Datenabfrage | bonnblog.eu

Kein deutscher Weg

Wenn es um Standards geht, ist es vernünftig, eine globale Einigung zu finden. Weder politische, noch technologische Alleingänge haben auf lange Sicht Erfolg. Das zu akzeptieren fällt insbesondere dann schwer, wenn man überzeugt ist, dass der eigene Standard der überlegene ist. Doch weder bei der Videoaufzeichnung, noch bei Audioaufnahmen oder Telekommunikationsprotokollen haben sich notwendigerweise die überlegenen Technologien durchgesetzt, sondern die, mit der Aussicht auf den breitesten Konsens. Selbst die Eisenbahnen, die lange Zeit national geprägt waren und Standards ganz bewusst zur gegenseitigen Abschottung eingesetzt haben, schwenken inzwischen mühsam auf global gültige Geltungsregeln ein.

Selbst Sicherheit, von der man meinen sollte, sie sei unverhandelbar, unterliegt offensichtlich diesem Fundamentalgesetz der globalen Gleichheit, wie sich jetzt an der „Deutschen Cloud“ zeigt. Vor drei Jahren hatten Microsoft Deutschland und die Deutsche Telekom in einer Art Treuhänderschaft zwei Cloud-Rechenzentren errichtet, die dem überlegenen deutschen Datenschutz Rechnung trugen und zugleich vor dem überbordenden Datenhunger US-amerikanischer Nachrichtendienste und Ermittlungsbehörden schützen sollte. Denn vor drei Jahren war die Rechtsprechung derart, dass ein transatlantisches Unternehmen die Wahl hatte, entweder gegen europäisches oder gegen US-amerikanisches Recht zu verstoßen.

Jetzt hat Microsoft angekündigt, die Microsoft Cloud Deutschland für neue Kunden nicht mehr anzubieten. Stattdessen werden hierzulande zwei neue Cloud-Rechenzentren errichtet, die bis 2020 zunächst Azure, dann Office 365 und schließlich die ERP-Suite Dynamics 365 in einer Public Cloud zur Verfügung stellen. Kunden der Deutschen Cloud können die Services weiter nutzen, erhalten aber keine zusätzlichen Features mehr. Die Deutsche Telekom will angeblich ihrerseits an der Deutschen Cloud festhalten.

Grundsätzlich hat sich die Rechtssituation seit 2015 nicht geändert – nach wie vor könnten US-Behörden Zugriff auf in Deutschland gespeicherte personenbezogene Daten verlangen, wenn der Betreiber der Cloud seinen Hauptsitz in den Vereinigten Staaten hat und damit auch im Ausland US-amerikanischer Rechtsauffassung unterliegt. Geändert hat sich die Lage allerdings insofern, als mit der Datenschutz Grundverordnung (DSGVO) ein inzwischen europaweit gültiger Standard zum Umgang mit personenbezogenen Daten besteht und andererseits die Cloud-Anbieter ihre internen Qualitätsansprüche soweit angehoben haben, dass das Datenschutz-Delta zur Deutschen Cloud immer kleiner geworden ist.

Jetzt hat der Markt entschieden. Durchschnittlich rund 18 Prozent höhere Kosten in der Deutschen Cloud und deutlich geringere Flexibilität haben dazu geführt, dass das nationale Angebot nie eine breite Anwenderschaft gefunden hat. Die neuen Microsoft-Rechenzentren werden dem globalen Qualitätsrahmen der Microsoft-Trusted-Cloud-Grundsätze und Compliance-Zertifikaten und -Testaten für komplexe Sicherheits- und Datenschutzanforderungen folgen. Darüber hinaus sollen die Rechenzentren künftig nach dem C5-Anforderungskatalog (Cloud Computing Compliance Controls Catalogue) ausgelegt werden.

Microsoft hat mit der Deutschen Cloud zusammen mit der Deutschen Telekom Maßstäbe gesetzt. Der Markt aber hat anders entschieden und ist mit weniger zufrieden. Einen deutschen Weg wird es nicht geben. Die Deutsche Cloud geht den Weg aller nationalen Standards. Sie unterliegen gegenüber der Globalisierung auch dann, wenn sie eigentlich besser sind.

Privacy by Design

Also, ich gebe es jetzt zu: Ich habe kürzlich gegen einen Bußgeldbescheid wegen Falschparkens per Mail Widerspruch eingelegt mit der Begründung, meine Frau sei hochschwanger… Da ich aus US-amerikanischer Perspektive Ausländer bin und die Mail wahrscheinlich sowieso auf dem Weg von meinem Wohnort zum Ordnungsamt über einen amerikanischen Server geleitet wurde, gehe ich davon aus, dass die National Security Agency die ganze Sache jetzt eh rauskriegt. Ich bin nämlich 68 und habe nicht mehr die Absicht, noch einmal Vater zu werden. Und meine Frau ist nicht schwanger.

Aber genauso sieht die Sicherheitslage aus. Jede meiner Mails, meiner Facebook-Posts, Twitter-Tweets oder eben Bonnblogs geht mit hoher Wahrscheinlichkeit über einen Server in Amerika – und ist damit grundsätzlich im Zugriff amerikanischer Behörden. Das ist die bittere Konsequenz aus der Tatsache, dass deutsche – oder europäische – Unternehmen den Wettlauf ums Internet verloren haben. Bislang zumindest.

Derzeit mag noch spekuliert werden, ob der Zugriff, den sich amerikanische Behörden auf Kommunikationsdaten – ob nun Telefonverbindungen von Verizon, oder Freunde-Profile auf Facebook – genehmigen, direkt ist oder erst nach Anrufung eines (geheim tagenden) US-Gerichts erfolgt. Es darf auch weiter gerätselt werden, ob die Informationen tatsächlich Inhalte umfassen oder doch nur Verbindungsdaten. Entscheidend ist, wir werden ausspioniert – nicht nur, weil es Bedrohungen gibt, sondern auch, weil es technisch möglich ist.

Der Schlag, den die von Edward Snowden durchgesteckten PRISM-Folien jetzt dem arglosen Leben versetzen, ist allerdings enorm. Es ist ein Schlag gegen das Sicherheitsversprechen, das die Cloud mühsam aufgebaut hat. Der Generalverdacht, dass Daten, die auf einem anderen Server liegen, auch weitergegeben werden können (oder in diesem Fall offensichtlich müssen), ist wieder einmal erhärtet.

Die laut PRISM-Folien kooperierenden Unternehmen legen denn auch akribisch Wert auf die Unterscheidung, dass die NSA nicht nach eigenem Gutdünken Daten einsehen könne. Der gemeinsame O-Ton lautet hier: Es gibt keine Hintertür auf unsere Datensilos. Aber offensichtlich werden doch Anfragen zu Zehntausenden beantwortet, die durch nationale Gerichte durchgewunken wurden. Microsoft, Facebook und Google haben dazu jetzt Zahlen veröffentlicht.

Wie immer heiligt der Zweck die Mittel. Mindestens ein Terrorkomplott sei durch die Abfrageschlacht bereits aufgedeckt worden, wird argumentiert, ohne freilich einen überprüfbaren Hinweis für diese Aussage zu gewähren. Und Abfragen, die auf Entführungsopfer und Betrugsangelegenheiten führen sind ebenfalls in der Statistik enthalten.

Ob nun direkt oder sanktioniert, die PRISMA-Abfragen machen noch einmal deutlich, welche Macht Big Data-Analysen haben – im Guten wie im Schlechten. Wenn Amazon unsere Einkaufsgewohnheiten mit denen anderer vergleicht und daraus auf einen gemeinsamen Geschmack schließt, ist das eine Sache. Wenn unsere private Kommunikation aber im großen Stil sozusagen gewohnheitsmäßig abgegriffen wird, ohne dass das Ausmaß, noch die Zielsetzung auch nur ansatzweise transparent wären, ist die berühmte „rote Linie“ überschritten.

Was wir brauchen ist eine Privacy by Design. Smartphone-Betriebssysteme dürfen personenbezogene Daten in Verbindung mit GPS-Informationen nicht an Dritte verticken. Mailprogramme dürfen nicht willkürlich Serversysteme in datentechnischen Schurkenstaaten ansteuern. In Deutschland macht sich bereits eine „Internet made in Germany“-Bewegung vernehmbar, die für gewerbliche wie für private Kommunikation deutsche, oder auch harmonisierte EU-Datenschutzbestimmungen verfolgt.

Aber das Alter meiner Frau kriegt auch die NSA nicht raus.