Datenschutz

Editorial: Daten machen nicht an Landesgrenzen halt

Micro­soft will Cloud-Server künftig in der EU betreiben - doch dem Nutzer bringt das keine Sicher­heit vor der Spio­nage durch die Five Eyes

Cloud-Server mit EU-Standort Cloud-Server mit EU-Standort
Foto: Deutsche Telekom
Micro­soft hat jüngst verspro­chen, Euro­päi­sche Cloud­daten sollen in Europa bleiben. Die Probleme mit diesem Satz beginnen schon bei der Frage, was "euro­päi­sche Cloud­daten" sind? Wenn beispiels­weise ein euro­päi­scher Office-365-User zwei Wochen lang Urlaub in den USA macht und von dort aus auf seinen Account zugreift, um zwei von seiner Firma drin­gend benö­tigte Doku­mente zu senden, sind seine Daten dann noch "euro­päi­sche" Daten? Oder sind sie zumin­dest während seiner Nutzung aus den USA dann doch "ameri­kani­sche" Daten? Und selbst wer nicht in die USA reist, kann inter­net­tech­nisch vorüber­gehend oder dauer­haft in den USA ange­sie­delt sein, beispiels­weise bei Nutzung eines VPN, um auf bestimmte, nur in den USA ange­botene Strea­ming-Dienste zugreifen zu können. Wer dann allen Daten­ver­kehr über das VPN leitet, befindet sich dann aus Provi­der­sicht sogar dauer­haft in den USA (oder einem anderen Land, in dem das VPN seinen Endpunkt hat).

Hinzu kommt: Nur weil die Daten auf euro­päi­schen Servern liegen, bedeutet das mitnichten, dass Konzerne wie Micro­soft nicht mehr unter dem Druck der USA stünden, die Kunden­daten für deren Geheim­dienste zugäng­lich zu machen. Klar ist nach mehreren BGH-Urteilen: Die unver­schlüs­selte Spei­che­rung von Daten in der Cloud von US-Anbie­tern ist eben wegen dieses Geheim­dienst­zugriffs nicht DSGVO-konform. Und das ist jetzt voll­kommen unab­hängig davon, wo sich die Server physisch befinden, denn logisch stehen diese alle unter der Kontrolle des jewei­ligen Cloud-Betrei­bers.

Da seit dem EU-Austritt von Groß­bri­tan­nien kein EU-Land mehr Mitglied des berüch­tigten Spio­nage­bünd­nisses five eyes ist, gibt es auch poli­tisch kaum noch Gründe, die Daten­sam­melwut der US-Konzerne noch zu dulden. Zwar bekommt man in Europa von den Five Eyes sicher den einen oder anderen Hinweis auf einen gefähr­lichen Terro­risten oder allge­meine Einschät­zungen zur welt­poli­tischen Sicher­heits­lage. Im Gegenzug setzt man aber alle euro­päi­schen Unter­nehmen der Gefahr der Indus­trie­spio­nage aus. Und auch Privat­per­sonen geraten schnell in Gefahr, wenn die US-Dienste sie allge­meiner anti­ame­rika­nischer Umtriebe verdäch­tigt. Verwei­gert man künftig den Five Eyes den Gene­ral­zugriff auf die Daten euro­päi­scher Bürger und Unter­nehmen, steigt entspre­chend die Sicher­heit aller in Europa.

Konse­quenz: Abmel­dung

Cloud-Server mit EU-Standort Cloud-Server mit EU-Standort
Foto: Deutsche Telekom
Die laut DSGVO meines Erach­tens derzeit einzig mögliche Konse­quenz ist, dass sämt­liche euro­päi­schen Behörden ihre Verträge mit Micro­soft kündigen und auf Betriebs­sys­teme umstellen, die nicht Mega­byte-weise "Tele­metrie­daten" nach Hause schi­cken, File­namen und Nutzer­ein­gaben inklu­sive. Außer Verbin­dungen zum Update-Server zum Down­load von Sicher­heits-Patches oder frei­wil­ligen und anony­misierten Nutzungs­daten gibt es eigent­lich nichts, was der Betriebs­system-Hersteller benö­tigt.

Im PC-Bereich gibt es zum Glück auch daten­schutz­kon­forme Alter­nativen zu Micro­soft - die aller­dings als deut­lich schwie­riger in der Bedie­nung gelten. Entspre­chend droht den Poli­tikern, die Micro­soft aus der Verwal­tung verbannen, ein gewal­tiger Shit­storm. München hatte es schonmal probiert, dann aber nach einigen Jahren doch das Hand­tuch geworfen. Zum Nutzer-Protest kommt dann noch das Problem der Uralt-Soft­ware, die vieler­orts für gele­gent­liche Spezi­alauf­gaben benö­tigt wird, aber meist nicht oder nur nach hohem Instal­lati­ons­auf­wand auf den alter­nativen Betriebs­sys­temen läuft. Sie müsste also aktua­lisiert oder neu beschafft werden - zu entspre­chenden Kosten.

Google und Apple genauso betroffen

Schließ­lich gilt, dass man nach der Umstel­lung und Absi­che­rung der PCs noch lange nicht fertig ist. Kein modernes Smart­phone lässt sich in Betrieb nehmen, ohne einen Cloud-Account bei Google oder Apple anzu­legen, auf den dann eben­falls alles mögliche synchro­nisiert wird. In der Vergan­gen­heit war es ein Skandal, dass die NSA das Handy von Angela Merkel abge­hört hatte, insbe­son­dere die von ihr getippten SMS. Stand heute benö­tigen die Geheim­dienste diese Chuzpe gar nicht mehr - die nur schwer abschalt­baren Cloud-Backups von Android und iOS liefern ihnen die wich­tigsten Daten sowieso frei Haus.

Weitere Edito­rials