Das oberste US-Gericht verhandelt darüber, ob US-Cloud-Anbieter in Europa gespeicherte Daten an die Regierung geben müssen. Ein Urteil wird im Juni erwartet, es drohen weitreichende Folgen für den europäischen Datenschutz. User sollten daher frühzeitig auf Lösungen setzen, bei denen maximale Sicherheit zum Standard gehört – und nicht erst optional gebucht werden muss.
Der US-Supreme Court steht vor einem wegweisenden Urteil, das nicht weniger als das Fundament des europäischen Datenschutzes berührt. Im so genannten „New York Search Warrant Case” wird gerade verhandelt, ob Microsoft personenbezogene Daten an Behörden der US-Regierung übergeben muss, die in Rechenzentren innerhalb der EU (in diesem Fall in Irland) gespeichert sind. Ein negativer Ausgang des Verfahrens hätte das Potenzial, massive Rechtsunsicherheit für den Datenschutz europäischer Unternehmen auszulösen. Schon jetzt warnt eine breite Allianz von Tech-Konzernen, Branchenverbänden und EU-Parlamentariern vor einem Ende des „Internets wie wir es kennen”.
Ist der Alarmismus berechtigt? Das Urteil wird im Sommer erwartet und aktuell befinden sich Befürworter und Gegner noch in der Phase der Appelle und mahnenden Worte, doch die Debatte hat das Zeug dazu, das Jahr 2018 – in dem bekanntlich auch die EU-DSGVO in Kraft tritt – endgültig zum Jahr des europäischen Datenschutzes werden zu lassen.
Festgestellt werden kann: Die Versuche ausländischer, aber auch inländischer Regierungsorganisationen, an gespeicherte Daten in eigenen und anderen Rechtsräumen zu gelangen, sind ein immerwährendes Thema, das bei bilateralen Abkommen, Gerichtsentscheidungen oder Geheimdienstskandalen in zuverlässiger Regelmäßigkeit auf die Agenda rückt.
Kann der Datenschutz noch garantiert werden?
Gerade für US-amerikanische Cloud-Dienstleister, Software- oder Tech-Konzerne bedeutet das einen konstanten Rechtfertigungsdruck. Firmen wie Google, Amazon, Salesforce, Dropbox oder in diesem konkreten Fall Microsoft müssen beweisen, dass sie die Datenschutzgesetzgebung in jedem Land, in dem sie aktiv sind, nicht nur respektieren, sondern mit höchsten Anstrengungen verteidigen.
Die Wege der Konkurrenten sind dabei sehr unterschiedlich. Während Amazon etwa auf lokale Rechenzentren und optionale Verschlüsselung setzt und – etwas heroisch – betont, dass man „den deutschen Datenschutz in die Welt hinaustragen” wolle, favorisiert Microsoft Allianzen mit lokalen Unternehmen, die als „Datentreuhänder” fungieren. Da die Daten aus dem Ausland hier nicht angreifbar sind, ist dieses Modell in Verbindung mit einer Cloud-Infrastruktur, bei der die Daten jederzeit der eigenen Kontrolle unterliegen, die bis dato sicherste Lösung. In Deutschland bietet Microsoft diesen Service in Verbindung mit der deutschen Telekom an („Deutschland-Cloud”). Das hätte in diesem konkreten Fall den Vorteil, dass Microsoft Daten, für deren Herausgabe sie von der US-Regierung aufgefordert werden würde, gar nicht herausgeben könnte, da das Unternehmen selbst keinen Zugriff darauf hat. Die Deutschland-Cloud stellt allerdings eine optionale zusätzliche Leistung dar, die entsprechende Mehrkosten verursacht.
Eine Stufe niedriger setzen die meisten anderen Anbieter an: das lokale Rechenzentrum. Bei diesem Modell befinden sich die Daten auf lokalen Servern, das von der europäischen Tochterfirma verwaltet wird. AWS und IBM bieten beispielsweise an, dass Daten ausschließlich in deren deutschen Rechenzentren in Frankfurt gehostet werden.
Dieses Modell verspricht immer noch mehr Sicherheit als die dritte Variante: Sämtliche Daten liegen unkontrolliert, ungesichert und unverschlüsselt auf einem US-Server – ein Vorgehen, das bei vielen Cloud-Lösungen leider zum Standard gehört.
Sicherheit ist keine Handelsware
Was allerdings die meisten Anbieter gemeinsam haben, ist die Tatsache, dass sie den Datenschutz gesondert anbieten. Zusätzliche Verschlüsselung, die Wahl eines deutschen Rechenzentrums oder das Treuhandmodell sind bei den Public-Cloud-Diensten keineswegs Standard, sondern stellen optionale Vereinbarungen dar, die von Unternehmen aus Branchen mit erhöhtem Sicherheitsbedürfnis gegen entsprechende Mehrkosten gebucht werden können.
Datenschutz und -Sicherheit beziehungsweise die gesamte Souveränität über die eigenen Daten werden so zur Commodity, zu einem buchbaren Produkt, das je nach Bedürfnis höhere Kosten verursacht. Doch sollte der Datenschutz wirklich Teil einer Kosten-Nutzen-Rechnung sein?
Die volle Souveränität über die eigenen Daten, also die Entscheidung darüber, welche Daten, zu welchem Zeitpunkt, welcher Person oder Institution zugänglich sind, sollte ausschließlich beim Eigentümer dieser Daten liegen. Die Sicherstellung dieser Datensouveränität sollte kein „Bonus” sein, sondern absoluter Mindeststandard. Dieser lässt sich aber nur garantieren, wenn die eigenen Daten auch der eigenen Kontrolle unterliegen – etwa in Form einer hybriden Cloud, in der die Daten auf einem Public Server liegen, die Verschlüsselungen aber auf eigenen Servern.
Genau das ist die Idee hinter Federated Cloud Sharing in Verbindung mit Universal File Access: Public- und Private Clouds, die unter einer einzigen Benutzeroberfläche zusammengefasst werden. So kann jedes Unternehmen für jede Datenquelle entscheiden, wo die Daten liegen. Auf diese Weise kann jeder an den Möglichkeiten des Technologiemarktes partizipieren, ohne seine Daten – ohne sein Wissen – preisgeben zu müssen – schon gar nicht an eine fremde Regierung ohne jedweden Rechtsschutz.