Wenn Daten in der Cloud verschwinden
Über “deutsche Daten auf Geheimservern in den USA” schreibt der Datenschutzexperte Rainer Erd in der “Außenansicht” der Süddeutschen Zeitung. Googles Server, mutmaßt Erd, stehen in den USA an “geheim gehaltenen Orten”. Und dort gilt nicht das europäische Datenschutzrecht, sondern etwas dem sogenannten Safe-Harbor-Abkommen entsprechend “angemessenes”.
Das Safe-Harbor-Abkommen regelt den Datenaustausch zwischen der EU und den Vereinigten Staaten. Das europäische Gesetz verbietet normalerweise, personenbezogene Daten in Staaten zu übertragen, in denen geringere Datenschutz-Standards gelten. Dadurch wäre aber ein Datenaustausch der EU mit den USA praktisch unmöglich. Der Datenschutz ist dort weniger geregelt als in der EU. Zu diesem Zweck haben EU und USA das Safe-Harbor-Verfahren entwickelt. Firmen, die dem Abkommen beigetreten sind – unter anderem Facebook, Microsoft, Amazon und Google – und die dort verabredeten Grundsätze einhalten, bieten nach derzeitiger Auffassung der EU den Daten ihrer Kunden ausreichend Schutz.
Erd legt nun den Finger auf die politisch richtige Wunde: Das Safe-Harbor-Abkommen ist wunderbar in der Theorie, aber wirkungslos in der Praxis: Laut einer Galexia-Studie halten sich nämlich nur 3,4 Prozent der beigetretenen Unternehmen auch an die vereinbarten Grundsätze.
Doch Widerstand aus der Politik regt sich kaum. Während Politiker medienwirksam gegen Google, Facebook und andere wettern, trauen sie sich an das Thema Cloud Computing bislang nicht heran. Vielleicht, weil das Problem nur im Rahmen von Verhandlungen auf US-EU-Ebene zu lösen wäre. Vielleicht, weil das Thema wenig taugt zu Zwecken der Symbolpolitik. EU-Politik gilt gemeinhin als zu bürokratisch und weniger interessant. Vielleicht aber auch, weil sie ohnehin nicht glauben, dass sie ein besseres Abkommen heraushandeln könnten.
Dieses mittlerweile in die Jahre gekommene Abkommen hinkt jedoch nicht nur der Rechtspraxis, sondern auch den Datenrealitäten hinterher. Wie die Website Data Center Knowledge berichtete, speichert Google seine Daten nicht nur in den USA, sondern weltweit. Details hält das Unternehmen aus Wettbewerbsgründen geheim. Dennoch wurden einige Standorte bekannt, unter anderem
in den USA:
- Mountain View, Calif.
- Pleasanton, Calif.
- San Jose, Calif.
- Los Angeles, Calif.
- Palo Alto, Calif.
- Seattle
- Portland, Oregon
- The Dalles, Oregon
- Chicago
- Atlanta, Ga. (zwei Rechenzentren)
- Reston, Virginia
- Ashburn, Va.
- Virginia Beach, Virginia
- Houston, Texas
- Miami, Fla.
- Lenoir, North Carolina
- Goose Creek, South Carolina
- Pryor, Oklahoma (in Bau, Terminverzug)
- Council Bluffs, Iowa (in Bau)
in der EU:
- Berlin
- Frankfurt
- München
- Zürich
- Groningen, Niederlande
- Eemshaven, Niederlande
- Mons, Belgien
- Paris
- London
- Dublin
- Mailand
und anderswo:
- Toronto, Kanada
- Moskau, Russland
- Sao Paolo, Brasilien
- Tokyo
- Hong Kong
- Beijing
Auf einer Karte – einer Google Map – haben Freiwillige alle derzeit bekannten Standorte markiert. Weitere Orte in Asien werden angeblich zurzeit ausgekundschaftet.
Was Google in diesen Rechenzentren genau tut, ist unbekannt. Gemunkelt wird in der Szene nur, dass nicht nur Suchanfragen abgearbeitet, sondern Daten jeglicher Art gespeichert und verarbeitet werden, darunter auch sensible Daten aus den Google Apps. Die Daten werden aus Kapazitäts- und Effizienzgründen heute in Berlin, morgen in San Jose und übermorgen vielleicht in Hong Kong gespeichert. Vielleicht werden die Daten auch nicht täglich, sondern nur monatlich, vielleicht aber auch stündlich oder minütlich physisch hin- und hergeschoben. Je nach Erfordernis.
Fest steht jedenfalls: Für den Nutzer ist völlig uneinsehbar, wo sich seine persönlichen Daten befinden, und ob sie tatsächlich vor unbefugten Zugriffen geschützt sind.
Fraglich ist zudem, ob europäische Nutzer den ihnen auf dem Papier gewährten Datenschutz mit allen Konsequenzen einfordern könnten. Würden die bestehenden Abkommen dies in der Praxis tragen? Daraus ergeben sich zahlreiche, bislang ungeklärte Fragen: Unter welcher Jurisdiktion werden Daten von deutschen Privatpersonen und Unternehmen verarbeitet, die Google Docs verwenden? Welches Recht gilt, wenn ausländische Strafverfolgungsbehörden oder gar Geheimdienste von ihren territorialen Rechten Gebrauch machen und auf die Daten aus irgendeinem Grund zugreifen wollen? Transferiert Google die Daten dann schnell in den Bereich einer anderen Jurisdiktion oder gewährt es, den nationalen Gesetzen entsprechend, Zugriff?
In der Diskussion um Google Books und Google Streetview betonte das Unternehmen stets, dass es sich an nationale Gesetze halte.
Auch den Justiziaren anderer Cloud-Anbieter bereitet diese keineswegs abwegige Frage Kopfschmerzen. Microsoft, das ebenfalls Cloud-Dienste anbietet, hat bereits beim US-Gesetzgeber ein internationales Abkommen für amerikanische Cloud-Anbieter eingefordert, weil sich amerikanische Anbieter schon heute in verschiedenen Ländern vor Gericht für Datenverluste verantworten müssen. Ein internationales Cloud-Gesetz gibt es nämlich ebenso wenig wie eine “Lex Google”, “Lex Amazon” oder “Lex Microsoft”.
Allein zwischen den USA und der Europäische Union lassen sich die juristischen Probleme des Cloud Computing nicht mehr lösen. Angesichts der weltweiten Verteilung wäre wohl eine höhere Stelle gefragt – wie die Vereinten Nationen zum Beispiel. Aber ob sich die Staaten hier auf gemeinsame Regeln verständigen könnten, ist wohl bis auf weiteres mehr als fraglich.
Es gab bei uns eine Zeit wo einfache Luftbilder bei Einsichtnahme genehmigungspflichtig waren. Heute liegt alles bloß dar auf dem Tablett.
Bitte aber kein Nacktbaden in der Sonne mehr im eigenen Garten
Antworten
Wer ist denn so dumm, und vertraut Google, Facebook & Co vertrauliche und persönliche Daten an?!
Bei Ebay und Amazon muß man richtige Daten angeben – aber sonst?
Cloud Computing? – das braucht doch die Welt nicht
Antworten
Deswegen speichere ich nichts (wichtiges/personenbezogenes) bei Google und Co.
“Laut einer Galexia-Studie halten sich nämlich nur 3,4 Prozent der beigetretenen Unternehmen auch an die vereinbarten Grundsätze.”
Wer glaubt sich beim Datenschutz auf Gesetzte verlassen zu können, der ist verlassen und braucht sich Von Frau Aigner und Co. sowie den betroffenen Firmen nichts vormachen lassen!
Antworten
Die Diskussion ist nicht differenziert genug. Zu aller erst muß zwischen Consumer und Unternehmensangeboten unterschieden werfen. Man kann nicht alle Angebote eines Unternehmen, wie Google oder Microsoft in einen Topf werfen. Es kommen doch neben Safe Harbour auch noch andere Faktoren aus dem BDSG und dem EU Data Protective Act in Betracht. Leider ist der Datenschutz nicht einfach und simpel. So interpretiert in Deutschland jedes Bundesland mit einer eigenen Datenschutzbehörde die Dinge für sich selbst und auch schon mal unterschiedlich. Dies erschwert es den Unternehmen ein Service anzubieten, denn dieser Effekt multipliziert sich mit jedem Land. Es wird immer unterstellt die Unternehmen sind böse. Hat mal jemand die Frage gestellt, ob dieser lokale/föderale Ansatz zum Thema Datenschutz noch zeitgemäß ist?
Antworten
Ich fürchte, in der Praxis ist der Föderalismus nicht so schlimm, da jedes Unternehmen einem bestimmten Landesdatenschützer zugeordnet wird (Unternehmensstandort -> Bundesland; Ausnahme: Telekommunikation -> BfD). Grundsätzliche Entscheidungen werden außerdem abgestimmt, es gibt inhaltliche Schwerpunktsetzungen. Mich würde daher interessieren, in welchem konkreten Fall dies zu unterschiedlichen Auslegungen und damit zu Diskriminierungen geführt hat. Ich selbst habe eher den Eindruck, dass es vor allem hinsichtlich Kontrolldichte Unterschiede gibt.
Antworten
Alles wichtige Fragen. Nur: Weiss ich, aus welchem Kraftwerk der Strom aus meiner Steckdose kommt? Weiss ich, wo der BND (oder wer auch immer) meine Daten aus der Vorratsdatenspeicherung speichert? Und weiss ich, ob diese Daten – oder alle anderen Daten, die der moderne Präventivstaat so über mich sammelt – “vor unbefugten Zugriffen geschützt sind”? Sind meine Daten auf dem Server on premise in meiner 10-Mann-Klitsche oder auf dem shared Server bei meinem Provider vor solchen Zugriffen wirklich geschützt? Weiss ich denn, auf welchem Server genau mein Hoster meinen Mailserver betreibt? Weiss ich gar, wo der steht? Weiss ich, was die USA mit meinen Flugpassagierdaten wirklich machen, die die EU ihnen so bereitwillig zur Verfügung stellt? Und was ist mit den Bankdaten (SWIFT)? Wenn es in absehbarer Zukunft die EU-weite zentrale Speicherung aller biometrischen Daten der Ausweise aller EU-Bürger gibt, weiss ich, wo die Server dazu stehen und ob sie sicher sind? Was passiert eigentlich mit solchen Beamten wie jenen in GB, die einfach mal eine CD mit Steuerdaten “liegen lassen”? Wer garantiert mir, dass das hierzulanden nicht passiert?
Soll ich weiterfahren mit der Aufzählung?
Antworten
Gute Aufzählung …
Es geht mir um Rechtspositionen.
Wie können Cloud-Anbieter garantieren, dass meine Daten, die ich hier von meinem Rechner aus hochgeladen habe, nicht von einer Jurisdiktion behandelt werden, mit der ich gar nichts zu tun habe? Juristisch begibt man sich hier in ein undurchsichtiges Vertragsgeflecht – von dem man als Nutzer mit den AGBs nur eine polierte Außenseite sieht. Was sonst noch alles passieren kann, sei mal dahingestellt. Wenn die Justiziare selbst schon nach Abkommen rufen, heißt das, dass sie die Sache gar nicht mehr im Griff haben.
Ich frage mich nur, was die Abkommen dann eigentlich leisten sollen, wenn sie heute schon nicht leisten, was sie leisten sollten.
Antworten
P.S. das mit dem Strom lässt sich m.W. herausfinden. Den Energiemix muss jeder Anbieter ja angeben.
Antworten