‹ Alle Einträge

Wenn Daten in der Cloud verschwinden

 

Über “deutsche Daten auf Geheimservern in den USA” schreibt der Datenschutzexperte Rainer Erd in der “Außenansicht” der Süddeutschen Zeitung. Googles Server, mutmaßt Erd, stehen in den USA an “geheim gehaltenen Orten”. Und dort gilt nicht das europäische Datenschutzrecht, sondern etwas dem sogenannten Safe-Harbor-Abkommen entsprechend “angemessenes”.

Das Safe-Harbor-Abkommen regelt den Datenaustausch zwischen der EU und den Vereinigten Staaten. Das europäische Gesetz verbietet normalerweise, personenbezogene Daten in Staaten zu übertragen, in denen geringere Datenschutz-Standards gelten. Dadurch wäre aber ein Datenaustausch der EU mit den USA praktisch unmöglich. Der Datenschutz ist dort weniger geregelt als in der EU. Zu diesem Zweck haben EU und USA das Safe-Harbor-Verfahren entwickelt. Firmen, die dem Abkommen beigetreten sind – unter anderem Facebook, Microsoft, Amazon und Google – und die dort verabredeten Grundsätze einhalten, bieten nach derzeitiger Auffassung der EU den Daten ihrer Kunden ausreichend Schutz.

Erd legt nun den Finger auf die politisch richtige Wunde: Das Safe-Harbor-Abkommen ist wunderbar in der Theorie, aber wirkungslos in der Praxis: Laut einer Galexia-Studie halten sich nämlich nur 3,4 Prozent der beigetretenen Unternehmen auch an die vereinbarten Grundsätze.

Doch Widerstand aus der Politik regt sich kaum. Während Politiker medienwirksam gegen Google, Facebook und andere wettern, trauen sie sich an das Thema Cloud Computing bislang nicht heran. Vielleicht, weil das Problem nur im Rahmen von Verhandlungen auf US-EU-Ebene zu lösen wäre. Vielleicht, weil das Thema wenig taugt zu Zwecken der Symbolpolitik. EU-Politik gilt gemeinhin als zu bürokratisch und weniger interessant. Vielleicht aber auch, weil sie ohnehin nicht glauben, dass sie ein besseres Abkommen heraushandeln könnten.

Dieses mittlerweile in die Jahre gekommene Abkommen hinkt jedoch nicht nur der Rechtspraxis, sondern auch den Datenrealitäten hinterher. Wie die Website Data Center Knowledge berichtete, speichert Google seine Daten nicht nur in den USA, sondern weltweit. Details hält das Unternehmen aus Wettbewerbsgründen geheim. Dennoch wurden einige Standorte bekannt, unter anderem

in den USA:

in der EU:

  • Berlin
  • Frankfurt
  • München
  • Zürich
  • Groningen, Niederlande
  • Eemshaven, Niederlande
  • Mons, Belgien
  • Paris
  • London
  • Dublin
  • Mailand

und anderswo:

  • Toronto, Kanada
  • Moskau, Russland
  • Sao Paolo, Brasilien
  • Tokyo
  • Hong Kong
  • Beijing

Auf einer Karte – einer Google Map – haben Freiwillige alle derzeit bekannten Standorte markiert. Weitere Orte in Asien werden angeblich zurzeit ausgekundschaftet.

Was Google in diesen Rechenzentren genau tut, ist unbekannt. Gemunkelt wird in der Szene nur, dass nicht nur Suchanfragen abgearbeitet, sondern Daten jeglicher Art gespeichert und verarbeitet werden, darunter auch sensible Daten aus den Google Apps. Die Daten werden aus Kapazitäts- und Effizienzgründen heute in Berlin, morgen in San Jose und übermorgen vielleicht in Hong Kong gespeichert. Vielleicht werden die Daten auch nicht täglich, sondern nur monatlich, vielleicht aber auch stündlich oder minütlich physisch hin- und hergeschoben. Je nach Erfordernis.

Fest steht jedenfalls: Für den Nutzer ist völlig uneinsehbar, wo sich seine persönlichen Daten befinden, und ob sie tatsächlich vor unbefugten Zugriffen geschützt sind.

Fraglich ist zudem, ob europäische Nutzer den ihnen auf dem Papier gewährten Datenschutz mit allen Konsequenzen einfordern könnten. Würden die bestehenden Abkommen dies in der Praxis tragen? Daraus ergeben sich zahlreiche, bislang ungeklärte Fragen: Unter welcher Jurisdiktion werden Daten von deutschen Privatpersonen und Unternehmen verarbeitet, die Google Docs verwenden? Welches Recht gilt, wenn ausländische Strafverfolgungsbehörden oder gar Geheimdienste von ihren territorialen Rechten Gebrauch machen und auf die Daten aus irgendeinem Grund zugreifen wollen? Transferiert Google die Daten dann schnell in den Bereich einer anderen Jurisdiktion oder gewährt es, den nationalen Gesetzen entsprechend, Zugriff?

In der Diskussion um Google Books und Google Streetview betonte das Unternehmen stets, dass es sich an nationale Gesetze halte.

Auch den Justiziaren anderer Cloud-Anbieter bereitet diese keineswegs abwegige Frage Kopfschmerzen. Microsoft, das ebenfalls Cloud-Dienste anbietet, hat bereits beim US-Gesetzgeber ein internationales Abkommen für amerikanische Cloud-Anbieter eingefordert, weil sich amerikanische Anbieter schon heute in verschiedenen Ländern vor Gericht für Datenverluste verantworten müssen. Ein internationales Cloud-Gesetz gibt es nämlich ebenso wenig wie eine “Lex Google”, “Lex Amazon” oder “Lex Microsoft”.

Allein zwischen den USA und der Europäische Union lassen sich die juristischen Probleme des Cloud Computing nicht mehr lösen. Angesichts der weltweiten Verteilung wäre wohl eine höhere Stelle gefragt – wie die Vereinten Nationen zum Beispiel. Aber ob sich die Staaten hier auf gemeinsame Regeln verständigen könnten, ist wohl bis auf weiteres mehr als fraglich.

32 Kommentare

  1.   WIHE

    Wenn ich bei einer meiner Versicherungen anrufe oder bei meinem Strom- oder Gasliefernaten oder bei meiner Telefongesellschaft und mir wird mit dem Hinweis auf den Datenschutz eine läppische Auskunft verweigert, dann geht mir der Hut hoch und ich beginne die nette Dame am Telefon zu beschimpfen.

    Da wo Datenschutz für mich wirklich nötig wäre, nämlich bei meinen Bankdaten im Hinsicht auf das Finanzamt, da gibt es keinen Datenschutz.
    Dieser ganze Datenschutz wird maßlos übertrieben und darf mir getrost gestohlen werden. Und wenn ich in Google mein Haus bewundern dürfte, dann würde ich mich freuen.


  2. Vielen Dank an sämtliche Bundesregierungen der letzten 20 Jahre. Statt jetzt mit einzelnen, eher unbedeutenden, Faktoren Panik zu schüren (siehe Streetview) hätte man, aufgrund der absehbaren Entwicklungen des Weltweiten Datennetzes, vorher konkrete Probleme in Angriff nehmen sollen. Hierbei war es offenbar eine schlechte Idee, auschließlich auf die Einschätzungen von studierten Experten zu setzen. Schon vor Jahren haben normal aber interessierte Nutzer (oftmals als ‘Nerd’ belächelt) auf potentielle Gefahren hingeweisen.

  3.   joG

    Wenn ich die Diskussion und danach folgenden Gesetze und Verträge betrachte, so sieht es mir aus, als wäre einfach ungenügend Konsens darüber gegeben, was wir mit Regeln erreichen wollen, und wenig Appetit bei der Regierung, der Bevölkerung auseinander zu setzen, wieso und welche Ängste übertrieben sein könnten. Auch ist wenig Wille da, die Gefahren für die Bürger aufzuarbeiten, die aus dem Internet bzw sogar illegaler Datenverfügbarkeiten vom Staat drohen. Die wichtigste Diskussion einer “wehrhaften” Demokratie wird kaum geführt: Wie kontrolliert man den Staat, damit Regierende die Macht nicht missbrauchen?

    So ist die Ablenkung, die Mit Reizworten und Lieblingsfeindbilder wie “Google” oder “amerikanisch” willkommen, zwingen diese doch nicht dazu das eigentliche Problem anzugehen.

  4.   joG

    “Angesichts der weltweiten Verteilung wäre wohl eine höhere Stelle gefragt – wie die Vereinten Nationen zum Beispiel.”

    Es wird interessant eine supra-nationale Vereinbarung zu verhandeln. Wenn man sich die Größe der Unterschiede der Einstellungen zum Thema zwischen Demokratien und Diktaturen oder europäischen und asiatischen politischen Kulturen oder Menschenrechten vorstellt, dürfte sich das hinziehen.

  5.   uhuznaa

    Ein wirklich nützlicher erster Schritt wäre einfach mehr Transparenz für die Nutzer. Eine Vereinbarung, nach der jeder Anbieter solcher Dienste dem Nutzer ALLE von/über ihn gespeicherten Daten auf Wunsch anzeigen und einzeln zur Löschung anbieten muß, kann ungeachtet aller unterschiedlichen Regelungen zum Datenschutz und “kulturellen Unterschiede” so schwer nicht zu treffen sein.

    Ich habe aber das Gefühl, dass genau das die Unternehmen nicht wollen, weil damit vielen Nutzern erst bewußt würde, was alles über sie gespeichert ist.

    Wenn man plötzlich bei Google alle eingegebenen Suchbegriffe der letzten 18 Monate und alle angesehenen Orte bei Google Maps (und alle Emails und alle Adressaten und alle per Google-News gelesenen Nachrichten und alle per Google Navigation angesteuerten Ziele und alle bei YouTube angesehenen Videos und alle per Google-Spracherkennung ins Handy gesprochenen Kommandos) zusammen mit Datum, Uhrzeit und IP-Adresse aufgelistet sähe, würde wohl so manchem erst klarwerden, dass aus scheinbar unwesentlichen Details (die man selber vielleicht schon lange wieder vergessen hat) sich mosaikartig ein sehr detailliertes Bild zusammensetzen läßt…

    Man sollte auch nicht vergessen, dass das erst der Anfang ist. Gerade Google kauft laufend Unternehmen und Dienste hinzu und bietet immer mehr Dienste an, die persönlichste Daten speichern. Und wenn in ein paar Jahren erstmal Android-Smartphones und -Tablets mit Google-Apps sich flächendeckend durchgesetzt haben werden, wird praktisch jede digitale Bewegung gespeichert und zusammenführbar sein.

    Aber es ist in der Tat erschreckend, wie gleichgültig viele Menschen dieser Entwicklung noch gegenüberstehen. Dabei ist vieles davon ja durchaus begrüßenswerter und nützlicher technischer Fortschritt, aber ohne klare gesetzliche Regelungen wird das früher oder später zu einem tiefen Mißtrauen in der Bevölkerung führen, was den Nutzen dieses Fortschritts wieder torpedieren wird. Auch im Datenmeer kann man überfischen und genau das passiert gerade.

  6.   erich trippe

    eigentlich gibt es nur eine Antwort:
    ab sofort keine Fragen im Internet mehr beantworten – z.B. diesen Bogen nicht ausfüllen,
    sich aus allen netzwerken zurückziehen,
    adresse ändern, in anderen Ort – ohne amtliche Ummeldung – ziehen
    nirgendwo mehr der edv-Erfassung der DAten zustimmen,
    und
    beten, dass kein programm nach einem sucht –

  7.   uhuznaa

    @erich trippe: Genau das ist die Art von Überreaktion, die ich meine. Das ist ungefähr so, als würde man aufhören, Gemüse zu essen, weil ab und zu Rückstände von Pestiziden drin sind, anstatt auf Grenzwerte und deren Einhaltung zu bestehen.


  8. Sie sprechen mir wirklich aus der Seele.


  9. Es gab bei uns eine Zeit wo einfache Luftbilder bei Einsichtnahme genehmigungspflichtig waren. Heute liegt alles bloß dar auf dem Tablett.

    Bitte aber kein Nacktbaden in der Sonne mehr im eigenen Garten


  10. Wer ist denn so dumm, und vertraut Google, Facebook & Co vertrauliche und persönliche Daten an?!

    Bei Ebay und Amazon muß man richtige Daten angeben – aber sonst?

    Cloud Computing? – das braucht doch die Welt nicht 😉