Hinter die Mauern
Warum Sie im Jahr 2017 Ihre Daten in der EU behalten sollten
Bislang waren Daten bei US-amerikanischen Cloud-Diensten ähnlich gut gegen den Missbrauch durch die Anbieter und den Zugriff von Behörden geschützt wie hierzulande. Doch der neue amerikanische Präsident stellt diese Sicherheit infrage.
Das Internet ist eine fantastische Errungenschaft. Es macht keinen Unterschied, von wo aus Sie Geschäfte machen – sofern Sie „drin“ sind, können Sie loslegen. Und so ist es grundsätzlich egal, ob das Textdokument, das Sie bearbeiten, auf einem deutschen, einem französischen oder einem US-amerikanischen Server liegt. Den rechtlichen Rahmen dafür stecken zwischenstaatliche Abkommen ab. Zwischen der EU und den USA etwa sorgt der sogenannte EU-US-Privacy-Shield dafür, dass Daten von EU-Bürgern und Unternehmen in den USA mit einem ähnlichen Schutzniveau behandelt werden wie in der Europäischen Union.
Doch leider hat das Vertrauen in das globale Netz seit der Amtsübernahme von US-Präsident Trump stark gelitten. Und so nützlich insbesondere US-amerikanische Cloud-Anbieter wie Google oder Microsoft sein mögen: Wir können Ihnen derzeit nicht empfehlen, Ihre Daten oder gar die Daten Ihrer Kunden in den Vereinigten Staaten zu speichern.
Datenschutz: auf der Abschussliste
Donald Trump hatte am 25. Januar, kurz nach seiner Amtseinführung, die Executive Order zur „Verbesserung der öffentlichen Sicherheit“ ausgegeben. Ein Passus darin legt die Intention nahe, Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht oder zumindest von bestimmten „Datenschutzerklärungen“ auszuschließen, „soweit dies mit geltendem Recht vereinbar ist“.
Auch wenn derzeit nicht klar ist, ob die Order europäische Daten überhaupt gefährdet – Trump und seine Verwaltung haben mehr als deutlich erkennen lassen, was sie vom Datenschutz und von zwischenstaatlichen Abkommen halten: nichts. So hat Trump bereits eine Regelung durchgesetzt, nach der US-Internet-Provider die Online-Aktivitäten und Bewegungsmuster ihrer User überwachen, speichern, auswerten und zu Geld machen dürfen.
Donald Trump kennt sich mit der Internet-Wirtschaft nicht wirklich aus. Sie scheint ihm auch nicht so wichtig zu sein wie andere Wirtschaftszweige. Die Befindlichkeiten anderer Länder sind ihm egal. Seine Verwaltung strickt immer wieder Gesetze mit der heißen Nadel. Und nicht zuletzt ist der Präsident schlicht unberechenbar. In dieser Gemengelage kann schnell eine Regelung zustandekommen, die den Datenschutz komplett aushebelt.
Wir zeigen Ihnen im Artikel auf Seite 72, auf welche deutschen und europäischen Dienste Sie ohne allzu großen Komfortverlust ausweichen können. Eine besondere Rolle nimmt Microsoft mit seinem Office 365 DE ein. Hier stehen nicht nur die Server in Deutschland. Die Telekom fungiert auch als Treuhänder und sorgt dafür, dass die Daten deutschen Boden nicht verlassen. Der Artikel ab Seite 78 beschreibt den Dienst im Detail. Der Beitrag ab Seite 82 gibt eine Einordnung der rechtlichen Situation.
Unausweichlicher Rückschritt
Ich glaube an die Idee des globalen, universellen Netzes. Daher würde ich einen c’t-Schwerpunkt am liebsten gar nicht schreiben, der erläutert, wie man im weltweiten Internet virtuelle Mauern errichtet und Daten auf den „deutschen Boden“ beschränkt. Es ist ein massiver Rückschritt, wenn man beginnt, regionale Grenzen zu ziehen, wenn man bei jedem Speichervorgang, vor jeder versendeten E-Mail erst überlegen muss: „Darf ich das oder riskiere ich, mich strafbar zu machen?“.
Wir haben in der Redaktion kontrovers diskutiert, ob wir diesen Schwerpunkt überhaupt angehen sollen. Insbesondere als Unternehmen Daten in den USA zu speichern, ist in der aktuellen Lage aber schlicht zu riskant, und darauf müssen wir Sie in aller Deutlichkeit hinweisen. Selbst wenn Sie die Situation derzeit als sicher ansehen: Sie könnte sich allzu rasch weiter verschlechtern, und für diesen Fall möchten wir Ihnen Handreichungen bieten.
Bittere Fußnote: Indem Sie Ihre Daten und die Daten Ihrer Kunden in die EU holen, tun Sie alles, um rechtlich auf der sicheren Seite zu sein; sollte ein Cloud-Anbieter mit Ihren Daten Schindluder treiben, haben Sie die recht wirksame Keule des europäischen Datenschutzrechts zur Hand. Dass die Daten mit dem Umzug vor dem Zugriff staatlicher Akteure geschützt sind, bedeutet das allerdings noch lange nicht.
Seit Neujahr 2017 ist hierzulande das neue BND-Gesetz in Kraft. Die große Koalition hat damit dem deutschen Auslandsgeheimdienst Lauschbefugnisse erteilt, wie man sie von der NSA kennt. Der BND darf nun beispielsweise offiziell Daten am deutschen Daten-Drehkreuz De-Cix abgreifen. Das gilt zwar eigentlich nur für Daten von Nicht-Deutschen, aber in der Praxis dürfte erst einmal alles gesammelt werden. Deshalb gilt: Auch wenn die Daten in deutschen Rechenzentren liegen, sollten Sie den Transport und die Aufbewahrung mit starker Verschlüsselung absichern. (jo@ct.de)