Cloud-Sicherheit
Endet der Datenschutz an der Grenze?
Fortsetzung des Artikels von Teil 1
Datenschutz weltweit unterschiedlich
Ganz anders ist dies in den USA. Dort gibt es kaum gesetzliche Regelungen zum Datenschutz, lediglich zu Teilbereichen wie Krankenversicherung sowie Kinder- und Jugendschutz. Daher sind Datenschutzverstöße nur im Rahmen einer vorher geschlossenen unternehmenseigenen Policy zu ahnden. Die EU-Datenschutzrichtlinie 95/46 EG verbietet die Übermittlung personenbezogener Daten aus der EU in die USA, da die dortigen gesetzlichen Standards zum Datenschutz nicht dem EU-Niveau entsprechen. Die Ausnahme bildet das so genannte „Safe-Harbor-Abkommen“: Es wurde unter anderem zwischen der EU und den USA der 1990er-Jahre geschlossen, damit der Handelsverkehr nicht komplett zum Erliegen kommt.
US-Unternehmen, die sich selbst zum Safe-Harbor-Prinzip verpflichtet haben, können sich in eine Liste des US-Handelsministeriums eintragen lassen. Für diese Unternehmen erkennt die EU an, dass ein ausreichender Datenschutz besteht. Vor dem Hintergrund des Patriot-Acts und der damit verbundenen Terrorismusbekämpfung ist die Verlässlichkeit dieses Abkommens allerdings in Zweifel geraten. Unternemen sollten besser darauf achten, dass ein US-Anbieter vertraglich garantiert, dass die Daten den europäischen Wirtschaftsraum nicht verlassen.
Schaut man in andere Weltregionen, verbessert sich die Datenschutzlage nicht: China, Russland und Indien verfügen zwar rudimentär über Datenschutzbestimmungen, doch der Transparenz und Kontrolle ist kaum zu glauben. Nicht zuletzt deshalb werden zunehmend Forderungen nach
einer UN-Datenschutzrichtlinie laut. Diese dürfte allerdings noch in weiter Ferne liegen.
Im Zweifel sollten deutsche Unternehmen, die international agieren, ihre Datenverarbeitung lieber „zu Hause“ lassen. Deutsche Provider sind gesetzlich verpflichtet, ihre Systeme so auszulegen, dass sie den deutschen Bestimmungen entsprechen. Das muss auch jeder Provider für seine Leistungen im Inland garantieren. Darüber hinaus muss nach einer neuen EU-Verordnung jeder Provider seit Ende August innerhalb von 24 Stunden Verlust oder Diebstahl personenbezogener Kommunikationsdaten in der EU bei den zuständigen nationalen Behörden melden.
Die Datensicherheit im Auge behalten!
Der zweite wichtige Aspekt der Cloud-Nutzung ist im nationalen wie internationalen Kontext immer die Daten- und Informationssicherheit. Ausspähung im Netz ist so alt wie das Internet selbst. Schon von Beginn an waren Hacker wie Geheimdienste daran interessiert, an möglichst wertvolle Daten heranzukommen. Und so verwerflich das für den Privatmenschen im ersten Augenblick klingen mag – viele Geheimdienste handeln für ihr Land mit einem legalen staatlichen Auftrag. In der britischen Gesetzgebung ist Wirtschaftsspionage im Ausland genauso legitim wie in Ländern wie Frankreich, Luxemburg oder den Niederlanden. Man muss also gar nicht bis in die USA oder nach China blicken, um auf Spionageabsichten zu stoßen.
Was den NSA-Skandal so ungeheuerlich macht, ist eher das Ausmaß für den Privatnutzer. Nach und nach wird immer klarer: NSA und GHCQ haben ihre Kompetenzen weit überschritten, indem sie flächendeckend und verdachtsunabhängig Daten gesammelt haben. Die Kontrolle über das Tun dieser Geheimdienste ist somit kaum noch gegeben. Und der Kontrollverlust geht noch weiter: Niemand kann Aussagen über die Korrektheit und Integrität der Datenverarbeitung auf Seiten der Geheimdienste machen. Missbrauch und Manipulation stehen also Tür und Tor offen. Vor diesem Szenario kann sich niemand schützen, denn die gesetzliche Grundlage für dieses Tun ist von vornherein verletzt worden.
Eine ganz andere Dimension hat der derzeitige Spionage-Skandal für Unternehmen: Wie schon erwähnt sind Unternehmen auf der ganzen Welt Wirtschaftsspionage seitens staatlicher wie privater Stellen ausgesetzt. Das war vor dem NSA-Skandal so und hat sich danach auch nicht geändert. Das Ausmaß der Bedrohung ist gleich geblieben, auch wenn die Medien immer wieder Hiobsbotschaften vermelden und damit nicht selten die Situation verzerren. So berichten führende deutsche Nachrichtemagazine Anfang September 2013 auf ihren Internetseiten, dass SSL, Voice-over-IP und VPN geknackt seien. Eine Unschärfe – denn VPNs und VoIP sind per se nicht verschlüsselt, während unsichere SSL-Zertifikate (Secure-Socket-Layer) schon vor
Jahren für Schlagzeilen sorgten.
- Endet der Datenschutz an der Grenze?
- Datenschutz weltweit unterschiedlich
- Die Methoden sind gleich geblieben
Lesen Sie mehr zum Thema
