Cloud-Computing: Wo Datenschutz an Landesgrenzen aufhört

Veröffentlicht am 25.03.2013

Ein Interview mit Primavera de Filippi

Cloud Computing bietet Internet-Nutzern viele Vorteile: Durch web-basierte Anwendungen wie Mail, Chats, Online-Foren und soziale Netzwerke lässt sich leichter kommunizieren. Durch Office-Tools wie Textverarbeitung, Tabellenkalkulation und Online-Speichern können wir mit anderen zusammenarbeiten, ohne extra Software auf einem Gerät zu installieren. Die meisten der Vorteile haben mit der wahrgenommenen Möglichkeit zu tun, jederzeit und von überall aus Zugriff auf Daten zu haben – unabhängig davon, was für ein Gerät man verwendet. Doch diese Vorteile haben einen Preis. Der Internet Policy Review hat die Forscherin Primavera de Filippi befragt, um herauszufinden, warum das so ist.

Die Grundrechte von EU-Bürgern sind gefährdet

Internet Policy Review (IPR): Sind unsere Daten in der europäischen Cloud sicher?

Primavera de Filippi: Nutzer machen sich in der Regel vielleicht keine Gedanken darüber, wo die Dienste herkommen, die sie online tagtäglich nutzen. Aber man sollte sich mit Blick auf den Datenschutz schon damit beschäftigen, wo die Daten gesammelt, gelagert oder verarbeitet werden. Die europäischen Regeln zum Datenschutz etablieren zwar einen einheitlichen Schutzstandard für Daten, die sich innerhalb der EU frei bewegen. Bedenklich wird es aber, wenn Daten über die europäischen Grenzen hinaus fließen. Die Grundrechte von EU-Bürgern sind dann gefährdet (sowohl innerhalb als auch außerhalb der EU).

IPR: Inwiefern ist der europäische Datenschutz gefährdet?

Primavera de Filippi: Besonders sollte man auf die Gesetzgebung in den Vereinigten Staaten von Amerika schauen. Denn die meisten der großen Cloud-Computing-Betreiber sind dort ansässig. US-Gesetze zur Regelung der Überwachung von Online-Kommunikation von Nicht-US-Bürgern durch die US-Behörden stellt für die Durchsetzung europäischer datenschutzrechtlicher Bestimmungen ein echtes Problem dar.

IPR: Welche US-Gesetzgebung ist aus Ihrer Sicht problematisch?

Primavera de Filippi: Der kurz nach den Anschlägen vom 11. September 2001 in Kraft getretene USA PATRIOT Act ist besonders problematisch. Ursprünglich als Mittel zur erleichterten Früherkennung des Terrorismus konzipiert, könnte das Gesetz die Privatsphäre und Vertraulichkeit von Daten gefährden, die internationale Grenzen überqueren. Tatsächlich kollidieren mehrere Bestimmungen des PATRIOT Act mit verschiedenen Aspekten der europäischen Datenschutzgesetzen. US-Behörden können Zugang zu personenbezogenen Daten von Ausländern bekommen, wenn sie in die USA übertragen oder dort gespeichert werden – vorausgesetzt der Diensteanbieter kooperiert. Die US-Strafverfolgungsbehörden können sich damit Zugriff auf alle Informationen verschaffen, die in US-basierten Cloud-Computing-Plattformen (wie z.B. die von Google, Apple, Amazon oder Facebook) gespeichert sind.

IPR: Haben wir es mit einer systematischen Überwachung europäischer Nutzer-Daten bei Cloud-Diensten zu tun?

Primavera de Filippi: Das kann man so nicht sagen. Aber es gibt ein Stück US-Gesetzgebung, das diverse Schutzbemühungen untergräbt. Es hat noch viel zu wenig Aufmerksamkeit bekommen: der Foreign Intelligence Surveillance Act (FISA). Nach diesem Gesetz können Personen anders behandelt werden – zum Beispiel durchsucht oder elektronisch überwacht werden –, wenn der Verdacht besteht, dass sie in internationale Spionage verwickelt sind oder terroristische Handlungen gegen die USA vorhaben. Der FISA stammt aus dem Jahr 1978. Vor wenigen Jahren (2008) wurde er mit Änderungen versehen und heißt heute Foreign Intelligence Surveillance Amendments Act (FISAA). Jetzt sind einige der Anforderungen gelockert, die Behörden erfüllen müssen, um ausländische elektronische Kommunikation zu überwachen. Am 31. Dezember 2012 wurde diese Bestimmung für weitere fünf Jahre verlängert.

Seitdem man unter “elektronischen Kommunikationsdiensten” auch “remote-Computing-Services” versteht, kann man auf die FISAA-Bestimmungen zurückgreifen, um Daten, die im Bereich des Cloud Computing ausgetauscht werden, abzurufen und zu inspizieren. Besonders relevant ist der Abschnitt 1881a. Er erlaubt der US-Regierung, ausländische Kommunikation und Daten von Bürgern im Ausland zu überwachen – ohne Durchsuchungserlaubnis.

Die Unabhängigkeit der EU-eigenen Datenschutzbestimmungen stellt der FISAA damit auf die Probe. Er könnte schwerwiegende Auswirkungen auf die Privatsphäre der europäischen Bürger mit sich bringen, weil er nicht nur dafür sorgt, dass US-Behörden Telefonate und andere sogenannte In-Transit-Kommunikationen abfangen können, sondern auch, dass sie ohne vorherige Ankündigung oder Rücksprache auf Daten von Ausländern zugreifen können, die sich in Rechenzentren im Bereich der US-Gerichtsbarkeit befinden.

IPR: Wie wird diese US-Politik in Europa wahrgenommen?

Primavera de Filippi:Bis vor Kurzem kümmerten sich die Medien nicht besonders um den FISAA, doch langsam steigt das Interesse, auch bei europäischen Behörden. Die Auswirkungen des US-Gesetzes auf die Grundrechte der EU-Bürger wurden gerade neulich analysiert, und zwar in einem EU-Bericht mit dem Titel “Fighting cyber crime and protecting privacy in the cloud” vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europaparlaments. Der Bericht hob hervor, welche Auswirkungen das Cloud Computing auf die EU-Strategien und -Regelungen im Bereich Datenschutz hat. Thematisiert wurden nicht nur das Recht auf Privatsphäre und Datenschutz, sondern es zeigte sich auch, dass Fragen nach der Zuständigkeit, der Verantwortlichkeit und den Regeln für Datenübertragungen zwischen den einzelnen Ländern zu beantworten sind.

Der Bericht enthält zwei Empfehlungen: Erstens sollen geeignete Maßnahmen ergriffen werden, um sicherzustellen, dass EU-Bürger angemessen über die Tatsache informiert werden, dass in die Cloud exportierte, personenbezogene Daten relativ einfach für die US-Regierung zugänglich sind. Zweitens sollte es als Cyber-Kriminalität strafbar gemacht werden, wenn Cloud-Betreiber das Recht der Nutzer auf Privatsphäre verletzen.

Die Gefahr, dass die US-Regierung die Daten von EU-Bürgern ausspäht, hat ein parlamentarischer Ausschuss der EU zu Cyber-Sicherheit zwar anerkannt, aber die vorgeschlagenen Maßnahmen als zu drastisch bezeichnet. „Die Basis für die EU-Cloud-Computing-Strategie ist gelegt, und sie wird sich nicht ändern“, hieß es.

EU-Bürger sollten EU-Clouds nutzen

IPR: Wie könnte der Datenschutz in der Cloud gestärkt werden?

Primavera de Filippi: Um ihre Privatsphäre online zu bewahren, müssen europäische Bürger ihre Daten zur Zeit auf Cloud-Computing-Plattformen von Anbietern lagern, die EU-basiert sind, zum Beispiel CloudSigma, T-Systems, Gandi oder OVH, um nur einige zu nennen. Dieses Vorgehen könnte jedoch die Cloud-Adaption in der EU erheblich verlangsamen. Außerdem darf man nicht vergessen, dass diese Strategie vielleicht innerhalb der EU funktionieren könnte. Aber Nicht-EU-Bürgern würde dies nicht helfen, weil sie letztendlich den Gesetzen des Landes untergeordnet sind, in dem sie wohnen.

Wenn es um die Privatsphäre und den Datenschutz der EU-Bürger geht, dann muss ein Rahmen mit internationalen Regeln her. Ganz allgemein gesehen, müsste dieser Rahmen als Teil eines verbesserten Systems der Internet Governance implementiert werden, sprich: mit neuartigen Modellen von Gesetzen und/oder Standards verbunden werden, die ständig durch die Entwicklungen im Bereich Cloud Computing aktualisiert werden.

Ein ausführlicher Artikel von Primavera de Filippi findet sich hier beim Internet Policy Review.

Die E-Plus Gruppe unterstützt das Alexander von Humboldt Institut für Internet und Gesellschaft beim Aufbau einer Plattform zu Fragen der Internet-Regulierung. Der vorstehende Artikel erscheint im Rahmen dieser Kooperation auf UdL Digital.

Schlagworte

Empfehlung der Redaktion