offenbar eher als Wirtschaftshindernis verstanden.
Die europäische Datenschutzrichtlinie 95/46/EG verbietet nur den Export personenbezogener Daten in Staaten, die kein vergleichbares Datenschutzniveau haben. Dies schließt also insbesondere wegen der o.g. Defizite die USA aus (aber z.B. Indien nicht). Auf vergleichbarem Schutzniveau ist dann immer noch ein Vertrag für Auftragsdatenverarbeitung zwischen den beteiligten Unternehmen notwendig.
Um nun den Wirtschaftsnachteil für die US-Unternehmen zu umgehen, gibt es das Safe-Harbor-Abkommen. Für die entsprechend zertifizierten US-Unternehmen gilt dann quasi ein vergleichbares Schutzniveau. Allerdings ist bekannt, daß die Safe-Harbor-Zertifizierung extrem lax gehandhabt wird.
Laut einer Studie vom Dezember 2008 erfüllen bloß 54 der angeblich 1.597 als compliant gelisteten US-Unternehmen rein formale Minimalanforderungen (inhaltliche Kriterien wurden nicht geprüft) – das sind gerade einmal läppische 3,38%.
Daher ist seit April 2010 zumindest in einigen Regionen Deutschlands eine Überprüfung der Zertifizierung und der Einhaltung der damit verbundenen Grundsätze vorgeschrieben.
Im Übrigen ist Datenschutz ja zunächst mal nichts Schlechtes. Hätten sich Sony oder Apple mal vorher überlegt, was sie da so treiben, wäre ihnen und ihren Kunden Einiges erspart geblieben.
Um dieses „vorher überlegen“ und im Lösungsdesign berücksichtigen geht es bei Cloud-Anwendungen nun mal. Da sind die Anforderungen an Datenschutz um Einiges höher – wie ich meine, zu Recht, da die Risiken auch um Einiges höher sind.
Und daß manche Firma eher blauäuig ans Thema Cloud und die damit verbundenen Risiken herangeht, zeigt die bekanntgewordene Diskussion um ein Unternehmen daß das Herzmonitoring offenbar ohne Fallback-Konzept über die Amazon-Cloud abgewickelt hat. Ein schönes Beispiel, auch wenn da nicht das Datenschutzrisiko im Vordergrund steht.