Lesezeichen
‹ Alle Einträge

Wenn Daten in der Cloud verschwinden

 

Über „deutsche Daten auf Geheimservern in den USA“ schreibt der Datenschutzexperte Rainer Erd in der „Außenansicht“ der Süddeutschen Zeitung. Googles Server, mutmaßt Erd, stehen in den USA an „geheim gehaltenen Orten“. Und dort gilt nicht das europäische Datenschutzrecht, sondern etwas dem sogenannten Safe-Harbor-Abkommen entsprechend „angemessenes“.

Das Safe-Harbor-Abkommen regelt den Datenaustausch zwischen der EU und den Vereinigten Staaten. Das europäische Gesetz verbietet normalerweise, personenbezogene Daten in Staaten zu übertragen, in denen geringere Datenschutz-Standards gelten. Dadurch wäre aber ein Datenaustausch der EU mit den USA praktisch unmöglich. Der Datenschutz ist dort weniger geregelt als in der EU. Zu diesem Zweck haben EU und USA das Safe-Harbor-Verfahren entwickelt. Firmen, die dem Abkommen beigetreten sind – unter anderem Facebook, Microsoft, Amazon und Google – und die dort verabredeten Grundsätze einhalten, bieten nach derzeitiger Auffassung der EU den Daten ihrer Kunden ausreichend Schutz.

Erd legt nun den Finger auf die politisch richtige Wunde: Das Safe-Harbor-Abkommen ist wunderbar in der Theorie, aber wirkungslos in der Praxis: Laut einer Galexia-Studie halten sich nämlich nur 3,4 Prozent der beigetretenen Unternehmen auch an die vereinbarten Grundsätze.

Doch Widerstand aus der Politik regt sich kaum. Während Politiker medienwirksam gegen Google, Facebook und andere wettern, trauen sie sich an das Thema Cloud Computing bislang nicht heran. Vielleicht, weil das Problem nur im Rahmen von Verhandlungen auf US-EU-Ebene zu lösen wäre. Vielleicht, weil das Thema wenig taugt zu Zwecken der Symbolpolitik. EU-Politik gilt gemeinhin als zu bürokratisch und weniger interessant. Vielleicht aber auch, weil sie ohnehin nicht glauben, dass sie ein besseres Abkommen heraushandeln könnten.

Dieses mittlerweile in die Jahre gekommene Abkommen hinkt jedoch nicht nur der Rechtspraxis, sondern auch den Datenrealitäten hinterher. Wie die Website Data Center Knowledge berichtete, speichert Google seine Daten nicht nur in den USA, sondern weltweit. Details hält das Unternehmen aus Wettbewerbsgründen geheim. Dennoch wurden einige Standorte bekannt, unter anderem

in den USA:

in der EU:

  • Berlin
  • Frankfurt
  • München
  • Zürich
  • Groningen, Niederlande
  • Eemshaven, Niederlande
  • Mons, Belgien
  • Paris
  • London
  • Dublin
  • Mailand

und anderswo:

  • Toronto, Kanada
  • Moskau, Russland
  • Sao Paolo, Brasilien
  • Tokyo
  • Hong Kong
  • Beijing

Auf einer Karte – einer Google Map – haben Freiwillige alle derzeit bekannten Standorte markiert. Weitere Orte in Asien werden angeblich zurzeit ausgekundschaftet.

Was Google in diesen Rechenzentren genau tut, ist unbekannt. Gemunkelt wird in der Szene nur, dass nicht nur Suchanfragen abgearbeitet, sondern Daten jeglicher Art gespeichert und verarbeitet werden, darunter auch sensible Daten aus den Google Apps. Die Daten werden aus Kapazitäts- und Effizienzgründen heute in Berlin, morgen in San Jose und übermorgen vielleicht in Hong Kong gespeichert. Vielleicht werden die Daten auch nicht täglich, sondern nur monatlich, vielleicht aber auch stündlich oder minütlich physisch hin- und hergeschoben. Je nach Erfordernis.

Fest steht jedenfalls: Für den Nutzer ist völlig uneinsehbar, wo sich seine persönlichen Daten befinden, und ob sie tatsächlich vor unbefugten Zugriffen geschützt sind.

Fraglich ist zudem, ob europäische Nutzer den ihnen auf dem Papier gewährten Datenschutz mit allen Konsequenzen einfordern könnten. Würden die bestehenden Abkommen dies in der Praxis tragen? Daraus ergeben sich zahlreiche, bislang ungeklärte Fragen: Unter welcher Jurisdiktion werden Daten von deutschen Privatpersonen und Unternehmen verarbeitet, die Google Docs verwenden? Welches Recht gilt, wenn ausländische Strafverfolgungsbehörden oder gar Geheimdienste von ihren territorialen Rechten Gebrauch machen und auf die Daten aus irgendeinem Grund zugreifen wollen? Transferiert Google die Daten dann schnell in den Bereich einer anderen Jurisdiktion oder gewährt es, den nationalen Gesetzen entsprechend, Zugriff?

In der Diskussion um Google Books und Google Streetview betonte das Unternehmen stets, dass es sich an nationale Gesetze halte.

Auch den Justiziaren anderer Cloud-Anbieter bereitet diese keineswegs abwegige Frage Kopfschmerzen. Microsoft, das ebenfalls Cloud-Dienste anbietet, hat bereits beim US-Gesetzgeber ein internationales Abkommen für amerikanische Cloud-Anbieter eingefordert, weil sich amerikanische Anbieter schon heute in verschiedenen Ländern vor Gericht für Datenverluste verantworten müssen. Ein internationales Cloud-Gesetz gibt es nämlich ebenso wenig wie eine „Lex Google“, „Lex Amazon“ oder „Lex Microsoft“.

Allein zwischen den USA und der Europäische Union lassen sich die juristischen Probleme des Cloud Computing nicht mehr lösen. Angesichts der weltweiten Verteilung wäre wohl eine höhere Stelle gefragt – wie die Vereinten Nationen zum Beispiel. Aber ob sich die Staaten hier auf gemeinsame Regeln verständigen könnten, ist wohl bis auf weiteres mehr als fraglich.