Beinahe jeder Mensch, der einen Computer besitzt, benutzt sie: Clouddienste. Doch die erfolgreichsten Anbieter dieser haben ihren Sitz in den USA.
Dies führt nicht nur zu Bedenken bei PrivatverbraucherInnen, sondern vor allem bei Unternehmen. SUMO bat dazu Reinhard Posch, Chief Information Officer der Bundesregierung, sowie Helmut Leopold, Head of Center for Digital Safety & Security am Austrian Insitute of Technology (AIT), um Auskünfte.
In der EU wird Datenschutz nunmehr eine große Bedeutung zugeschrieben. Ständig aufflammende Diskussionen zur Thematik zogen auch die Datenschutzgrundverordnung der EU nach sich. Diese bedeutete für Nicht-Privatpersonen vor allen Dingen ein Überdenken des Schutzes ihrer zu verarbeitenden Daten. Dank des Safe-Harbour-Abkommens und später des EU-US-Privacy-Shields war das Speichern beziehungsweise Verarbeiten personenbezogener Daten auf Servern US-amerikanischer Unternehmen – trotz der sehr differenten Datenschutzrichtlinien in den USA – soweit kein Problem.
Regelung für nichtig erklärt
Dies änderte sich allerdings mit dem Erfolg einer Nichtigkeitsklage der irischen Datenschutzbehörde vor dem Europäischen Gerichtshof, ausgelöst durch den Datenschutzaktivisten Max Schrems. Helmut Leopold erklärt die Situation in der EU folgendermaßen: „Wenn man beliebig unsere personenbezogenen Daten, also Daten, die einen Rückschluss auf uns erlauben und uns negativ einschränken könnten, verwenden kann, dann ist unsere Freiheit bedroht. Wir haben uns als Gesellschaft diesen Wert der Freiheit sehr hoch gelegt und haben uns dafür die Bürde gegeben, dass wir vorsichtig sind, wie wir mit den Daten umgehen und so kommt es zum Datenschutzgesetz. In Europa können wir Daten einem Datenanbieter geben, und weil er dem Gesetz unterliegt, schaut das Gesetz darauf, dass meine Daten nicht missbraucht werden.“ Auch für Reinhard Posch machte diese Entscheidung durchaus Sinn: „Die US-Gesetzgebung hat in diesem Zusammenhang nicht den Gedanken territorial gebunden zu sein. Das heißt, wenn eine Firma auch in den USA wesentliche Geschäfte tätigt, geht das US-Gesetz davon aus, dass diese Firma von den Gesetzen betroffen ist. Sprich, wenn Microsoft in Österreich, Amazon in Irland ein Servicezentrum hat, dann gehen die US-Gesetze davon aus, dass der Zugriff, sofern er notwendig ist, gegeben ist. Und das ist ein beachtliches Souveränitätsproblem.“ Aus dieser Entscheidung folgt, dass es nun nicht mehr legal ist, personenbezogene Daten auf Servern US-amerikanischer Anbieter zu speichern, selbst wenn diese ihre Server in Europa haben. Doch dies bedeutet in erster Linie nicht, dass das Speichern auf Servern dieser gar nicht mehr möglich ist. Leopold beschreibt das wie folgt: „Somit fällt der Default-Mechanismus weg, die amerikanischen Anbieter sind hier erstmal ausgeschlossen und wir brauchen Alternativlösungen. Da gibt es zwei Ansätze: Zum einen muss man verstehen, dass das Datenschutzgesetz ja nicht prinzipiell verbietet Daten im Ausland zu speichern, nur der Default-Mechanismus gilt nicht mehr. Es ist nun nur jede/r verpflichtet dafür Sorge zu tragen, dass sich auch ausländische Serviceanbieter an unsere Datenschutzgesetze halten – solange es dort äquivalente Mechanismen gibt, die unserem Datenschutzgesetz entsprechen, können auch im Ausland Daten gespeichert werden. Zum anderen stimuliert die neue Regelung natürlich den Markt für europäische Anbieter. Dafür braucht es aber nun auch entsprechende Angebote von europäischen Serviceanbietern.“
Souveränitätsproblem in Europa
Posch beschreibt dieses Problem folgenderweise: „Wenn wir etwas auf die Cloud abbilden, haben wir zwei wesentliche Aspekte. Der eine ist der, dass Informationen irgendwo hingehen könnten. Das ist traurig und das ist für manche Bereiche auch problematisch. Das heißt, Inhalt ist das eine, aber was oft völlig übersehen wird ist die prinzipielle Bereitstellung. Wenn Sie ein Service über eine Cloud anbieten, dann kann der Cloud-Anbieter morgen sagen, dass er seine Dienste einstellt. Stellen Sie sich vor, Sie hätten die Einsatzservices von Polizei- und Gesundheitsdiensten in der Cloud und der Provider stellt seinen Dienst ein: Da steht der österreichische Gesundheitsdienst, die Exekutive, die Finanzverwaltung. Das bedeutet ein Souveränitätsproblem des prinzipiellen Bestandes und das Souveränitätsproblem der Geheimhaltung.“ Die Revidierung des Privacy Shields eröffnet nun enorme Chancen für den europäischen Markt. Blicken wir auf die weltweiten Marktanteile von Cloudservice-Anbietern, fällt schnell auf, dass europäische Anbieter keine Rolle spielen. Umso dringender wird es, dass die europäische Wirtschaft Services für den europäischen Markt anbietet und die ihr gegebene Chance adäquat nutzt. Auch der Experte für digitale Sicherheit Leopold erkennt dieses Problem: „Somit gibt es den marktwirtschaftlichen Effekt, dass Anbieter im europäischen Raum hier keinen Nachteil, oder sogar einen Vorteil, haben. Weiters gibt es die Herausforderung für die europäische Wirtschaft. Es muss natürlich Angebote geben, sonst kann der/die Kunde/in diese nicht berücksichtigen. Da gibt es sicher einen Aufholbedarf Europas, da haben wir uns zu lange in Sicherheit gewogen.“
Pläne zu genuin europäischen Clouddiensten
Seit des Kippens des Abkommens zwischen EU und USA wird das Thema zu genuin europäischen Clouds brisanter. Eine datensouveräne Europäische Union würde viele Vorteile mit sich bringen. Vor allen Dingen würden die personenbezogenen Daten, beziehungsweise die Daten europäischer Personen und Unternehmen generell, das Hoheitsgebiet der EU nicht mehr verlassen. Dennoch stellt sich die Frage, ob eine Datensouveränität und Datensicherheit durch das alleinige Bestehen und Verwenden europäischer Anbieter bestehen würde? Reinhard Posch, Leiter der Plattform „Digitales Österreich“, erklärt am Beispiel von „WhatsApp“, warum Europa wesentlich abhängiger von internationalen Anbietern ist, als es am ersten Blick erscheint: „Möglicherweise verwenden Sie ‚WhatsApp‘ oder ähnliche Dienste, dann werden Sie dort extrem hinters Licht geführt. Sie steigen ein und sehen, es ist Ende-zu-Ende-verschlüsselt und dass alles gewahrt ist. Sie können dann jemanden zu einem Gespräch auf ‚WhatsApp‘ einladen, aber das macht natürlich die App und im Hintergrund der Server. Ob Sie jetzt davon informiert werden, dass noch jemand zu diesem Gespräch eingeladen wird, ist einzig und allein Entscheidung der App bzw. des Servers. Damit sehen Sie, dass auch bei solchen Diensten, wo Privacy ‚vorgetäuscht‘ wird, durchaus solche Mechanismen eingesetzt werden könnten, wenn sich US-Behörden dazu entscheiden.“ Auch Leopold betont, wie wichtig eine Datensouveränität wäre: „Darum ist das Thema digitale Souveränität eine der wichtigsten Aufgaben für unsere Grundwerte der Demokratie und für die wirtschaftliche Überlebensfähigkeit.“ Dieses Phänomen, wie am Beispiel „WhatsApp“ beschrieben, lässt sich nun auch auf andere Dienste umlegen. Vor allem auf Kommunikationsdienste, aber auch auf andere Softwareprodukte, wie Betriebssysteme von Smartphone und Computer. Es ist fraglich, ob man von einer Datensouveränität sprechen kann, wenn man dennoch auf diese Dienste angewiesen ist: „Auf solche Dienste zu verzichten ist schwer. Können Sie auf Microsoft Office verzichten? Es gibt natürlich Papiere, wie man aus Clouds aussteigen kann, Diskussionen wie man die Abhängigkeit von Herstellern beherrschen könnte, aber das würde im Cloudbereich extreme Investitionen erfordern. Das würde bedeuten, dass man nur für die Verwaltung eine völlig eigene Infrastruktur aufbauen müsste und dann sind die Vorteile, welche die Cloud predigt, finanziell kompensiert. Wir schaffen es nicht, auf solche Services zu verzichten, wir müssen mit diesem Dilemma leben und dagegen kämpfen, vor allem auch auf europäischer Ebene. Auf europäischer Ebene haben wir natürlich die Problematik, dass die Einflussgeber auf Brüssel zu 50% aus Firmen des US-Bereichs stammen. Und damit wird es deutlich schwieriger“, hebt Posch hervor.
Wie soll es weitergehen?
Eine – zumindest gewisse – europäische Datensouveränität ist ein mehr als nur anstrebenswertes Ziel. Darin sind sich auch Leopold und Posch einig. Doch wie soll die Zukunft aussehen? Auch in Bezug auf Diskussionen zu Sicherungsanordnungen, welche es EU-Behörden erlauben sollen, auf Daten in Clouds zuzugreifen, insofern eine ausreichende Begründung vorliegt. Helmut Leopold meint hierzu, dass die Behörden in den USA über ihr Ziel hinausgeschossen hätten, dass es hier in der EU einer besseren Lösung bedürfe: „Aber wir sollten in Europa eine vernünftige Lösung finden, wo einerseits die Behörde Möglichkeiten bekommt, andererseits aber nicht unsere Grundrechte unterbindet.“ Auch Reinhard Posch weist auf die Dringlichkeit des Datenschutzes hin: „Wenn die österreichische Verwaltung eine Cloud verwendet, muss die österreichische Verwaltung auch Herr der Identifikationsmechanismen der Cloud sein. Eine derartige Cloud gibt es aber nicht. Und genau das widerspricht der Idee des Cloud Acts, denn wenn Österreich wieder Herr der Identitäten ist, kann nicht mehr in die Daten hineingeschaut werden, kann z.B. ‚WhatsApp‘ nicht mehr jemanden einladen. Weil er die Identitäten nicht mehr managen kann.“ Es fehlt also noch einiges an Diskussion und Entwicklung in der EU, bevor die eigenen Ziele erreicht werden können und von einer europäischen Datensouveränität gesprochen werden kann.
von Matthias Schnabel